Reading Time: 5 minutes

Quando stiamo sviluppando policy di sicurezza, sia sulla scala di un meccanismo specifico sia di un’intera infrastruttura, è probabile che l’identificazione e l’autenticazione siano concetti chiave.

In breve, l’identificazione è la rivendicazione di ciò che qualcuno o qualcosa dice di essere e l’autenticazione stabilisce se questa affermazione è vera.

Possiamo vedere tali processi che si svolgono su base giornaliera in un’ampia varietà di modi.

Un esempio molto comune di una transazione di identificazione e autenticazione può essere il meccanismo di utilizzo di carte di pagamento che richiedono un numero di identificazione personale (PIN).

Quando facciamo scorrere la striscia magnetica della carta, stiamo affermando che siamo la persona indicata sulla carta (avendone il possesso).

A questo punto, abbiamo dato l’identificazione, ma niente di più.
Quando ci viene richiesto di inserire il PIN associato alla carta, stiamo completando la parte di autenticazione della transazione.

Alcuni dei metodi di identificazione e autenticazione che utilizziamo nella vita quotidiana sono particolarmente fragili e dipendono in gran parte dall’onestà e dalla diligenza di coloro che sono coinvolti nella transazione.

Molti di questi scambi che comportano la presentazione di carte d’identità, come l’acquisto di articoli, si basano sulla teoria secondo cui la carta d’identità visualizzata è una prova in grado di compiere l’atto di autenticazione, e che può essere utilizzata per rilevare accuratamente attività false o fraudolente.

Possiamo usare una serie di metodi per l’identificazione e l’autenticazione, dal semplice uso di nomi utente e password, a token hardware appositamente creati che servono a stabilire la nostra identità in più modi.

Discuteremo alcuni di questi metodi e come vengono utilizzati nei vari articoli del blog.

Identificazione

L’identificazione è semplicemente un’affermazione di chi siamo. In breve, l’identificazione è la rivendicazione di ciò che qualcuno o qualcosa è.

Ciò può includere chi pretendiamo di essere come persona, chi (o cosa) un sistema informatico afferma di essere in una rete, l’identità di un destinatario di un’email, quale autorità dichiariamo di avere o altri esempi simili.

È importante notare che il processo di identificazione non si estende oltre questa rivendicazione e non comporta alcun tipo di verifica o convalida dell’identità che rivendichiamo.

Quella parte del processo viene definita autenticazione ed è una fase separata.

Chi affermiamo di essere

Chi pretendiamo di essere è un concetto debole, nella migliore delle ipotesi.

Possiamo identificarci con i nostri nomi completi, versioni abbreviate dei nostri nomi, immagini di noi stessi, soprannomi, numeri di conto, nomi utente, carte d’identità, impronte digitali, campioni di DNA e un’enorme varietà di altri metodi.

Sfortunatamente, con poche eccezioni, tali metodi di identificazione non sono univoci, e anche alcuni dei metodi di identificazione presumibilmente unici, come l’impronta digitale, possono essere duplicati o falsificati in molti casi.

Chi affermiamo di essere, in molti casi, può essere un elemento di informazione soggetto a modifiche.

Ad esempio, i nostri nomi possono cambiare, come nel caso delle donne che cambiano il loro cognome al momento del matrimonio, delle persone che cambiano legalmente il loro nome con un nome completamente diverso, o anche delle persone che semplicemente scelgono di usare un nome diverso.

Inoltre, possiamo generalmente cambiare facilmente le forme logiche di identificazione, come nel caso di numeri di conto, nomi utente, indirizzi email e simili.

Anche gli identificatori fisici, come altezza, peso, colore della pelle e colore degli occhi, possono essere modificati.

Uno dei fattori più cruciali da comprendere quando stiamo lavorando con l’identificazione è che una rivendicazione di identità non è di per sé un’informazione affidabile.

Verifica dell’identità

La verifica dell’identità è un passo oltre l’identificazione, ma è ancora un passo indietro rispetto all’autenticazione.

Quando ci viene chiesto di mostrare una patente di guida, un certificato di nascita o un’altra forma di identificazione simile, ciò è generalmente a scopo di verifica dell’identità, non di autenticazione.

Questo è l’equivalente approssimativo di qualcuno che dice di essere “John Smith”; ci chiediamo se la persona sia davvero John Smith e ci accontentiamo della risposta “Certo che sono io”, da parte del soggetto (con allegato qualche pezzo di carta ad uso documento).

Come verifica dell’identità, questo è molto superficiale, nella migliore delle ipotesi.

Tenendo presente tale esempio, possiamo andare un po’ più nel dettaglio e convalidare l’identificazione incrociando i dati forniti con quelli contenuti in un database che magari oltre ai dati anagrafici conserva una fotografia per il riconoscimento dei soggetti.

Questo potrebbe avvicinarci un po’ di più all’obiettivo, ma non siamo ancora al livello di sicurezza che otteniamo dall’autenticazione.

La verifica dell’identità viene utilizzata non solo nelle nostre interazioni personali ma anche nei sistemi informatici.

In molti casi, ad esempio quando inviamo un’email, l’identità che forniamo è considerata vera, senza ulteriori passaggi per autenticarci.

Tali lacune in termini di sicurezza contribuiscono all’enorme quantità di traffico spam che vediamo, che rappresenta il 70,7% di tutte le e-mail inviate.

Identificazione falsa

Come abbiamo discusso, i metodi di identificazione possono essere soggetti a modifiche.
Come tali, sono anche soggetti a falsificazione.

Sebbene molte patenti di guida oggi hanno ologrammi o codici a barre che li rendono più difficili da contraffare, esiste ad esempio un’industria nascosta che consente ai bambini minorenni in America di acquistare licenze dall’aspetto “valido” da società di falsificazione.

Questa costante lotta tra misure di sicurezza e criminali continua anche nel mondo virtuale.

Tali mezzi di identificazione falsificati vengono utilizzati anche da criminali e terroristi per una serie di azioni di natura nefasta.

Alcuni mezzi di identificazione primari, come i certificati di nascita, forniscono anche un modo per ottenere ulteriori forme di identificazione come carte di sicurezza sociale o patenti di guida, rafforzando così la veridicità della falsa identità.

Il furto di identità, basato su informazioni false, è oggi una delle maggiori preoccupazioni.
Questo tipo di attacco è purtroppo comune e facile da eseguire.

Data una quantità minima di informazioni – di solito un nome, un indirizzo e un codice fiscale – è possibile impersonare qualcuno in misura sufficiente per essere in grado di agire in molti casi come se si fosse quella persona.

Le vittime del furto di identità possono scoprire che sono state aperte linee di credito a loro nome, o che carte di credito, prestiti di veicoli, mutui immobiliari e altre transazioni sono avvenute utilizzando la loro identità rubata.

Tali crimini sono resi più facili dalla mancanza di requisiti di autenticazione per molte delle attività in cui ci impegniamo.

Nella maggior parte dei casi, l’unico controllo che viene eseguito è la verifica dell’identità.

Questo processo è, nella migliore delle ipotesi, un piccolo ostacolo che può essere facilmente aggirato usando forme di identificazione falsificate.

Per correggere questa situazione, dobbiamo completare il processo di identificazione e autenticazione delle persone coinvolte in queste transazioni, al fine di dimostrare almeno in modo più efficace che stiamo effettivamente interagendo con le persone “vere”.

Nel caso degli individui, questo non è in alcun modo un problema tecnico irrisolvibile, ma è più un problema di interazione.

Quando esaminiamo problemi simili per i sistemi e gli ambienti informatici, possiamo vedere molte delle stesse difficoltà.

È del tutto possibile inviare un’email da un indirizzo diverso dall’effettivo indirizzo di invio e questa tattica viene utilizzata regolarmente dagli spammer e per attacchi basati su Phishing su Social Engineering.

Possiamo vedere gli stessi problemi in molti altri sistemi e protocolli che sono di uso quotidiano e fanno parte delle funzionalità di Internet.

error: Content is protected !!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.