L’autenticazione è alla base di qualsiasi meccanismo di sicurezza. Il concetto è che, generalmente, ogni individuo preferirebbe sapere con chi ha a che fare, prima di
avere un qualsiasi tipo di interazione con una controparte.
In particolare, l’autenticazione fornisce le basi per (ma è distinta da):
Si può pensare all’autenticazione come una composizione di due funzioni:
Secondo il modello del NIST (National Institute of Standards and Technology), per un utente che vuole prendere parte ad un sistema digitale, si distinguono la fase preliminare di registrazione nel sistema e la consuetudinaria sessione di accesso al sistema (in breve Enrollment & Verify).
Nella fase di registrazione l’utente fornisce la sua prova di identità ad una autorità di registrazione che registra l’utente dando conferma al fornitore di credenziali, che restituisce all’utente le credenziali necessarie all’accesso. Spesso autorità di registrazione e fornitore di credenziali coincidono.
Nella fase di accesso al sistema l’utente mostra le sue credenziali ad una parte fidata del sistema, che interpella un verificatore che apre la sessione all’utente nel caso in cui le credenziali sono corrette. Il verificatore deve in qualche modo comunicare con il fornitore di credenziali per verificare che l’utente è effettivamente legato alle credenziali mostrate all’accesso.
Ogni forma di autenticazione, se implementata e utilizzata correttamente, permette l’accesso in sicurezza ai sistemi. Tuttavia, ci sono dei problemi.
“Qualcosa che si sa / ha“
Si può avere un notevole “sovraccarico amministrativo”, ovvero, la gestione delle informazioni (per quanto riguarda le password) e la protezione di tali informazioni sui dispositivi (per quanto riguarda le smart card). Nel caso di password, ad esempio, l’informazione viene fornita direttamente, esponendola all’intercettazione, al phishing e ad altri attacchi, con il grosso problema che non è detto che chi subisce il furto se ne possa accorgere. Nel caso della smart card, questa può essere smarrita, cedendone il possesso ad un potenziale malintenzionato.
“Qualcosa che si è / fa“
Ci sono una serie di problemi legate alla gestione di falsi positivi e falsi negativi (vedi questo articolo per saperne di più), l’accettazione del sistema da parte degli utenti “poco pratici”, i costi e la convenienza.