Personalize

Text Size

Layout

Navigation Position

UGbLog di Pierre Greborio

Pensieri dal mondo managed...

<< Abuso dell'identità digitale | Home | 10 ragioni per scegliere Linux >>

Autenticazione forte

Quando ci autentichiamo sui vari siti (compreso ugidotnet) solitamente usiamo un meccanismo di autenticazione debole: username + password. Questo meccanismo è estremamente vulnerabile in quanto ci sono molti metodi per "carpire" queste informazioni (social engineering).

Per questo motivo si parla di autenticazione forte a due o tre fattori. Che cose significa ? L'autenticazione forte risponde a tre domande: "che cosa so ?", "che cosa ho ?" e "che cosa sono ?".

Che cosa so è semplice e rientra nell'autenticazione semplice: password, PIN, o altro ancora.

Che cosa ho è legato solitamente ad un device, come una smart card, un token OTP, ecc. ecc.

Che cosa sono è legato ad un dispositivo biometrico, ad esempio rilevatore impronte digitali o della voce, ecc. ecc.

Ciò che rende l'autenticazione forte è proprio la combinazione di questi e si dice autenticazione forte a due fattori quando si usano i primi due, autenticazione forte a tre fattori tutti e tre. E' interessante vedere che le banche si stanno muovendo verso un modello di autenticazione forte a due fattori. Senza voler fare pubblicità, eccone un esempio.

lunedì 31 ottobre 2005 17:57

Your Comments.

# re: Autenticazione forte
Anche WeBank un anno fa mi ha mandato una card da usare per fare quel tipo di operazioni.
Mi ricorda molto l'uso che facevo in alcune società del "portachiavi" della RSA con i codici che cambiavano ogni minuto.
Mi chiedo: se uno fa un sacco di operazioni, dopo quanto tempo esaurisce i 40 codici.
Ma probabilmente per quel tipo di "utenti" ci saranno altre soluzioni...

Left by Lorenzo Barbieri at 31/10/2005 19:04
# re: Autenticazione forte
Un conto è la carta dei codici un conto è il "portachiavi" RSA (denominato anche "token OTP - One Time Passwords").

Nel caso della card dei codici c'è il problema del numero limitato (come evidenzi tu) mentre per l'OTP no. I due limiti dell'OTP sono, a parer mio:

1. hanno comunque una scadenza (1,2,3,4,5 anni)

2. se tutti la usano ci vuole il trolley per andare a spasso

Left by Pierre Greborio at 31/10/2005 19:14
# re: Autenticazione forte
Bnl sono anni che usa la tesserina e mesi che usa il dispositivo. Non per fare pubblicità.

Left by vincenzo at 31/10/2005 19:14
# re: Autenticazione forte
Nell'azienda per cui sto' lavorando ogni dipendente/consulente ha un token RSA e tutti i servizi web aziendali usano la combianzione PIN+tokecode (se vi si accede da fuori la intranet aziendale).

Che dire: funziona :-)

Left by Marco Abis at 01/11/2005 00:04
# re: Autenticazione forte
Se debbo fare una critica a RSA (in particolare SecureID) è il software. E' fatto decisamente male (ancora stile Win 3.1) e l'installazione/gestione è dal mal di testa.

Inoltre l'integrazione del servizio è mal documentato e decisamente povero. Ho chiesto lumi a RSA e la risposta è stata: fai una subscription per developer da 10.000 USD l'anno.

Ora attendo di vedere la soluzione Verisign (Unified authentication) sperando di trovae in sistema software più ragionevole.

In ogni caso è interessante verificare che tutti stanno andando verso uno standard (http://www.openauthentication.org/)

Left by Pierre Greborio at 01/11/2005 00:45
# re: Autenticazione forte
riguardo a questo aspetto non saprei, io uso il token e via :-D

Left by Marco Abis at 01/11/2005 00:55

Comments have been closed on this topic.