Autenticazione forte, ma non troppo!

Una delle architravi della sicurezza informatica è il concetto di autenticazione, ovvero la capacità di poter provare (a una persona/software/sistema informatico) la propria identità. Lo facciamo ogni volta che entriamo nel nostro account di posta elettronica o nelle applicazioni aziendali. Il mezzo più usato per fornire questa prova è l'”odiata” password, ovvero il segreto, condiviso fra noi e l’applicazione, che ci permette di dimostrare chi siamo. Per questo la sicurezza delle password è così importante. I database di credenziali infatti sono tra i bersagli maggiormente ambiti dalla criminalità informatica.

Per rafforzare questo bastione, da anni si propone di affiancare alle password un secondo fattore di autenticazione. Dai primi pionieristici “token” hardware, con generatori quasi-casuali di numeri, sono state messe a punto molte soluzioni. Quella che forse ha avuto maggiormente successo si basa sull’invio, al telefono dell’utente, di un codice da inserire nel sistema informatico dopo la password. Sicuramente favorito dall’enorme diffusione dei cellulari, questo sistema è purtroppo insicuro, perché si basa sulla tecnologia degli SMS, sviluppata molti anni fa senza specifici requisiti di sicurezza. Non a caso il NIST, uno dei più prestigiosi enti federali americani, che si occupa di standard anche di sicurezza informatica, ha di recente raccomandato il suo abbandono.

Fortunatamente esistono valide alternative, oltre ai già citati token hardware, come i sistemi basati su certificati digitali, oppure su tecniche biometriche. Un buon compromesso fra sicurezza e usabilità viene infine offerto dai vari autenticatori su smartphone, basati su app specializzate. Il consiglio è quindi di adottare sempre un sistema di autenticazione a due (o più) fattori e di abbandonare quelli basati sui vecchi SMS.