I TRE MOSCHETTIERI
CAS@WEB – “ESSE O NON ESSE, QUESTO È IL PROBLEMA!”
18 Gennaio 2021
SE NON LO SAI, SALLO!
10 Febbraio 2021
Esistono attualmente tre sistemi attraverso i quali un computer o un dispositivo possono identificare una persona:
- qualcosa che conosciamo (come password, codici, pin, informazioni personali, ecc.);
- qualcosa che siamo (come il riconoscimento facciale, una o più impronte digitali, la voce, ecc.);
- qualcosa che possediamo (come il bancomat, il cellulare, un token, ecc.).
Sono noti come “fattori di autenticazione” e il loro scopo comune è raggiungere uno standard minimo di conferma dell’identità di chi svolge determinate azioni.
Solo l’attivazione integrata in un sistema di almeno 2 di questi fattori consente di definirlo “sicuro”.
Abbiamo già analizzato alcuni aspetti dell’uso delle password e accennato ad alcune loro problematiche, tra le quali in fatto che un sistema di verifica a doppia password non è molto più efficace di uno che ne usa una soltanto.
Se invece consideriamo 2 diversi fattori di autenticazione il miglioramento nella sicurezza diventa significativo.
Un esempio di sistema binario di autenticazione è l’uso del bancomat: per avere la conferma che chi materialmente preleva dallo sportello bancario automatico sia il proprietario del conto vengono infatti attivati il primo e il terzo fattore.
Il bancomat, infatti, per rendere il servizio richiesto verifica la conoscenza del PIN (Personal Identification Number, numero di identificazione personale) e il possesso della carta di debito (la tessera magnetica).
Non è un sistema perfetto e infallibile: tutti sappiamo che un bancomat può essere fraudolentemente clonato, ma se la tessera magnetica fosse (per assurdo) sostituita da un secondo PIN, non potremmo definire il sistema “sicuro” perché duplicherebbe un singolo fattore (“qualcosa che conosciamo”).
Una persona distratta o ingenua, che non controlla bene chi c’è nei suoi paraggi prima di inserire i due PIN allo sportello del bancomat, offrirebbe generosamente al ragazzino o all’anziano truffatore alle sue spalle, dotati di occhio lungo e buona memoria, una libera donazione.
Se invece, oltre ad un PIN, il nostro benefattore deve inserire anche la sua tessera magnetica, ai due manigoldi (termine romantico almeno quanto quello di malfattori) non basteranno le doti fisiche e mnemoniche, ma dovranno trasformarsi in criminali (almeno in taccheggiatori o rapinatori), con tutte le complicazioni giudiziarie del caso.
Nei prossimi numeri vedremo i punti di forza e le criticità dei singoli fattori di autenticazione e analizzeremo l’efficacia in termini di sicurezza delle loro possibili combinazioni.
