Identità digitale, meglio averne una sola - Riskmanagement

Sicurezza

Identità digitale, meglio averne una sola

Per rispondere meglio alle richieste della tecnologia, il controllo dell’accesso è stato strutturato in un modello logico suddiviso in quattro moduli, detto IAAA, acronimo dei nomi delle sue quattro componenti.

19 Ott 2021

Luigi Sbriz

Risk Monitoring Manager

L’identità digitale è divenuta una necessità, nulla può essere fatto su Internet senza questo passo indispensabile per accedere ai servizi online. L’importanza di farsi riconoscere per attestare il proprio diritto di accedere a dei beni, si perde nei secoli. Dai metodi approssimativi del passato, da concludere con una stretta di mano, a quelli molto sofisticati di oggi (come lo SPID), per interagire con le attuali tecnologie.

I sistemi di sicurezza del passato

Prima dell’avvento dei computer e delle reti dati, per entrare in possesso di un oggetto di valore, bastava avere un chiave. L’oggetto da proteggere era posto in un ambiente fisico ritenuto sicuro in quanto a robustezza, e l’accesso era consentito utilizzando una chiave. La forma particolare della chiave era ritenuta una misura sufficiente per garantire l’accesso legittimo. Una volta aperta una porta di casa, i contenuti della stanza diventavano tutti potenzialmente accessibili e il massimo della protezione, sempre all’interno della casa, era una sequenza di chiavi. Chiave grande per il portone di casa, chiave media per la porta dello studio, chiave piccola per il cassetto della scrivania con dentro il cofanetto dei valori, chiuso da un lucchetto.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity

Se il bene desiderato era conservato presso altri, allora era necessario un passo ulteriore per entrarne in possesso. Occorreva interagire con il custode del bene per dimostrare che si possedevano, o si volevano esercitare, dei diritti sul bene. I diritti si comunicavano, in modo anonimo, con dei soldi (accesso finalizzato all’acquisto), oppure dedotti da un messaggio sigillato, con ceralacca o codice crittografico (diritto al latore o a chi era citato), oppure identificandosi come titolare del bene, in quanto conosciuto personalmente da un garante (a sua volta conosciuto dal custode). Ad ogni modo, la decisione finale spettava al custode, se riconoscere o meno le credenziali fornite.

In generale, le modalità di accesso o possesso di un bene non erano ancora ben strutturate, erano pensate come conseguenza di un puro fattore fisico oppure della decisione di qualcuno.

L’identità nell’era dei computer

Con l’avvento dei primi elaboratori (mainframe), viene introdotto un metodo nuovo, molto semplice e basato sulla conoscenza di una parola segreta (password), come analogia di chiave fisica. La diffusione esponenziale dei computer e dei prodotti IoT, la crescita vertiginosa della dimensione del codice nei sistemi operativi e l’esplosione delle reti dati, hanno introdotto un fattore estremamente critico, la vulnerabilità dei sistemi di controllo accesso, e da qui la necessità di rivedere le modalità di accesso ai beni, sia sui propri sistemi, che su altri in remoto. Nel passato, l’approssimazione del diritto di accedere era più tollerabile, in quanto di dimensione locale, mentre ora può compromettere un intero ecosistema digitale.

Il riferimento al passato serve a comprendere le scelte, che poi sono state fatte nel mondo digitale ricercando metodi idonei alle nuove tecnologie, sulla base di un riadattamento di analoghe idee ma in un contesto diverso. Per rispondere meglio alle richieste della tecnologia, il controllo accesso è stato strutturato in un modello logico suddiviso in quattro moduli, detto IAAA, che rappresenta l’acronimo dei nomi delle sue quattro componenti.

  • Identification è attinente al nome utilizzato per farsi riconoscere nel dominio prescelto;
  • Authentication è la dimostrazione che sei chi dici di essere;
  • Authorization è l’insieme dei diritti posseduti per il trattamento del dato acceduto;
  • Accountability è funzionale all’attribuzione e verifica delle responsabilità per le attività svolte.

Il riconoscimento dell’identità digitale opera quasi esclusivamente sulle prime due componenti. L’identificazione del nome prescelto può agire solo all’interno di un ben definito dominio di validità del nome stesso, che può significare, entro un singolo sistema come un’intera rete di dispositivi con ampiezza mondiale. Più è ampio il dominio di riconoscibilità di quell’identità, meno credenziali serviranno per accedere ai beni o ai servizi voluti, pertanto, condivisione della stessa utenza in ambienti differenti. L’autenticazione è la parte più problematica da realizzare perché dipende dal contesto fisico, tecnologico e organizzativo. Inoltre, se è richiesta l’identità certa di una persona, è intuibile che la soluzione sarà molto più complessa della più semplice dimostrazione di validità di credenziali di accesso che richiedono il confronto tra un dato nascosto e un dato comunicato.

Identità digitale: vari metodi per autenticare una richiesta di accesso

I criteri attuali per autenticare una richiesta di accesso, per aumentare l’efficacia, si basano sulla combinazione di uno o più dei metodi elencati di seguito.

Something you know: è qualcosa che è noto solo a chi si collega e al sistema che lo autentica, esempio, una password o un PIN. La conoscenza di qualcosa sconosciuto agli altri è abbinata ad uno username, e non è idonea a riconoscere con certezza la persona che si autentica, e neppure il dispositivo utilizzato. Garantisce solo la veridicità di quello specifico username, e di conseguenza, l’identità è supposta corrispondere al profilo utente abbinato a quello username.

Something you have: è qualcosa che si possiede, esempio, una smart card, un token o un cookie sul PC. La garanzia di robustezza del meccanismo è sicuramente molto elevata se paragonata ad una semplice password, ma né un certificato digitale né un codice temporaneo possono garantire sull’identità della persona fisica. La soluzione è più sofisticata della precedente e molto più robusta in termini di attacco informatico e questo è l’aspetto positivo. In abbinata con un altro metodo, potrebbe essere utile per costruire una soluzione di identità efficace.

Something you are: è qualcosa di distintivo rispetto agli altri, esempio un’impronta digitale, la scansione dell’iride o la geometria facciale. Metodo con un buon grado di accuratezza nel riconoscere una persona ma le particolarità di trattamento dei pattern di riconoscimento, non lo qualificano come una certificazione di validità assoluta. Non è esente da debolezze, non ultima, la compensazione del rumore introdotto schematizzando un insieme estremamente ampio di dati in relativamente pochi punti. È però un’ottima alternativa alla password per sbloccare dispositivi (praticità), ma l’eventuale presenza di un PIN come backup è considerata una vulnerabilità.

Something you can do: è qualcosa che si fa in modo esclusivo, esempio la firma o decifrare un messaggio crittografato. Una propria abilità specifica serve a riconoscere la persona ma il livello di attendibilità varia con l’abilità prescelta. La firma è un metodo debole (anche se molto usato) per la possibilità di contraffazione mentre l’apertura di un sigillo digitale è un metodo più robusto (in funzione della tecnica crittografica utilizzata).

Someone trusts you: è qualcuno di fiducia che garantisce la veridicità delle dichiarazioni, esempio un notaio o una entità che fornisce servizi di identità. Realizzare digitalmente questo metodo, è più complesso che coinvolgere una persona fisica, ma è anche il più interessante tra tutti quelli visti finora. Non è solo tecnologia, è necessario creare una infrastruttura di autenticazione all’interno di un ecosistema ove tutti hanno fiducia in una specifica entità, nota come identity provider. È necessario instaurare un rapporto di fiducia, anche da un punto di vista legale, con assunzione di responsabilità nell’uso che viene fatto dell’identità digitale, da entrambe le parti.

Identità digitale: il ruolo dell’identity provider

La capacità di garantire l’efficacia del processo di autenticazione da parte dell’identity provider è commisurata alla qualità del metodo e alla tecnologia impiegata. Il legame tecnologico tra il dispositivo del richiedente il riconoscimento ed il server dell’identity provider, è basato sulla sistematica adozione di soluzioni ritenute ai più alti livelli qualitativi, che non sono alla portata di tutti i gestori di servizi online, per costo e complessità. Questo è già un argomento a favore della scelta di utilizzare un identity provider, anziché gestire autonomamente l’autenticazione dei propri utenti, ovviamente ponderando il tutto con un’analisi costo-beneficio.

Quando due dispositivi devono interagire tra loro, quello dell’utente richiedente un servizio, e il server del fornitore erogante il servizio (service provider), lo faranno per mezzo della mediazione di un garante dell’identità (identity provider) dell’utente. La sequenza è molto semplice. L’utente comunica la propria identità digitale al gestore del servizio, quest’ultimo contatta automaticamente l’identity provider e richiede il riconoscimento dell’identità ricevuta. L’identity provider richiede le credenziali all’utente, verifica, e poi invia l’esito dell’autenticazione al service provider chiudendo il ciclo di riconoscimento.

Questo ciclo si basa sulla fiducia riposta sull’entità che ha il compito di garantire per l’utente. L’identity provider garantisce la veridicità dell’identità attuando due fasi: innanzitutto la registrazione dell’identità fisica abbinata a quella digitale e poi, ogni qualvolta richiesta, l’autenticazione con un metodo tecnologicamente appropriato. Il passo iniziale è di natura organizzativa e prevede delle regole da rispettare, meglio se a valore legale. Le regole presumono un uso consapevole della riservatezza delle credenziali e delle conseguenze a seguito di uso improprio. Questo perché l’identità digitale rappresenta ufficialmente una persona, fisica o giuridica, e lo fa bilanciando strumenti tecnologici e responsabilità giuridiche.

Il meccanismo è però logicamente asimmetrico. L’identity provider garantisce per l’utente ma nessuno garantisce al service provider che l’identity provider è reale e viceversa. Potenzialmente questa è una debolezza, molto difficile da sfruttare ma a probabilità non nulla. Una rigorosa federazione di identity provider, in grado di scambiarsi automaticamente i certificati degli utenti per attuare la verifica sui membri del proprio dominio, garantirebbe la simmetria del meccanismo. Richiederebbe un’autorità internazionale ad hoc, per stabilire le regole della federazione degli identity provider, e rappresenterebbe una evoluzione del meccanismo con maggior sicurezza e flessibilità dello stesso.

Conclusioni

In generale, il beneficio di appartenere a un ecosistema di identità digitale, possibilmente molto ampio per ridurre il numero di username necessarie, è rappresentato dall’uso semplice e sicuro di una sola identità digitale. A questo punto, per l’identità digitale, una domanda: è veramente sicura questa soluzione? La domanda non è quella giusta. Ad oggi, abbiamo alternative più economiche, semplici e sicure? No, per ora è la scelta migliore.

@RIPRODUZIONE RISERVATA
S
Luigi Sbriz
Risk Monitoring Manager

Articolo 1 di 5