Home

Think

Argomenti

Autenticazione

 Cos'è l'autenticazione?
Esplora la soluzione di autenticazione di IBM Iscriviti alla newsletter di Think
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta

Data di pubblicazione: 18 giugno 2024

Autore: Matthew Kosinski
Cos'è l'autenticazione?

In un sistema informatico, l'autenticazione ("auth" in breve) è il processo che verifica che un utente sia la persona che dichiara di essere. La maggior parte dei sistemi di autenticazione si basa su fattori di autenticazione, che sono elementi (una carta magnetica), caratteristiche (una scansione delle impronte digitali) o frammenti di informazioni (un codice PIN) che solo l'utente possiede.

Consideriamo il tipico scenario di autenticazione: fornire un ID utente e una password per accedere a un account e-mail. Quando l'utente inserisce il proprio ID (che in questa situazione è probabilmente il suo indirizzo e-mail) dice al sistema di posta elettronica: "Ecco chi sono".

Ma questo non è sufficiente per verificare l'identità dell'utente finale. Chiunque può inserire l'ID utente che desidera, soprattutto quando l'ID di un utente è pubblico come un indirizzo e-mail. Per dimostrare di essere veramente la persona proprietaria di quell'indirizzo email, l'utente inserisce la propria password, una informazione segreta che (in teoria) nessun altro dovrebbe avere. Il sistema e-mail identifica quindi questo utente come il vero titolare dell'account e gli concede di accedere.

I processi di autenticazione possono inoltre confermare l'identità di utenti non umani come server, applicazioni Web e altre macchine e workload.

L'autenticazione è una componente fondamentale della strategia di sicurezza delle informazioni. È particolarmente importante per la gestione delle identità e degli accessi (IAM), la disciplina di cybersecurity che si occupa del modo in cui gli utenti accedono alle risorse digitali. L'autenticazione consente alle organizzazioni di limitare l'accesso alla rete agli utenti legittimi ed è il primo passo per far rispettare le autorizzazioni dei singoli utenti.

Oggi, le identità degli utenti sono gli obiettivi principali per gli autori delle minacce. Secondo l'IBM® X-Force Threat Intelligence, il dirottamento di account utenti validi è il modo più diffuso con cui gli autori di un attacco entrano nelle reti e rappresenta il 30% degli attacchi informatici. Gli hacker rubano le credenziali per poi spacciarsi come gli utenti legittimi, il che consente loro di aggirare le difese di rete per infiltrare malware e rubare dati.

Per combattere questi attacchi basati sulle identità, numerose organizzazioni non stanno più utilizzando metodi di autenticazione basati esclusivamente su password. Stanno invece adottando l'autenticazione a più fattori, l'autenticazione adattiva e altri sistemi di autenticazione robusti in cui le credenziali degli utenti sono più difficili da rubare o falsificare.

Autenticazione vs autorizzazione

L'autenticazione e l'autorizzazione sono processi correlati ma distinti. L'autenticazione verifica l'identità di un utente, mentre l'autorizzazione concede all'utente verificato il livello di accesso appropriato a una risorsa.

Si può pensare all'autenticazione e all'autorizzazione come alla risposta a due domande complementari:

  • Autenticazione: chi sei?

  • Autorizzazione: che cosa puoi fare in questo sistema?

L'autenticazione in genere è un prerequisito per l'autorizzazione. Ad esempio, quando un amministratore di rete accede a un sistema sicuro, deve dimostrare di essere l'amministratore fornendo i fattori di autenticazione corretti. Solo allora il sistema IAM autorizzerà l'utente a eseguire azioni amministrative come l'aggiunta e l'eliminazione di altri utenti.

KuppingerCole Access Management Leadership Compass

Scopri perché le organizzazioni che sono alla ricerca di soluzioni di autenticazione aziendale mature, scalabili e sicure dovrebbero prendere in considerazione IBM.
Contenuti correlati Registrati per l'X-Force Threat Intelligence Index
Come funziona l'autenticazione degli utenti?

Ad alto livello, l'autenticazione si basa sullo scambio di credenziali utente, chiamate anche fattori di autenticazione. Un utente fornisce le proprie credenziali al sistema di autenticazione. Se corrispondono a quello che il sistema ha in archivio, il sistema autentica l'utente.

Volendo approfondire, è possibile suddividere il processo di autenticazione in una serie di passaggi:

  1. Innanzitutto, un nuovo utente deve creare un account all'interno di un sistema di autenticazione. Come parte della creazione di questo account, l'utente registra una serie di fattori di autenticazione, che possono variare da semplici password a token di sicurezza fisica e scansioni di impronte digitali. (Per ulteriori informazioni, vedi "Fattori di autenticazione".)

    Questi fattori dovrebbero essere conosciuti o posseduti solo dall'utente. In questo modo, il sistema di autenticazione può essere ragionevolmente sicuro che, se qualcuno può fornire questi fattori, questo sarà appunto l'utente.

  2. Il sistema di autenticazione memorizza le credenziali dell'utente in una directory o in un database, dove sono associate all'ID dell'utente e ad altri attributi importanti.

    Per motivi di sicurezza, i sistemi di autenticazione solitamente non memorizzano le credenziali come testo semplice. Memorizzano invece versioni con hash o crittografate, che risulterebbero meno utili in caso di furto da parte di hacker.

  3. Quando l'utente desidera accedere al sistema, fornisce il proprio ID utente e i fattori di autenticazione registrati. Il sistema di autenticazione verifica la voce della directory per questo ID utente, per vedere se le sue credenziali corrispondono a quelle salvate nella directory. In caso affermativo, il sistema di autenticazione verifica l'identità dell'utente.

    Quello che l'utente verificato può fare successivamente dipende dal processo di autorizzazione separato, ma correlato.

Sebbene in questo esempio si presupponga un utente umano, l'autenticazione è generalmente la stessa per gli utenti non umani. Ad esempio, quando uno sviluppatore connette per la prima volta un'app a un'interfaccia di programmazione delle applicazioni (API), l'API potrebbe generare una chiave API. La chiave è un valore segreto che solo l'API e l'app conoscono. Da quel momento in poi, ogni volta che l'app effettua una chiamata a tale API, deve mostrare la sua chiave per dimostrare che la chiamata è autentica.
Fattori di autenticazione

Esistono quattro tipi di fattori di autenticazione che gli utenti possono utilizzare per dimostrare la propria identità:
Fattori di conoscenza (qualcosa che l'utente conosce)

I fattori di conoscenza sono informazioni che, in teoria, solo l'utente conosce, come le password, i PIN e le risposte alle domande di sicurezza. Sebbene i fattori di conoscenza siano diffusi, sono anche i fattori più facili da rubare o da decifrare.
Fattori di possesso (qualcosa che l'utente possiede)

I fattori di possesso sono cose che un utente possiede. Sebbene alcuni utenti dispongano di token di sicurezza hardware dedicati e progettati esclusivamente per agire come fattori di possesso, molte persone usano i propri dispositivi mobili.

Ad esempio, un utente può installare un'app di autenticazione che genera password monouso (OTP) che scadono dopo un singolo utilizzo. Gli utenti possono ricevere le OTP anche tramite messaggi di testo SMS.

Le macchine e i workload utilizzano spesso certificati digitali, emessi da terze parti fidate, come fattori di possesso.

Fattori di inerenza (qualcosa che l'utente è)

I fattori di inerenza sono tratti fisici esclusivi di un utente. Questa categoria comprende metodi di autenticazione biometrica come il riconoscimento facciale e la scansione delle impronte digitali.
Fattori comportamentali (qualcosa che l'utente fa)

I fattori comportamentali sono modelli comportamentali, come l'intervallo di indirizzi IP tipico di una persona, le ore di attività e la velocità media di digitazione.

Gli schemi di autenticazione adattiva utilizzano spesso fattori comportamentali per valutare il livello di rischio di un utente. (Per ulteriori informazioni, vedi "Tipi di autenticazione".)
Single sign-on, federazione delle identità e orchestrazione delle identità

Tradizionalmente, ogni singola app, sito Web o altra risorsa dovrebbe avere il proprio sistema di gestione delle identità e degli accessi (IAM) per gestire l'autenticazione degli utenti. Con l'avvento della trasformazione digitale e la proliferazione di app aziendali e per i consumatori, questo sistema frammentato è diventato ingombrante e scomodo.

Le organizzazioni hanno difficoltà a tenere traccia degli utenti e ad applicare politiche di accesso coerenti in tutta la rete. Gli utenti adottano abitudini di sicurezza scorrette, come ad esempio l'utilizzo di password semplici o il riutilizzo delle credenziali tra i vari sistemi.

In risposta a questo, numerose organizzazioni stanno implementando approcci più unificati all'identità in cui un singolo sistema può autenticare gli utenti per varie app e asset.

  • Il Single Sign-On (SSO) è uno schema di autenticazione in cui gli utenti possono accedere una volta utilizzando un unico set di credenziali e accedere a più applicazioni all'interno di un dominio specifico.
  • L'architettura delle identità federate è un accordo di autenticazione più ampio in cui un sistema può autenticare gli utenti per un altro. Gli accessi social, come l'utilizzo di un account Google per accedere a un altro sito Web, sono una forma comune di identità federata.
  • L'orchestrazione delle identità elimina l'identità e l'autenticazione dai singoli sistemi, trattando l'identità come un livello di rete a sé stante. Le soluzioni di orchestrazione delle identità introducono un livello di integrazione, chiamato identity fabric, che consente alle organizzazioni di creare sistemi di autenticazione personalizzati in grado di integrare qualsiasi app e risorsa .
Tipi di autenticazione

Sistemi di autenticazione diversi utilizzano schemi di autenticazione diversi. Alcuni dei tipi più comuni includono:

  • Autenticazione a singolo fattore
  • Autenticazione a più fattori e autenticazione a due fattori
  • Autenticazione adattiva
  • Autenticazione senza password
 Autenticazione a singolo fattore

Nel processo di autenticazione a singolo fattore (SFA), agli utenti è richiesto di fornire un solo fattore di autenticazione per dimostrare la propria identità. Più comunemente, i sistemi SFA si basano su combinazioni di nome utente e password.

Il sistema SFA è considerato il tipo di autenticazione meno sicuro perché implica che gli hacker devono rubare solo una credenziale per impossessarsi dell'account di un utente. La Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti scoraggia ufficialmente l'SFA in quanto "cattiva pratica".

 Autenticazione a più fattori

I metodi di autenticazione a più fattori (MFA) richiedono almeno due fattori di almeno due tipi diversi. Il sistema MFA è considerato più robusto dell'SFA in quanto gli hacker devono rubare più credenziali per assumere il controllo degli account degli utenti. I sistemi MFA tendono inoltre a utilizzare credenziali che sono molto più difficili da rubare rispetto alle password.

L'autenticazione a due fattori (2FA) è un tipo di MFA che utilizza esattamente due fattori di autenticazione. È probabilmente la forma più diffusa di MFA in uso oggi. Ad esempio, quando un sito web richiede agli utenti di inserire sia una password sia un codice che viene inviato via sms al telefono, si tratta di uno schema 2FA.

Autenticazione adattiva

A volte chiamati autenticazione basata sul rischio, i sistemi di autenticazione adattiva utilizzano l'AI e l'apprendimento automatico (ML) per analizzare il comportamento degli utenti e calcolare il livello di rischio. I sistemi di autenticazione adattiva modificano dinamicamente i requisiti di autenticazione in base al grado di rischio del comportamento di un utente in quel momento.

Ad esempio, se qualcuno accede a un account dal proprio dispositivo e dalla posizione abituali, potrebbe dover inserire solo la password. Se lo stesso utente accede da un nuovo dispositivo o tenta di accedere a dati sensibili, il sistema di autenticazione adattiva potrebbe richiedere più fattori prima di consentirgli di procedere.

Autenticazione senza password

L'autenticazione senza password è un sistema di autenticazione che non utilizza password o altri fattori di conoscenza. Ad esempio, lo standard di autenticazione Fast Identity Online 2 (FIDO2) sostituisce le password con passkey basate sulla crittografia a chiave pubblica.

In FIDO2, un utente registra il proprio dispositivo perché abbia funzione da autenticatore con un'app, un sito Web o un altro servizio. Durante la registrazione, viene creata una coppia di chiavi pubblica-privata. La chiave pubblica viene condivisa con il servizio e la chiave privata viene conservata nel dispositivo dell'utente.

Quando l'utente vuole accedere al servizio, il servizio invia una richiesta di verifica al suo dispositivo. L'utente risponde inserendo un codice PIN, scansionando la propria impronta digitale o eseguendo un'altra azione. Questa azione consente al dispositivo di utilizzare la chiave privata per firmare la richiesta di verifica e dimostrare l'identità dell'utente.

Le organizzazioni stanno adottando sempre più l'autenticazione senza password per difendersi dai ladri di credenziali, che tendono a concentrarsi sui fattori di conoscenza a causa di quanto siano relativamente facili da rubare.

 Altri tipi di autenticazione
  • Lo Security Assertion Markup Language (SAML) è uno standard aperto che consente alle app e ai servizi di condividere le informazioni di autenticazione degli utenti attraverso messaggi XML. Numerosi sistemi SSO utilizzano asserzioni SAML per autenticare gli utenti nelle app integrate.

  • OAuth e OpenID Connect (OIDC): OAuth è un protocollo di autorizzazione basato su token che consente agli utenti di concedere a un'app l'accesso ai dati di un'altra app senza condividere le credenziali tra tali app. Ad esempio, quando un utente lascia che un sito di social importi i propri contatti e-mail, questo processo spesso utilizza OAuth.

    OAuth non è un protocollo di autenticazione, ma può essere combinato con OpenID Connect (OIDC), un livello di identità basato sul protocollo OAuth. ODIC aggiunge token ID ai token di autorizzazione di OAuth. Questi token ID possono autenticare un utente e contenere informazioni sui suoi attributi.

  • Kerberos è uno schema di autenticazione basato su ticket comunemente utilizzato nei domini Microsoft Active Directory. Gli utenti e i servizi eseguono l'autenticazione a un centro di distribuzione di chiavi centrale, che concede loro ticket che consentono loro di autenticarsi l'uno con l'altro e di accedere ad altre risorse nello stesso dominio.
Perché l'autenticazione è importante

Man mano che i controlli di cybersecurity diventano più efficaci, gli autori delle minacce stanno imparando ad aggirarli invece di affrontarli frontalmente. I processi di autenticazione avanzati possono aiutare a fermare gli attacchi informatici basati sulle identità in cui gli hacker rubano gli account degli utenti e abusano dei loro privilegi validi per aggirare le difese della rete e creare scompiglio.

Gli attacchi basati sulle identità sono il vettore di attacco iniziale più diffuso secondo l'X-Force Threat Intelligence Index e gli autori delle minacce hanno a disposizione numerose tattiche per rubare le credenziali. Le password degli utenti, anche quelle complesse, sono facili da decifrare attraverso attacchi di forza bruta in cui gli hacker utilizzano bot e script per testare sistematicamente le possibili password fino a quando non ne funziona una.

Gli autori delle minacce possono utilizzare tattiche di ingegneria sociale per indurre gli obiettivi a rinunciare alle proprie password. Possono provare metodi più diretti, come attacchi man-in-the-middle o infiltrare spyware sui dispositivi delle vittime. Gli autori di un attacco possono persino acquistare credenziali sul dark web, dove altri hacker vendono i dati dell'account che hanno rubato durante le violazioni precedenti.

Tuttavia, numerose organizzazioni utilizzano ancora sistemi di autenticazione inefficaci. Secondo l'X-Force Threat Intelligence Index, gli errori di identificazione e autenticazione sono i secondi rischi per la sicurezza delle applicazioni Web osservati più comunemente.

I processi di autenticazione efficaci possono aiutare a proteggere gli account degli utenti e i sistemi a cui possono accedere, rendendo difficile per gli hacker rubare le credenziali e spacciarsi per gli utenti legittimi.

Ad esempio, l'autenticazione a più fattori (MFA) fa in modo che gli hacker debbano rubare più fattori di autenticazione, inclusi dispositivi fisici o persino dati biometrici, per impersonare un determinato utente. Allo stesso modo, gli schemi di autenticazione adattivi possono rilevare quando gli utenti assumono comportamenti rischiosi e porre ulteriori sfide di autenticazione prima di consentire loro di procedere. Questo può aiutare a bloccare i tentativi degli autori di un attacco di abusare degli account rubati.

Casi d'uso di autenticazione

I sistemi di autenticazione possono inoltre servire a casi d'uso specifici oltre alla protezione dei singoli account utente, tra cui:

  • Controllo degli accessi: per applicare politiche di accesso granulari e monitorare quello che gli utenti fanno nelle loro reti, le organizzazioni hanno bisogno di un modo per stabilire chi è chi all'interno dei propri sistemi. L'autenticazione consente alle organizzazioni di limitare l'accesso alla rete solo agli utenti legittimi, garantire che ogni utente abbia i privilegi giusti e attribuire l'attività a utenti specifici.

  • Conformità normativa: numerose normative sulla sicurezza e sulla privacy dei dati richiedono rigide politiche di controllo degli accessi e un monitoraggio completo delle attività degli utenti. Alcune normative, come il Payment Card Industry Data Security Standard (PCI DSS), impongono specificamente l'uso di sistemi MFA.1

  • Sicurezza dell'AI: poiché gli autori delle minacce utilizzano strumenti di AI per eseguire sofisticati attacchi informatici, misure di autenticazione efficaci possono aiutare a contrastare anche le minacce più avanzate. Ad esempio, i truffatori possono utilizzare l'AI generativa per creare messaggi di phishing convincenti e rubare più password, ma i sistemi di autenticazione adattiva possono aiutare a catturare questi truffatori quando cercano di abusare dei privilegi dell'account.
Soluzioni correlate
IBM Verify

Proteggi e gestisci clienti, forza lavoro e identità privilegiate sul cloud ibrido, con l'integrazione dell'AI.

 Esplora IBM Verify
Servizi di gestione delle identità e degli accessi (IAM)

Gestione delle identità e degli accessi completa e sicura per aziende moderne.

 Esplora i servizi IAM
IBM® Security Risk Based Authentication Solution

Protezione dalle frodi trasparente e basata su prove, abbinata alla gestione degli accessi degli utenti.

 Esplora l'autenticazione basata sul rischio
Risorse Report Cost of a Data Breach

Preparati alle violazioni scoprendo le cause e i fattori che aumentano o riducono i costi.

 La cybersecurity nell'era dell'AI generativa

Scopri come sta cambiando il panorama della sicurezza odierno e come affrontare le sfide e sfruttare la resilienza dell'AI generativa.

 Cos'è la gestione delle identità e degli accessi?

La gestione delle identità e degli accessi (IAM) è la disciplina della cybersecurity che si occupa del modo in cui gli utenti accedono alle risorse digitali e di cosa possono fare con tali risorse.
Fai il passo successivo

IBM Security Verify è una piattaforma di gestione delle identità e degli accessi (IAM) leader del settore che offre funzionalità basate su AI per la gestione della forza lavoro e delle esigenze dei clienti. Unifica i silo di identità, riduci il rischio di attacchi basati sull'identità e fornisci un'autenticazione moderna, incluse le funzionalità senza password.

 Scopri Verify Prova Verify per 90 giorni
Note a piè di pagina

1 "PCI DSS: v4.0". Security Standards Council. Marzo 2022. (link esterno a ibm.com.).