Il riconoscimento dell’identità di un soggetto, in un mondo digitale, è un tema delicato, in quanto deve essere valutato in termini di aspettative di sicurezza, facilità d’uso, costi di implementazione ma soprattutto di rischi per l’azienda. Esistono tante soluzioni, sia costose che economiche, semplici o complesse, ma non esiste un’unica soluzione, che sia pratica e anche assolutamente sicura. Esisterà sempre un rischio di compromissione dell’identità digitale o delle credenziali di autenticazione. L’unica certezza è che non possiamo evitare questo rischio. Come tutti i rischi, è richiesta la consapevolezza delle conseguenze a seguito delle decisioni prese.
Le varie fasi del riconoscimento d’identità
In tutte le transazioni digitali, da quelle personali come la connessione ai social e quelle aziendali come l’accesso a un portale fornitori, è richiesto un passo iniziale di riconoscimento dell’identità. Il meccanismo di riconoscimento di un nome digitale (userid, username), prevede sempre tre fasi, anche se abbiamo la percezione di un’unica attività:
- identificazione: riconoscimento del nome digitale come quello associato a un soggetto fisico con cui si è in relazione;
- autenticazione: dimostrazione che quel nome digitale rappresenta il soggetto fisico con cui si è in relazione;
- autorizzazione: attribuzione di diritti di accesso al nome digitale in quanto rappresentante del soggetto fisico con cui si è in relazione.
L’identificazione è solida come anche l’autorizzazione, in quanto i meccanismi attuali sono semplici ed efficaci. Per identificare è sufficiente che il nome appartenga all’insieme degli account registrati. Per autorizzare viene utilizzato un sistema ad albero che mappa le risorse accessibili sui ruoli definiti e il nome deve risultare associato a uno o più ruoli. I rischi in questi casi sono dovuti alla gestione di chi eroga il servizio, che potrebbe non recepire abbastanza rapidamente le variazioni di stato dell’identità, ma è un rischio facilmente gestibile con misure tecnico/organizzative che assicurano i giusti controlli alla funzionalità. Ogni azienda può trovare facilmente la soluzione più idonea alle proprie necessità, in quanto le soluzioni più comuni sul mercato, sono tutte di qualità.
Il vero problema è nell’autenticazione. Dimostrare con un ragionevole livello di sicurezza, che l’identità fisica, che sta utilizzando il nome digitale, rappresenta realmente chi ha la proprietà di quel nome. Cerchiamo un ragionevole livello e non la certezza assoluta perché il meccanismo deve rispondere innanzitutto alle esigenze aziendali, alla valutazione del rischio e non a semplici opportunità tecnologiche. In altre parole, la scelta di adeguatezza tecnologica deve essere bilanciata con il rispetto della creazione di valore per l’azienda e con la semplicità di implementazione e d’uso.
Riconoscimento d’identità: i vari metodi di autenticazione
Qualunque sia il metodo prescelto di autenticare un nome digitale, questo deve utilizzare dei parametri specifici, associabili con esclusività al proprietario del nome digitale, per dimostrare la relazione in essere. La capacità di dimostrare l’associazione, è lo sforzo richiesto per creare la prova che quel nome, non può che essere proprio chi dice di essere. Ma qui sta anche la debolezza di fondo delle tecniche di autenticazione, poiché dimostrano con buona sicurezza che il legame tra nome digitale e parametri esiste ma non vuol dire necessariamente che l’uso del nome o dei parametri siano, nel momento dell’autenticazione, nelle disponibilità esclusive del soggetto che si deve autenticare.
Vediamo le principali categorie di autenticazione con le differenze tra semplicità, economicità e robustezza del metodo.
Something you know: si basa sulla conoscenza di qualcosa che è noto solo al legittimo proprietario del nome. Rappresenta il caso più semplice ed economico da implementare, per esempio, una password o un PIN è il parametro che solo il soggetto conosce. La robustezza del metodo si affida alla complessità della password ed alla capacità di garantire la riservatezza della stessa. Riconosce la coppia nome e password come vera ma non dà informazioni sul riconoscimento del soggetto fisico né sul dispositivo utilizzato.
Something you have: si basa sul possesso esclusivo di un oggetto, sia esso tangibile oppure intangibile. Rappresenta un livello di complessità leggermente superiore al precedente per gestire la riservatezza dell’oggetto ma è ancora economico, per esempio, una smart card, un token o un cookie sul PC. La robustezza del meccanismo è più elevata se confrontata con una semplice password ma non garantisce sull’identità fisica associata al nome digitale.
Something you are: si basa sulle caratteristiche distintive dell’identità fisica. Richiede un meccanismo tecnologico di analisi delle caratteristiche fisiche del soggetto, per esempio, un’impronta digitale, la scansione dell’iride o la geometria facciale. La robustezza è valida se l’algoritmo utilizza pattern di riconoscimento di elevata risoluzione. Se è utilizzata come puro surrogato di una password complessa, l’evoluzione tecnologica può far emergere delle debolezze. La semplicità d’uso è condizionata da necessità implementative che potrebbero risultare non economiche.
Something you can do: si basa sulla capacità di fare un qualcosa in modo esclusivo. Richiede la definizione di un’abilità specifica a riconoscere in modo certo una identità fisica, per esempio, la firma autografa o digitale, o il decifrare un messaggio crittografato. Richiede un meccanismo tecnologico per la gestione dei certificati digitali, non necessariamente complicato o costoso, ma l’affidabilità nel riconoscimento di validità del certificato non si riflette sull’identità fisica.
Someone trusts you: si basa sulla fiducia accordata ad un soggetto terzo che garantisce la veridicità delle dichiarazioni. Rappresenta un metodo molto pratico per autenticarsi verso soggetti che non si conoscono ma aventi un terzo di fiducia che garantisce per entrambi, per esempio, un notaio od un entità che fornisce servizi di identità. Richiede l’appartenenza ad un ecosistema basato sulla fiducia accordata ad una entità nota come identity provider. Tecnologicamente il sistema è robusto, richiede un’interazione con l’entità di fiducia ma non è esente da vulnerabilità.
Il Sistema Pubblico di Identità Digitale (SPID)
Un esempio di quest’ultima categoria è il Sistema Pubblico di Identità Digitale (SPID). Senza elencare i meriti di questo sistema, ce ne sono molti e anche ha la possibilità di interessanti evoluzioni, vediamo qual è una vulnerabilità difficile da eliminare. La fiducia è vulnerabile alla fiducia. Supponiamo di dover compiere un’operazione non semplice su un sito con autenticazione SPID. Visto che non riusciamo a fare quanto voluto, telefoniamo a un conoscente chiedendogli se ci può aiutare. Dopo un po’ il conoscente ci richiama e ci chiede di conoscere il numero giunto con un sms sul nostro cellulare. Gli forniamo questo numero e poi, sempre il conoscente, ci comunica che ha fatto tutto. Siamo sicuri di aver agito bene? Il sistema ha autenticato correttamente l’identità digitale ma quella fisica è chiaramente fuori dal suo radar.
La scelta del metodo di autenticazione
I vari metodi di autenticazione, ci forniscono un quadro abbastanza chiaro delle possibilità che abbiamo disponibili. Sono due le idee che predominano, la prima prevede di usare un qualcosa associato alla nostra identità fisica mentre l’altro prevede di interagire con un nostro strumento esclusivo. Nel primo caso, le soluzioni sono o deboli come efficacia o complicate come uso, mentre nel secondo, le soluzioni operano agevolmente sul dispositivo ma non si accorgono di chi sia l’utilizzatore.
Nella scelta di quale metodo utilizzare, vanno ponderate due prospettive, la tecnologia, perché ha varie soluzioni ma nessuna definitiva, e la responsabilità, perché fa parte integrante della soluzione. Responsabilità nella scelta del metodo, a minor rischio per il valore del bene a cui si accede e responsabilità nell’uso, per non introdurre inutili vulnerabilità. Per un’azienda, la scelta sarà preceduta da una valutazione del rischio di impatto sul business per ciascuna opzione tecnologica, ed inoltre, non potrà mancare un piano di formazione per creare consapevolezza sulle conseguenze, e un insieme di controlli per un tempestivo intervento in caso di anomalie.
Quindi, nessun automatismo, nessuna simpatia per una tecnologia, nessuna scorciatoia per evitare i costi ma una consapevole ricerca di una soluzione, che sia in quel momento adeguata all’azienda, nonché una rivalutazione periodica delle scelte fatte.
Conclusioni
Il riconoscimento dell’identità è sempre un rischio ma deve essere accettato. Pur sapendo che esistono delle debolezze su qualunque sistema si adotti, non si possono bloccare i processi economici e sociali dove è necessaria l’identificazione dell’interessato. Il metodo prescelto sarà basato su considerazioni che vanno oltre la pura tecnologia e ricadono sulle valutazioni del rischio aziendale e sulla capacità di trattare tale rischio.
Nonostante sembri una scelta tecnologica, sarà il contesto ove opera l’azienda e la sua propensione al rischio, a indirizzare la decisione finale. Se il valore dell’asset a cui accediamo è limitato ai fini degli obiettivi di business, allora una soluzione semplice ed economica si dimostrerà la scelta ovvia. Se il valore dell’asset a cui accediamo è elevato, allora dobbiamo ragionevolmente richiedere maggior precisione nell’identificazione e aspettarci di affrontare un costo (come fosse un premio di assicurazione per limitare le conseguenze di un incidente) per un meccanismo che ci assicuri il livello di riconoscimento desiderato, ma che richieda anche una maggior complessità e forse qualche malcontento dell’utente.