Autenticazione robusta: tre livelli di sicurezza
In ambito di sicurezza esiste un aspetto molto importante, negli ultimi anni, che è stato adottato con un certo successo ad esempio in ambito di operazioni bancarie online: si tratta della cosidetta Multi-factor authentication (detta in acronimo MFA, ma anche two-factor authentication, TFA, T-FA e 2FA). È un approccio estensivo all’autenticazione per così dire “classica”, effettuata con nome utente e password, che richiede almeno due dei seguenti tre fattori aggiuntivi: un fattore di conoscenza, uno di possesso ed uno, ulteriore, di inerenza.
Più nello specifico, tali fattori si esplicano come segue:
- conoscenza: qualcosa che solo l’utente può conoscere;
- possesso: qualcosa che solo l’utente può possedere;
- inerenza: qualcosa che è associabile con certezza assoluta all’utente.
Knowledge factor
Tipicamente questo fattore può coincidere con:
- password;
- PIN.
Abbiamo ribadito più volte l’importanza di cambiare spesso le password del proprio sito, ad esempio, e di renderle meno prevedibili possibile. La debolezza derivante dall’uso di questo genere di livello di sicurezza, tuttavia, si stabilisce essenzialmente nella necessità di ricordare a memoria tali chiavi di accesso (lettere e/o numeri), con il rischio che ci vengano sottratti, e senza contare che in alcuni sistemi non è possibile modificarli nel tempo (ad esempio il PIN del bancomat). Numerose sono le misure di sicurezza (punto 3) sulle password “forti” che, di fatto, si possono adottare in questi casi.
Possession factor
Tipicamente questo fattore può coincidere con l’uso di:
- smart card;
- dispositivi o chiavi hardware;
- telefono cellulare.
Ad esempio, nella pratica, una transazione online con la vostra carta di credito potrebbe dover essere confermata da un’apposita OTP (One-Time Password): in pratica prima di procedere al pagamento, il sistema invia un SMS di notifica al vostro numero contenente una password, solitamente numerica, generata casualmente sul momento. Questo significa che per procedere con l’operazione sarà indispensabile inserire tale “parola d’ordine” ulteriore, evitando così che un malintenzionato possa accedere indebitamente al vostro conto – a meno che, ovviamente, oltre al numero della carta di credito vi abbia sottratto anche il telefono.
Un’ulteriore possibile legata a questo livello di sicurezza sono le chiavi di sicurezza che generano, con un apposito criterio implementato nell’hardware, una password casuale: in questo modo il server che procede al pagamento verificherà la corrispondenza di questa seconda credenziale di accesso con quella che, allo stesso modo, ha generato internamente, procedendo con le operazioni solo nel caso in cui sia verificata tale corrispondenza.
Inherence factor
Tipicamente questo ultimo fattore può coincidere con:
- caratteristiche biometriche (iride, impronte digitali).
Tale livello è tipico dei sistemi di sicurezza più avanzati, anche se il livello più utilizzato spesso si ferma al secondo stadio.