Appunti Autenticazione e autorizzazione

INDICE

Identificazione

Autenticazione

Autenticazione a 1-2-3 fattori

Sistemi biometrici

Processo di autenticazione

Problemi

Autorizzazione

Access Control

Discretionary access control (DAC)

Mandatory access control (MAC)

Non ripudio

Identificazione

13. Autenticazione. Autorizzazione 1

L'identificazione è la verifica dell'identità di una persona o di una cosa.

Autenticazione

L'autenticazione è l'atto di confermare la verità di un attributo di una singola parte di dato o di una informazione sostenuta da un'entità, ossia è il processo di confermare davvero l'identità.

Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer, software e utenti: dunque, essendo irraggiungibile la soluzione "totalmente sicura", si può soltanto cercare di sottoporre l'autenticando a diverse prove, ad esempio delle domande alle quali bisogna rispondere.

correttamente. Un esempio di tutti i giorni è la comune procedura di autenticazione che conosciamo come login: l'accesso viene garantito solo dopo aver eseguito con successo una procedura di autenticazione, di solito tramite l'inserimento di uno username e/o una password.

Un contenitore di login/password è la chiave hardware: questo è un dispositivo che contiene una memoria interna dove è possibile memorizzare password, codici, firme digitali. La sicurezza del contenitore si basa sull'affidabilità del proprietario.

L'autenticazione può essere:

• semplice (come ad esempio una banconota): è unidirezionale, ovvero a solo uno delle due parti coinvolte interessa l'autenticazione.
• mutua: ci si basa sulla certezza reciproca.

Autenticazione a 1-2-3 fattori

I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi:

1. qualcosa che so (something you know): es. password o un codice PIN
2. qualcosa che ho (something you have): es. una chiave hardware o una smart card
3. qualcosa che sono (something you are): es. impronte digitali o riconoscimento facciale

(something you have): token installato su un dispositivo mobile che si possiede, una tessera bancomat, telefono etc. qualcosa che sono (something you are): riconoscimento biometrico 13. Autenticazione. Autorizzazione 2 La scelta dei diversi metodi di autenticazione è condizionata dai diversi fattori tra cui l'usabilità, l'importanza delle informazioni da proteggere ed il costo del sistema. Spesso, al posto del singolo metodo, viene usata una combinazione di metodi (autenticazione a due fattori) aumentando la sicurezza del sistema stesso. Sistemi biometrici Il sistema di riconoscimento biometrico è uno strumento di autenticazione che si basa sulle caratteristiche fisiche uniche dell'uomo. L'identificazione di una persona avviene sulla base di una o più caratteristiche fisiologiche e/o comportamentali (biometria), confrontandole con i dati precedentemente acquisiti e presenti nel database del sistema, tramite algoritmi e sensori di acquisizione dei.

Dati in input. I sistemi biometrici presentano diverse criticità:

Se si configura uno scanner d'impronte digitali alla sua massima risoluzione, si può non riuscire nell'autentificazione se le mani sono fredde oppure se sono presenti vesciche.

Per le impronte digitali risulta semplice copiarle utilizzando anche poche fotografie.

Il riconoscimento dell'iride e la stampa del viso si sono dimostrati troppo facili da falsificare.

A differenza di una password, se la scansione della retina o delle impronte digitali è stata rubata, non può certo essere modificata. La probabilità di rubare la tua password o il tuo token in aggiunta alla probabilità che qualcuno trafughi un'impronta digitale adatta è infinitamente piccola.

La biometria permette di stabilire che ogni individuo ha caratteristiche:

• Universali: tutti devono averla.
• Uniche: due o più individui non possono avere la stessa uguale caratteristica.
• Permanenti: questa non varia.

nel tempo. Collezionabili: deve essere misurata quantitativamente. Processo di autenticazione Si crea l'impronta biometrica di riferimento attraverso la registrazione dell'utente, conosciuta anche come fase di enrollment. Viene creato un template tramite l'acquisizione di una o più immagini o suoni relative all'individuo. 13. Autenticazione. Autorizzazione 3 Queste caratteristiche vengono elaborate grazie ad un algoritmo che varia da sistema a sistema. Il template viene quindi memorizzato nel sistema in modo tale da essere utilizzato come confronto durante la fase di autenticazione. Per aumentare la sicurezza del sistema di riconoscimento si possono utilizzare più tecniche biometriche grazie ai sistemi multi modali. Questi sistemi permettono un riconoscimento più preciso e diminuiscono il failure-to-enroll rate, ovvero il tasso di errore. Problemi FAR (False Acceptance Rate): è la percentuale di false accettazioni, utenti non autorizzati ma accettati percorrettamente formattato utilizzando i seguenti tag HTML:

errore.FRR (False Rejection Rate): è la percentuale di falsi rifiuti, utenti autorizzati marespinti per errore.Qualunque sistema biometrico permette di aumentare e diminuire la sensibilità,regolando il rapporto tra i falsi rifiuti e le false accettazioni.Inoltre, i problemi di affidabilità dei sistemi biometrici sono dovuti alle seguenti considerazioni:

• Le caratteristiche fisiche sono instabili e variabili (ferita sulla mano, voce distorta per raffreddore, pupille dilatate ecc).
• Facile da copiare e non si può cambiare.
• Possono mettere a repentaglio l'integrità fisica del soggetto.

Autorizzazione: è la funzione che specifica i privilegi di accesso alle risorse legate alla sicurezza delle informazioni: in pratica verifica che l'utente sia autorizzato a fare quello che sta facendo.Il controllo degli accessi nei sistemi e nelle reti informatiche si basa sulle politiche di accesso. Il processo di controllo dell'accesso può essere

suddiviso nelle seguenti fasi: 1. La fase di definizione delle politiche in cui l'accesso è autorizzato. 2. Autenticazione. 3. Autorizzazione. 4. La fase di esecuzione delle politiche, in cui le richieste di accesso sono approvate o respinte. 5. L'autorizzazione può essere: - Statica: in cui tutti i soggetti possono usare un determinato programma o accedere a un determinato tipo di risorse. - Dinamica: in cui i soggetti hanno accesso ai servizi dell'azienda solo in una determinata fascia oraria (es. orario di lavoro). 6. Gli utenti attendibili sono spesso autorizzati all'accesso illimitato alle risorse di un sistema, ma devono essere autenticati, in modo che il sistema di controllo dell'accesso possa prendere la decisione di approvazione. Gli utenti "parzialmente" affidabili e i guest hanno un'autorizzazione limitata, al fine di proteggere le risorse dall'uso improprio. Access Control Discretionary access control (DAC) I controlli sono discrezionali, in quantoIl proprietario di un oggetto decide di assegnargli i diritti di accesso voluti, ad esempio decidendo se mostrare un file a qualcuno o no. Con questa modalità, gli errori di utenti o applicazioni mettono a rischio il sistema.

Un modello di DAC è l'Unix file mode, che rappresenta i permessi di scrittura, lettura ed esecuzione in ognuna delle 3 parti per ciascun Utente, Gruppo e Altri.

Mandatory access control (MAC)

Il sistema viene rappresentato in termini di processi e oggetti. L'amministratore definisce esplicite policy su tutti gli accessi, ossia gli usi che i processi fanno degli oggetti.

Il controllo di accesso si basa sulla specifica a priori di una serie di attributi di sicurezza rispettivamente per soggetti e oggetti: quando un soggetto tenta l'accesso a un oggetto, il kernel del sistema operativo avvia una regola di autorizzazione che esamina gli attributi di sicurezza di soggetti e oggetti e decide se l'accesso può aver luogo oppure essere negato.

negato.È un metodo particolarmente complesso da gestire.

Non ripudio13. Autenticazione. Autorizzazione 5