Autenticatori: al principio era il verbo, poi arrivò SPID

Il Multi-Fattore di Autenticazione è al giorno d’oggi la modalità più diffusa per accedere agli account in maniera sicura ma, come ben sappiamo, esistono numerosi metodi di autenticazione basati sull’ MFA. Alla base di tutti i metodi di autenticazione, vi è l’identificazione più o meno sicura della persona che vuole accedere al proprio account per usufruire di un servizio, ma quale metodologia dunque dobbiamo scegliere e qual’è la più sicura?

In realtà, come vedremo, non vi è un metodo più corretto perché ciò dipende unicamente dalle esigenze che abbiamo, dal contesto in cui operiamo e dalla necessità di coniugare sicurezza, praticità e diffusione che spesso non vanno d’accordo.

Analizziamo le varie tecnologie che stanno alla base di questi metodi di autenticazione in modo da capire perché tutti possono andare bene se usati per lo scopo corretto.

Se pensiamo per esempio ad una autenticazione storica come “login – password” e ad un’autenticazione più recente come “SPID”, dobbiamo ricordarci che le due metodologie sono nate con finalità completamente diverse. La prima viene solitamente impiegata per accedere ad e-commerce (i quali spesso non mettono a disposizione sistemi di autenticazione più forti) mentre si impiega un'autenticazione SPID oppure “CIE (Carta Identità Elettronica) o una autenticazione equivalente richiesta dal gestore del servizio, per autenticazioni che richiedono un’identificazione anche legale del proprietario.

Praticità e semplicità di registrazione sono dunque fattori determinanti per l’utilizzo di un sistema di autenticazione rispetto ad un altro: più è pratico, più le persone tenderanno ad utilizzarlo, ad esclusione dei casi in cui si è costretti ad utilizzare uno specifico metodo.

La cosa importante è capire il motivo per cui siamo costretti a utilizzare un metodo rispetto a un altro e che non tutti i metodi garantiscono in maniera univoca l’identità della persona che sta richiedendo l’accesso ad un servizio.

Una registrazione lunga, che acquisisce dati, immagini di carte di identità, colloquio visivo con un operatore che si accerta dell’identità, è ovviamente onerosa in termini di tempo, ma a volte necessaria se si vuole utilizzare quell’identità per servizi critici come possono essere quelli bancari. Elenchiamo alcuni sistemi di Autenticazione Multifattore, iniziando con il sistema MFA più utilizzato e cioè la mail, o meglio l’insieme di Login+Password+Email, per poi passare ad altri sistemi più diffusi.

• Login + Password + Email
• Login + Password + SMS
• Login + Password + Autenticazione TOTP
• Login + Password + Autenticazione SPID
• Login + Password + CIE
• Autenticazione con Certificato Digitale (file)
• Autenticazione con Certificato Digitale (Badge/Pendrive)
• Sistemi password-less
• Applicazione Oplon 2FA

1. Login + Password + Email

Questo metodo di autenticazione prevede l’inserimento di un username, una password e un indirizzo email. Tutte queste informazioni si possono comunicare a un familiare o ad un conoscente e quindi non individuano in maniera univoca la persona specifica che sta facendo l’accesso.

Per questo motivo questa metodologia di autenticazione non è considerata una autenticazione forte, ma può essere utile nei casi in cui sia necessario prevedere l’accesso ad un gruppo di persone a contenuti che non sono né riservati né critici, mantenendo così un unico account da gestire. Cosa deprecabile, certamente, ma che comunemente, per “comodità” (spesso comodità = costo), è utilizzata e “accettata” e noi che produciamo questi strumenti dobbiamo tenere conto delle realtà. Non tutti sono dei tecnici informatici e dover gestire più account è oneroso in termini di rinnovi password, vincoli di registrazione e cancellazione degli utenti etc. Queste attività sono comunque necessarie ma, a seconda del contesto, possono magari essere applicate ad un solo utente per l’organizzazione. Attenzione che per organizzazione non ci riferiamo solo a società Enterprise ma anche a piccole-medie realtà come negozi, laboratori o altre imprese che devono collaborare con grandi organizzazioni dove sicuramente non hanno nell’organico un tecnico informatico. La cosa importante è avere degli strumenti flessibili e far sì che quando si attiva una autenticazione di questo tipo, lo si faccia in maniera consapevole rispetto all’utilizzo.

PRO

• Molto semplice da utilizzare
• Non richiede la registrazione di app o l’utilizzo di strumenti di proprietà dei dipendenti come ad esempio smartphone o tablet
• La mail è uno strumento di comune utilizzo

CONTRO

• Non è una autenticazione forte
• Ha necessità di una rete connessa a Internet per leggere l’e-mail (in alcuni casi non disponibile nel caso, ad esempio, si operi fuori da copertura Internet Wi-Fi)

2. Login + Password + SMS

Questo tipo di multifattore ha diverse criticità e tra queste tre in particolare. La prima sta nel dover indicare nella registrazione il numero di telefono, la seconda è che non può essere considerata una autenticazione forte in quanto manca della sicurezza dell’attivazione del riconoscimento biometrico come mezzo per poter accedere all’informazione. La terza relativa all’adozione dell’SMS è il costo, che in alcuni casi può essere molto rilevante.

Il problema maggiore nell’adozione di questo metodo è proprio il fatto di dover divulgare, all’atto della registrazione, il numero del proprio smartphone (spesso ad uso personale) e quindi non sempre si è disposti ad utilizzarlo per scopi aziendali. Come Oplon abbiamo fatto nostra questa necessità di privacy e già dalle prime release dell’implementazione Oplon 2FA è stata eliminata la richiesta del numero di telefono togliendo l’autenticazione attraverso SMS.

PRO

• Semplicità di utilizzo
• Non richiede la registrazione di app o l’utilizzo di strumenti di proprietà dei dipendenti
• L’SMS è sicuramente in capo a una Sim che identifica un proprietario legale

CONTRO

• Non prevede necessariamente un riconoscimento biometrico per leggere il messaggio SMS
• Richiede la registrazione del numero di telefono che potrebbe essere un numero personale e l’utente sarebbe dunque poco incline ad utilizzarlo per fini lavorativi
• Il numero di telefono, se personale, è un dato sensibile
• Costi da parte del gestore del servizio che possono essere sensibili

3. Login + Password + Autenticazione TOTP

Gli autenticatori TOTP (Time-based One-Time Password) sono estremamente diffusi e hanno preso piede molto velocemente perché molto semplici da utilizzare e danno la possibilità di accedere a più siti che aderiscono allo “standard” TOTP. Queste App di autenticazione sono comodissime in quanto non richiedono necessariamente una connessione Internet Wi-Fi e funzionano quindi in ogni circostanza. Noi di Oplon Networks abbiamo sviluppato un’app, Oplon Autenticator. che ti permette di autenticarti nei siti che utilizzano il multifattore di autenticazione con TOTP (per es. Amazon, Microsoft,...) in modo semplice, sicuro e con un'attenzione massima alla tua privacy. Inoltre, Oplon Autenticato ti permette di conservare tutte le tue credenziali di siti e servizi, in una cassaforte con i massimi livelli di sicurezza (Credentials Management). L’app non richiede nessuna registrazione e/o inserimento di dati personali, non richiede alcuna connessione internet o cloud e la puoi scaricare gratuitamente in tutti i digital store:

TOTP è considerato una autenticazione forte con una accezione. Tutti i produttori delle App per smartphone hanno infatti sviluppato la possibilità di “esportare” i dati delle autenticazioni e di importarli in altri smartphone per motivi di copia di salvataggio (backup) delle credenziali. Il risultato? La possibilità di avere contemporaneamente due o più smartphone che hanno gli stessi codici di autenticazione TOTP e quindi il rischio che più persone, come nel caso delle Mail, possano “impersonificare” il vero proprietario dell’identità.

Attenzione, questa è una funzionalità voluta per diffondere lo strumento TOTP e anche noi di Oplon nello sviluppare l’applicazione TOTP Oplon Autenticator (link ai digital store) ci siamo adeguati perché se altri produttori lo permettono, noi non potevamo togliere questa possibilità facendo sembrare la nostra APP una limitazione all’utilizzo invece di una caratteristica di sicurezza!

Implementeremo anzi nelle prossime versioni la possibilità di condividere solo alcune autenticazioni, agevolando al massimo la condivisione. Perché questo? Immaginate di avere l’accesso ad un e-Commerce e di voler condividere questo accesso con dei famigliari. Se mettete il TOTP per proteggere i vostri acquisti non permetterete a nessun altro di entrare e fare acquisti, facendo così perdere la possibilità di beneficiare delle offerte a volume o dei punti premio.

Quindi per come è stato implementato e per come si è evoluto nel tempo l’utilizzo del TOTP deve permettere questa possibilità.

PRO

• Straordinaria semplicità di utilizzo
• L’app può contenere più siti di autenticazione diventando di fatto una cassaforte in cui conservare le tue credenziali
• I TOTP non hanno necessità di una connessione a Internet anche se alcune app la richiedono. La registrazione è molto semplice e di solito attuata tramite wizard (procedura guidata con semplice utilizzo di QR-CODE)

CONTRO

• Richiede l’utilizzo di una App sullo smartphone
• Rischio che le credenziali vengano trafugate nel caso in cui lo smartphone incustodito e sbloccato
• Necessità di eseguire dei backup delle credenziali perché la perdita delle stesse richiederebbe giornate di lavoro per ripristinare l’operatività (vi assicuriamo che è veramente snervante eseguire il reset su alcuni siti e richiede moltissimo tempo per ogni sito/servizio interessato…)

4. Login + Password + Autenticazione SPID

L’autenticazione SPID è una delle eccellenze tecnologiche italiane, così come la firma digitale e la fatturazione elettronica, che solo ora trovano riscontro anche in altri paesi e sono punto di riferimento per l’Europa.A differenza di quello che l’italiano di solito è portato a pensare, l’Italia è tra le nazioni più digitalizzate al mondo, nessuna altra nazione al mondo esclusa, continuando una tradizione millenaria di organizzazione dello Stato, iniziata con l’antica Roma in cui vi era la necessità di gestire le finanze e riscuotere i tributi ieri dell’impero oggi del paese. Adesso anche l’Europa sta iniziando ad usare questi sistemi di autenticazione, avendo adottato come base la Carta di Identità Elettronica (CIE). Ancora una volta, siamo tra i Paesi tecnologicamente più avanzati al mondo in fatto di digitalizzazione dei servizi dello stato!

L’autenticazione SPID è annoverata quindi come autenticazione forte per le sue caratteristiche di riconoscimento della persona durante la registrazione.

L’approccio SPID è tecnologico ma il maggior ostacolo è la difficoltà pratica che si riscontra ogni qual volta ci si debba autenticare con questa metodologia in quanto richiede un lavoro che occupa del tempo e spesso è ripetitivo durante il giorno provocando non poco dispendio di tempo ed esitazione nell’utilizzo.

Con questa App è possibile avere una autenticazione login e password-less.

PRO

• Ha un risvolto legale sulle operazioni effettuate
• Permette di identificare con buona approssimazione il proprietario dell’identità
• Permette di condividere dati tra più entità
• È utilissima per gestire i rapporti con le istituzioni

CONTRO

• Richiede una registrazione in presenza, onerosa in termini di tempo e capacità tecniche
• È molto macchinosa da utilizzare
• Richiede una App che deve essere installata e registrata sul proprio smartphone
• Non è adatta per autenticazioni di sessioni lavorative giornaliere che diventerebbero troppo impegnative da sopportare da parte degli utenti
• Difficilmente applicabile fuori del contesto taliano in quanto l’Europa ha scelto CIE (Carta di Identità Elettronica)

5. Login + Password + Autenticazione CIE

Il concetto è lo stesso di SPID, da cui trae ispirazione, almeno come idea, ma molto semplificata perché la carta di identità è obbligatorio averla sempre appresso come cittadino e al rinnovo viene proposta solo quella elettronica. Quindi rispetto a SPID non richiede del tempo burocratico aggiuntivo per ottenerla.

Altra facilitazione rispetto a SPID risiede anche sull’univocità della APP che viene fornita per l’Italia direttamente dal Ministero dell’Interno e non si deve scegliere il gestore con ulteriori registrazioni e complessità burocratiche aggiuntive, tra cui la presentazione della carta di identità. Con CIE il tutto si risolve con NFC degli smartphone

Da un punto di vista tecnico ha molte caratteristiche simili ma non uguali a SPID e il risultato è lo stesso delle considerazioni fatte per SPID, ma notevolmente semplificato.

La possibilità di registrarsi con semplicità a livello 3 rende direttamente fruibile il sistema di autenticazione login e password-less.

L’autenticazione CIE ha inoltre una valenza europea essendo basata sulla carta di identità elettronica che dopo varie competenze è diventata univoca a livello europeo (in realtà c’è un documento elettronico che ha maggiori adesioni a livello internazionale anche extraeuropeo rispetto alla carta d’identità elettronica, che è il passaporto elettronico).

PRO

• È da considerarsi una autenticazione forte
• Ha un risvolto legale sulle operazioni effettuate
• Permette di identificare con buona approssimazione il proprietario dell’identità
• È indispensabile per la propria identità e viene rilasciata dal comune di residenza
• Permette di condividere dati tra più entità
• È utilissima per gestire i rapporti con le istituzioni
• È il sistema unico di identità a livello europeo
• L’app viene rilasciata da un solo gestore autorevole (Ministero dell’Interno italiano)

CONTRO

• Ha un grado di difficoltà di utilizzo non elevato ma che è precluso per alcune generazioni
• Richiede un app che deve essere installata e registrata sul proprio smartphone
• Ha necessità di una rete connessa a Internet e quindi non può essere utilizzata in alcune circostanze
• Non è applicabile fuori del contesto europeo

6. Autenticazione con Certificato Digitale (file)

L’autenticazione con certificato digitale client in forma completamente dematerializzata, cioè un file, è un sistema che permette, da un punto di vista tecnico, una barriera molto forte all’ingresso con uno sforzo computazionale molto basso.

Anche il suo utilizzo da parte degli utenti è molto semplice: una volta che l’utente ha ricevuto il file, ad esempio attraverso e-mail e il codice di sblocco su altro strumento o un’altra email, con un doppio click si installa sul portachiavi del proprio notebook / smartphone ed è pronto per l’utilizzo su qualsiasi browser o software che acceda al portachiavi.

Da quel momento in poi, se il servizio a cui ci colleghiamo richiede un certificato e quello caricato viene ritenuto valido, il servizio diventa utilizzabile.

È uno standard mondiale che sta alla base dell’SSL (TLS) e quindi è sempre disponibile sia per gli utenti sia per i servizi senza necessità di aggiungere nulla lato client e lato server.

Da un punto di vista di sicurezza tecnica garantisce standard elevati. Da un punto di vista di sicurezza funzionale un po’ meno. Infatti, se l’accesso al proprio personal computer non è adeguatamente protetto, una volta avviato il browser, il certificato rimane sempre disponibile dando la possibilità a chiunque usi il dispositivo di impersonificarsi come il legittimo intestatario.

Inoltre, lo stesso certificato può essere spedito a terze persone che lo possono utilizzare fingendosi come proprietario del certificato.

Un ulteriore limite consiste nel fatto che, essendo il certificato caricato nel portachiavi, se viene effettuato l’accesso a servizi con computer di terzi questo risulterebbe molto complicato: ciò richiederebbe il caricamento del certificato su un computer di terzi con un problema di sicurezza molto elevato se ci si dimentica poi di cancellarlo.

Il certificato digitale ha inoltre un onere di creazione e distribuzione molto elevato e su grandi numeri richiede degli strumenti specifici per effettuare operazioni massive. Noi di Oplon produciamo un sistema di Certification Authority che serve a questo scopo ma non cambia il tempo per eseguire l’intestazione dei certificati. Nelle prossime versioni di Oplon Secure Access stiamo sviluppando una soluzione che permetta di utilizzare questo utile strumento congiuntamente a MFA per fornire un terzo fattore di autenticazione in maniera più “smart” dando un sistema integrato e semplice da utilizzare che rafforza ulteriormente la sicurezza fornita da sistemi multifattoriali per servizi molto critici.

PRO

• È uno standard e per essere utilizzato non richiede installazioni lato client o server
• È semplice da utilizzare lato utente e lato servizio
• È semplice da distribuire
• Molto conveniente da un punto di vista economico se utilizzato come certification authority interna
• È molto comodo per autenticazioni di sessioni lavorative giornaliere: una volta caricato, l’accesso è immediato e garantito

CONTRO

• Per grossi volumi, se non supportato da strumenti smart è onerosa l’intestazione e la gestione
• Una volta caricato sul portachiavi rimane disponibile senza ulteriori richieste di riconoscimento dell’utilizzatore
• I certificati hanno una scadenza e devono essere periodicamente rinnovati e distribuiti

7. Autenticazione con Certificato Digitale (Badge/Pendrive)

Una grande differenza tra certificato digitale basato su un file e uno su badge o pendrive è sicuramente la non duplicazione del certificato. Questo è determinante per farlo annoverare tra le autenticazioni forti.

Il supporto badge o pendrive ha comunque delle complessità di utilizzo: spesso servono drive specifici che non sono presenti sul proprio PC e non sempre l’utilizzo è fluido e costante, così come non è semplice per l’utilizzatore capire dove sta il problema. Negli ultimi anni la situazione è sicuramente migliorata ma lo sforzo degli anni passati per far funzionare questo tipo di autenticazione ha dato adito a nuove forme di autenticazione alternative.

Non dimentichiamo che CIE (Carta di identità elettronica) e la carta di credito contengono dei certificati digitali di tipo badge, e il loro utilizzo, ad esempio attraverso smartphone, è molto facilitato da standard ormai riconosciuti come NFC. Utilizzare però questi strumenti su personal computer rimane ancora abbastanza difficoltoso.

PRO

• Su smartphone con MFA è sicuramente agevole da utilizzare
• Se l’app utilizzata è “bloccata” su un unico strumento c’è una associazione uno-a-uno tra badge - smartphone (che assicura al 95% la proprietà dell’utilizzatore)

CONTRO

• Sono supporti fisici che devono essere distribuiti
• Non sempre funzionano quando servono

8. Sistemi password-less

Per sistemi password-less si intende la funzionalità che elimina la richiesta di una password.

Fino ad ora abbiamo sempre parlato di login+password associato a un altro fattore di autenticazione; con un sistema passwordless invece, non viene più richiesta alcuna password in quanto il sistema propone una forma di autenticazione autonoma.

Un esempio di autenticazione password-less è l’autenticazione CIE con 3° livello di autenticazione che non richiede nemmeno il login.

In pratica l’operatività è che il servizio propone un QR code che identifica la transazione, non sa ancora chi sarà ad operare. L’app CieID legge il QR Code e facendo da delega, avendo ricevuto la certificazione livello 3 dal proprietario, è in grado solo dopo sblocco biometrico di spedire l’ok al servizio con l’indicazione anche dell’identità dell’operatore. Di fatto una notevole semplificazione!

L’unica controindicazione a questo approccio è che l’APP deve essere connessa a Internet. Qualcuno potrebbe obiettare che Internet ormai c’è ovunque ma purtroppo la realtà dimostra il contrario. Alcune volte, ad esempio in ospedali con uffici seminterrati, non è sempre presente la connettività Wi-Fi e a questi sarebbe preclusa l’operatività in queste condizioni.

PRO

• Dipende dall’implementazione

CONTRO

• Dipende dall’implementazione

9. Applicazioni Oplon 2FA

Oplon ha prodotto una applicazione 2FA specifica per conciliare la praticità associata all’identità dell’operatore. L’APP Oplon 2FA, disponibile su Play Store e Apple Store, in modo semplice ma rigoroso, può essere utilizzata solo su un device alla volta tramite biometria. Non usando le notifiche è quindi completamente autonoma rispetto ad altri provider terzi. Funziona solamente con l’autenticazione Oplon Secure Access.

Per garantire affidabilità e coerenza, dovevamo conciliare facilità d’uso, indipendenza da altri provider e dalla maggior parte di fattori esterni.

L’applicazione è disponibile gratuitamente in tutti i digital store.

PRO

• Semplice da installare e registrare

CONTRO

• Si deve utilizzare un APP
• Ha necessità di una rete connessa a Internet

Considerazioni sulla biometria:

Con il riconoscimento biometrico basato sulle impronte digitali, è possibile utilizzare uno smartphone da più persone se preventivamente si è registrata una impronta digitale non appartenete al proprietario dell’identità. In pratica se prima della registrazione dell’APP ho registrato sul telefono 2 impronte del proprietario del telefono e la terza impronta quella di un parente o amico, il telefono e l’APP saranno sbloccabili da due persone, o addirittura 3 o per quante impronte è possibile registrare.

Quindi per espletare pratiche che richiedono l’utilizzo di riconoscimento biometrico ma si vogliono affidare a terzi questo è possibile anche quando è prevista la biometria come condizione, avendo preventivamente registrato diverse impronte appartenenti a persone differenti. Certo è che la responsabilità legale rimarrebbe comunque in capo al proprietario dell’identità che, si spera volontariamente, abbia associato più impronte di sblocco a più persone.

Sul riconoscimento facciale o della voce ormai le casistiche di hacking sono innumerevoli e i sistemi di IA generativa stanno diventando di uso comune e a breve raggiungeranno una vasta platea di utilizzatori potenzialmente in grado di far diventare ognuno di noi un hacker.

Utilizzo delle notifiche smartphone:

Una pratica comune su più APP è utilizzare le notifiche per avvisare e “notificare” gli eventi.

Qui dipende da come sono state realizzate le APP.

Alcune, le più virtuose, utilizzano la notifica solo come elemento di notifica e eventuale richiamo dell’APP con la funzione interessata. Ma se si dovesse perdere la notifica attivando l’APP essendo un evento importante, quest'ultima lo evidenzia lo stesso e si è in grado di effettuare in ogni caso l’operazione.

Altre, meno virtuose, se per qualche ragione si perde la notifica anche entrando nell’APP o non esiste la possibilità di effettuare l’operazione notificata o è necessario ripetere l’operazione

Altre, meno virtuose, se per qualche ragione si perde la notifica anche entrando nell’APP o non esiste la possibilità di effettuare l’operazione notificata o è necessario ripetere l’operazione diventa irritante.

In ogni caso legare alla sola notifica un’operazione importante è fondamentalmente sbagliato. Ci si lega a un ulteriore fornitore che aggiungendo tecnologia ovviamente può introdurre disservi

Per concludere:

Tutti i sistemi MFA definiti “forti” sopra citati, possono dare, con buona approssimazione, la certezza che nessuno utilizzi il proprio profilo in maniera fraudolenta senza l’autorizzazione o complicità del proprietario dell’identità.

Nessuno dei sistemi sopra esposti però, può dare la certezza al fornitore del servizio che ad operare ci sia effettivamente la persona che dice di essere perché tutti i sistemi, di fatto, possono essere aggirati con delle “deleghe occulte” con la “complicità” del legittimo proprietario fermo restando poi la responsabilità legale sulle operazioni effettuate.

Oplon studia e ricerca continuamente nei propri laboratori soluzioni alternative o migliorative per garantire agli utenti il massimo della sicurezza nella consapevolezza che le persone siano sempre tenute aggiornate sulle opportunità che la tecnologia offre, ma anche che tutte le tecnologie che vengono proposte hanno dei limiti che bisogna conoscere per non sbagliare o meglio, per sbagliare il meno possibile nell’utilizzo.