Autenticazione e autorizzazione: qual è la differenza?

L'autenticazione e l'autorizzazione sono processi correlati ma distinti nel sistema di gestione delle identità e degli accessi (IAM) di un'organizzazione. L'autenticazione verifica l'identità di un utente. L'autorizzazione offre all'utente il giusto livello di accesso alle risorse di sistema.

Il processo di autenticazione si basa su credenziali, come password o scansioni delle impronte digitali, che gli utenti presentano per dimostrare di essere chi dichiarano di essere.

Il processo di autorizzazione si basa sulle autorizzazioni utente che delineano le operazioni che ogni utente può eseguire all'interno di una particolare risorsa o rete. Ad esempio, le autorizzazioni in un file system potrebbero stabilire se un utente può creare, leggere, aggiornare o eliminare file.

I processi di autenticazione e autorizzazione si applicano sia agli utenti umani che a quelli non umani, come i dispositivi, i carichi di lavoro automatizzati e le applicazioni web. Un singolo sistema IAM potrebbe gestire sia l'autenticazione che l'autorizzazione, oppure i processi potrebbero essere gestiti da sistemi separati che lavorano di concerto.

L'autenticazione è generalmente un prerequisito per l'autorizzazione. Un sistema deve sapere chi è un utente prima di concedergli l'accesso a qualsiasi cosa.

Gli attacchi basati sull'identità, in cui gli hacker dirottano account utente validi e abusano dei loro diritti di accesso, sono in aumento. Secondo l'IBM X-Force Threat Intelligence Index, questi attacchi sono il modo più comune con cui i criminali informatici si intromettono nelle reti e rappresentano il 30% di tutti gli attacchi informatici.

L'autenticazione e l'autorizzazione collaborano per applicare controlli di accesso sicuri e prevenire le violazioni dei dati. I processi di autenticazione avanzati rendono più difficile per gli hacker impossessarsi degli account utente. Una forte autorizzazione limita i danni che gli hacker possono arrecare a quegli account.

L'autenticazione, talvolta abbreviata in "authn", si basa sullo scambio di credenziali utente, chiamate anche fattori di autenticazione. I fattori di autenticazione sono elementi di prova che dimostrano l'identità di un utente.

Quando un utente si registra con un sistema per la prima volta, stabilisce una serie di fattori di autenticazione. Quando l'utente accede, presenta questi fattori. Il sistema confronta i fattori presentati con i fattori in archivio. Se corrispondono, il sistema ritiene che l'utente sia chi afferma di essere.

I tipi più comuni di fattori di autenticazione includono:

• Fattori di conoscenza: qualcosa che solo l'utente conosce, come una password, un PIN o la risposta a una domanda di sicurezza.
  
• Fattori di possesso: qualcosa che solo l'utente possiede, come un PIN monouso (OTP) inviato al suo telefono cellulare personale tramite SMS o un token di physical security.
  
• Fattori intrinseci: la biometria, come il riconoscimento facciale e la scansione delle impronte digitali.

Le singole app e risorse possono avere i propri sistemi di autenticazione. Molte organizzazioni utilizzano un sistema integrato, come una soluzione Single Sign-on (SSO), in cui gli utenti possono autenticarsi una volta per accedere a più risorse in un dominio sicuro.

Gli standard di autenticazione più comuni includono Security Assertion Markup Language (SAML) e OpenID Connect (OIDC). SAML utilizza messaggi XML per condividere informazioni di autenticazione tra i sistemi, mentre OIDC utilizza JSON Web Token (JWT) denominati "token ID".

• L'autenticazione a fattore singolo (SFA) richiede un solo fattore di autenticazione per dimostrare l'identità di un utente. Fornire un nome utente e una password per accedere a un sito di social media è un tipico esempio di SFA.
  
• L'autenticazione a più fattori (MFA) richiede almeno due fattori di autenticazione di due tipi diversi, come una password (fattore di conoscenza) e una scansione delle impronte digitali (fattore intrinseco).
  
• L'autenticazione a due fattori (2FA) è un particolare tipo di MFA che richiede esattamente due fattori. La maggior parte degli utenti Internet ha sperimentato l'autenticazione a due fattori, ad esempio quando un'app bancaria richiede sia una password che un codice monouso inviati al telefono dell'utente.
  
• I metodi di autenticazione senza password non utilizzano password o fattori di conoscenza. I sistemi senza password sono diventati popolari come difesa contro i ladri di credenziali, che prendono di mira i fattori di conoscenza perché sono i più facili da rubare.
  
• I sistemi di autenticazione adattiva utilizzano l' intelligenza artificiale e il machine learning per adattare i requisiti di autenticazione in base a quanto è rischioso il comportamento di un utente. Ad esempio, un utente che tenta di accedere a dati riservati potrebbe dover fornire più fattori di autenticazione prima che il sistema li verifichi.

Scopri come gli esperti di identità e sicurezza IBM possono aiutarti a semplificare le attività IAM, gestire soluzioni negli ambienti cloud ibridi e trasformare i workflow di governance.

• Utilizzando una scansione dell'impronta digitale e un codice PIN per sbloccare uno smartphone.
  
• Mostrando un documento d'identità per aprire un nuovo conto bancario.
  
• Un browser web verifica che un sito web sia legittimo controllando il suo certificato digitale.
  
• Un'app si verifica in base a un'application programming interface (API) includendo la sua chiave API segreta in ogni chiamata effettuata.

L'autorizzazione, a volte abbreviata in "authz", si basa sui permessi dell'utente. Le autorizzazioni sono criteri che specificano a cosa un utente può accedere e cosa può fare con tale accesso in un sistema.

Gli amministratori e i responsabili della sicurezza in genere definiscono le autorizzazioni degli utenti, che vengono poi applicate dai sistemi di autorizzazione. Quando un utente tenta di accedere a una risorsa o di eseguire un'azione, il sistema di autorizzazione verifica le autorizzazioni prima di consentirgli di procedere.

Basti pensare, ad esempio, a un database sensibile contenente i dati dei clienti. L'autorizzazione determina se un utente può vedere questo database. Se può, l'autorizzazione determina anche cosa può fare all'interno del database. Può limitarsi a leggere le voci o può anche creare, eliminare e aggiornare le voci?

OAuth 2.0, che utilizza i token di accesso per delegare le autorizzazioni agli utenti, è un esempio di protocollo di autorizzazione comune. OAuth consente alle app di condividere dati tra loro. Ad esempio, OAuth consente a un sito di social media di scansionare i contatti e-mail di un utente alla ricerca di persone che l'utente potrebbe conoscere, a condizione che l'utente acconsenta.

• I metodi di controllo degli accessi basati sui ruoli (RBAC) determinano le autorizzazioni di accesso degli utenti in base ai loro ruoli. Ad esempio, un analista della sicurezza di livello junior potrebbe essere in grado di visualizzare le configurazioni del firewall ma non di modificarle, mentre il responsabile della sicurezza di rete potrebbe avere pieno accesso amministrativo.
  
• I metodi di controllo degli accessi basati sulle attribuzioni (ABAC) utilizzano gli attributi degli utenti, degli oggetti e delle azioni, come il nome dell'utente, il tipo di risorsa e l'ora del giorno, per determinare i livelli di accesso. Quando un utente tenta di accedere a una risorsa, un sistema ABAC analizza tutti gli attributi pertinenti e concede l'accesso solo se soddisfano determinati criteri predefiniti. Ad esempio, in un sistema ABAC, gli utenti potrebbero essere in grado di accedere ai dati sensibili solo durante l'orario di lavoro e solo se hanno un certo livello di anzianità.
  
• I sistemi di controllo degli accessi obbligatori (MAC) applicano criteri di controllo degli accessi definiti centralmente per tutti gli utenti. I sistemi MAC sono meno granulari di RBAC e ABAC, e l'accesso si basa in genere su livelli di autorizzazione o punteggi di fiducia prestabiliti. Molti sistemi operativi utilizzano MAC per controllare l'accesso dei programmi alle risorse di sistema sensibili.
  
• I sistemi di controllo degli accessi discrezionali (DAC) consentono ai proprietari delle risorse di impostare le proprie regole di controllo degli accessi a tali risorse. Il DAC è più flessibile rispetto politiche generali del MAC.

• Quando un utente accede al proprio account di posta elettronica, può vedere solo le proprie e-mail. Non è autorizzato a visualizzare i messaggi di qualcun altro.
  
• In un sistema di cartelle cliniche, i dati di un paziente possono essere visualizzati solo dai fornitori a cui il paziente ha dato esplicitamente il proprio consenso.
  
• Un utente crea un documento in un file system condiviso. Imposta le autorizzazioni di accesso su “sola lettura”, in modo che gli altri utenti possano visualizzare il documento ma non modificarlo.
  
• Il sistema operativo di un laptop impedisce a un programma sconosciuto di modificare le impostazioni di sistema.

L'autenticazione e l'autorizzazione degli utenti svolgono un ruolo complementare nella protezione delle informazioni sensibili e delle risorse di rete dalle minacce interne e dagli aggressori esterni. In breve, l'autenticazione aiuta le organizzazioni a difendere gli account utente, mentre l'autorizzazione aiuta a difendere i sistemi a cui tali account possono accedere.

I sistemi completi di gestione delle identità e degli accessi (IAM) aiutano a tracciare le attività degli utenti, a bloccare gli accessi non autorizzati alle risorse di rete e ad applicare autorizzazioni granulari in modo che solo gli utenti giusti possano accedere alle risorse giuste.

L'autenticazione e l'autorizzazione affrontano due questioni critiche a cui le organizzazioni devono rispondere per applicare controlli di accesso significativi: 

• Chi sei? (Autenticazione)
  
• Cosa ti è permesso fare in questo sistema? (Autorizzazione)

Un'organizzazione deve sapere chi è un utente prima di poter abilitare il giusto livello di accesso. Ad esempio, quando un amministratore di rete accede, quell'utente deve dimostrare di essere l'amministratore fornendo i fattori di autenticazione corretti. Solo allora il sistema IAM autorizzerà l'utente a eseguire azioni amministrative come l'aggiunta e la rimozione di altri utenti.

Via via che i controlli di sicurezza organizzativi diventano più efficaci, sempre più aggressori li aggirano rubando gli account utente e abusando dei loro privilegi per seminare il caos. Questi attacchi sono facili da mettere in atto per i criminali informatici. Gli hacker possono decifrare le password tramite attacchi di forza bruta, utilizzare malware infostealer o acquistare credenziali da altri hacker. 

Il phishing è un'altra tattica comune per il furto di credenziali e gli strumenti di AI generativa consentono ora agli hacker di sviluppare attacchi di phishing più efficaci in meno tempo.

Sebbene possano essere viste come misure di sicurezza di base, l'autenticazione e l'autorizzazione sono importanti difese contro il furto di identità e l'abuso degli account, compresi gli attacchi basati sull'intelligenza artificiale.

L'autenticazione può rendere più difficile il furto di account, sostituendo o rafforzando le password con altri fattori più difficili da decifrare, come la biometria.

I sistemi di autorizzazione granulari possono limitare i movimenti laterali limitando i privilegi degli utenti alle sole risorse e azioni di cui necessitano. Questo aiuta a limitare i danni che sia gli hacker malintenzionati che le minacce interne possono causare utilizzando impropriamente i diritti di accesso.