2015-01-07

Nuove architetture per l'autenticazione degli utenti

Il tradizionale assunto "qualcosa che sai, qualcosa che hai e qualcosa che sei" è stato considerato per molto tempo un modello utile per distinguere i meccanismi di autenticazione. Storicamente, il modello basato su  "qualcosa che sai" - ovvero la password - ha dominato il panorama di mercato con la propria semplicita' di utilizzo e di realizzazione ma anche con i propri problemi noti,  dal phishing agli innumerevoli casi di violazione gli archivi delle password.


Riflettendo i problemi di sicurezza, oggi la tendenza di mercato si sta progressivamente spostando dalla gestione della password al modello basato su "qualcosa che hai" attraverso l'utilizzo di telefoni cellulari che in questa nuova veste rappresentano il "secondo fattore" del processo di autenticazione e possono quindi essere sfruttati per integrare o sostituire l'utilizzo delle tradizionali password statiche.

Uno smartphone è effettivamente un computer portatile potente, con le seguenti caratteristiche importanti relative all'autenticazione:

  • Connettività. Per definizione, i dispositivi mobili sono costantemente connessi alla rete mobile supportano processi di autenticazione tramite un messaggio SMS o attraverso sistemi di notifica del sistema operativo mobile.
  • Potenza di elaborazione. Questo permette calcoli di bordo, a sostegno di crittografia e così via.
  • Interfaccia utente. Questa interfaccia consente che venga richiesto all'utente di immettere le proprie credenziali di autenticazione.
  • Archiviazione sicura. L'archiviazione sicura consente la memorizzazione delle credenziali utilizzate in schemi di autenticazione all'interno di archivi sicuri perche' crittografati.
  • Biometria. Sempre più dispositivi hanno componenti hardware che permettono un controllo di alcuni fattori biometrici dell'utente, per esempio, un'impronta digitale o la retina.
  • Singolo utente. I dispositivi sono in genere associati a un singolo utente. Di conseguenza, l'autenticazione effettuata attraverso il dispositivo consente di avere una ragionevole certezza che l'utente autenticato sia effettivamente chi riteniamo debba essere.

Diversi schemi di autenticazione basati su dispositivi mobili sfruttano queste caratteristiche in diverse maniere. Ad esempio, CloudWALL OTP | One Time Password autentica gli utenti inviando una codice univoco al dispositivo mobile precedentemente registrato tramite  Google Cloud Messaging for Android o Apple Push Notification Services attraverso una apposita "app" installata sul dispositivo mobile.

Un modello diverso di autenticazione basata mobile viene normalizzato dal FIDO (Fast Identity Online) Alliance. Le specifiche FIDO standardizzano un modello che sfrutta le funzionalita' di riconoscimento biometrico dei dispositivi. Nel modello FIDO, l'utente si autentica al dispositivo tramite un controllo biometrico che consente di sbloccare una chiave crittografica che viene poi utilizzato per l'autenticazione verso il server.

Mentre schemi di autenticazione basati su dispositivi mobili come quelli descritti possono migliorare in modo significativo l'esperienza di autenticazione degli utenti, e' ragionevole pensare che l'esecuzione di una procedura di autenticazione così esplicito per l'accesso a applicazione possa essere impattante per il tradizionale modo di lavorare degli utenti. Di conseguenza, vi e' un forte valore aggiunto nel combinare un processo di autenticazione sul dispositivo mobile con meccanismi di Single sign-On che cosentano di sfruttare un unico processo di autenticazione dell'utente per garantire l'accesso dell'utente a diverse applicazioni.

Meccanismi standardizzati per abilitare SSO per applicazioni browser mobili sono ben stabiliti. Il Security Asserzioni Markup Language (SAML) abilita SSO per un browser mobile esattamente nella stessa forma come un browser desktop.

Esistono altri protocolli SSO, come OpenID® e WS-Federation. Più di recente, OpenID Connect (Connect) è emerso come un protocollo che, come si è costruito sulla cima di OAuth, può consentire entrambi i browser web e applicazioni native.

Sia OAuth e Connect possono essere utilizzati per proteggere le applicazioni mobili native (a differenza SAML e altri protocolli Web SSO). Ma né OAuth né Connect possono, fuori dalla scatola, abilitare un'esperienza SSO

La combinazione di procedure di autenticazione forte basata sull'utilizzo di dispositivi mobili con funzionalita' di Single Sign-On consente di incrementare i livelli di sicurezza delle procedure di autenticazione degli utenti e di semplificare l'esperienza degli utenti nell'accesso alle applicazioni aziendali e nella gestione della propria identita' digitale.

CloudWALL OTP | One Time Password e CloudWALL SSO | Single Sign-On rappresentano la proposta di CloudWALL Italia per proteggere l'identita' digitale degli utenti aziendali attraverso l'integrazione di procedure di Single Sign-On per applicazioni basate su web con servizi di autenticazione forte che sfruttano i dispositivi mobili come "secondo fattore" nel processo di autenticazione.

Per maggiori informazioni visitaci sul nostro sito all'indirizzo http://www.cloudwall.tk/otp e http://www.cloudwall.tk/sso.

0 comments:

Post a Comment