L'autenticazione e l'autorizzazione sono processi correlati ma distinti nel sistema di gestione delle identità e degli accessi (IAM) di un'organizzazione. L'autenticazione verifica l'identità di un utente. L'autorizzazione offre all'utente il giusto livello di accesso alle risorse di sistema.
Il processo di autenticazione si basa su credenziali, come password o scansioni delle impronte digitali, che gli utenti presentano per dimostrare di essere chi dichiarano di essere.
Il processo di autorizzazione si basa sulle autorizzazioni utente che delineano le operazioni che ogni utente può eseguire all'interno di una particolare risorsa o rete. Ad esempio, le autorizzazioni in un file system potrebbero stabilire se un utente può creare, leggere, aggiornare o eliminare file.
I processi di autenticazione e autorizzazione si applicano sia agli utenti umani che a quelli non umani, come i dispositivi, i carichi di lavoro automatizzati e le applicazioni web. Un singolo sistema IAM potrebbe gestire sia l'autenticazione che l'autorizzazione, oppure i processi potrebbero essere gestiti da sistemi separati che lavorano di concerto.
L'autenticazione è generalmente un prerequisito per l'autorizzazione. Un sistema deve sapere chi è un utente prima di concedergli l'accesso a qualsiasi cosa.
Gli attacchi basati sull'identità, in cui gli hacker dirottano account utente validi e abusano dei loro diritti di accesso, sono in aumento. Secondo l'IBM X-Force Threat Intelligence Index, questi attacchi sono il modo più comune con cui gli autori delle minacce si intrufolano nelle reti, rappresentando il 30% di tutti gli attacchi informatici.
L'autenticazione e l'autorizzazione collaborano per applicare controlli di accesso sicuri e prevenire le violazioni dei dati. I processi di autenticazione avanzati rendono più difficile per gli hacker impossessarsi degli account utente. Una forte autorizzazione limita i danni che gli hacker possono arrecare a quegli account.
L'autenticazione, talvolta abbreviata in "authn", si basa sullo scambio di credenziali utente, chiamate anche fattori di autenticazione. I fattori di autenticazione sono elementi di prova che dimostrano l'identità di un utente.
Quando un utente si registra con un sistema per la prima volta, stabilisce una serie di fattori di autenticazione. Quando l'utente accede, presenta questi fattori. Il sistema confronta i fattori presentati con i fattori in archivio. Se corrispondono, il sistema ritiene che l'utente sia chi afferma di essere.
I tipi più comuni di fattori di autenticazione includono:
Le singole app e risorse possono avere i propri sistemi di autenticazione. Molte organizzazioni utilizzano un sistema integrato, come una soluzione Single Sign-on (SSO), in cui gli utenti possono autenticarsi una volta per accedere a più risorse in un dominio sicuro.
Gli standard di autenticazione più comuni includono SAML (Security Assertion Markup Language) e OIDC (OpenID Connect). SAML utilizza messaggi XML per condividere informazioni di autenticazione tra i sistemi, mentre OIDC utilizza JSON Web Token (JWT) denominati "token ID".
L'autorizzazione, a volte abbreviata in "authz", si basa sui permessi dell'utente. Le autorizzazioni sono criteri che specificano a cosa un utente può accedere e cosa può fare con tale accesso in un sistema.
Gli amministratori e i responsabili della sicurezza in genere definiscono le autorizzazioni degli utenti, che vengono poi applicate dai sistemi di autorizzazione. Quando un utente tenta di accedere a una risorsa o di eseguire un'azione, il sistema di autorizzazione verifica le autorizzazioni prima di consentirgli di procedere.
Basti pensare, ad esempio, a un database sensibile contenente i dati dei clienti. L'autorizzazione determina se un utente può vedere questo database. Se può, l'autorizzazione determina anche cosa può fare all'interno del database. Può limitarsi a leggere le voci o può anche creare, eliminare e aggiornare le voci?
OAuth 2.0, che utilizza i token di accesso per delegare le autorizzazioni agli utenti, è un esempio di protocollo di autorizzazione comune. OAuth consente alle app di condividere dati tra loro. Ad esempio, OAuth consente a un sito di social media di scansionare i contatti e-mail di un utente alla ricerca di persone che l'utente potrebbe conoscere, a condizione che l'utente acconsenta.
L'autenticazione e l'autorizzazione degli utenti svolgono un ruolo complementare nella protezione delle informazioni sensibili e delle risorse di rete dalle minacce interne e dagli aggressori esterni. In breve, l'autenticazione aiuta le organizzazioni a difendere gli account utente, mentre l'autorizzazione aiuta a difendere i sistemi a cui tali account possono accedere.
I sistemi completi di gestione delle identità e degli accessi (IAM) aiutano a tracciare le attività degli utenti, a bloccare gli accessi non autorizzati alle risorse di rete e ad applicare autorizzazioni granulari in modo che solo gli utenti giusti possano accedere alle risorse giuste.
L'autenticazione e l'autorizzazione affrontano due questioni critiche a cui le organizzazioni devono rispondere per applicare controlli di accesso significativi:
Un'organizzazione deve sapere chi è un utente prima di poter abilitare il giusto livello di accesso. Ad esempio, quando un amministratore di rete accede, quell'utente deve dimostrare di essere l'amministratore fornendo i fattori di autenticazione corretti. Solo allora il sistema IAM autorizzerà l'utente a eseguire azioni amministrative come l'aggiunta e la rimozione di altri utenti.
Man mano che i controlli di sicurezza organizzativi diventano più efficaci, sempre più aggressori li aggirano rubando gli account utente e abusando dei loro privilegi per seminare il caos. Secondo l'IBM X-Force Threat Intelligence Index, la frequenza degli attacchi basati sull'identità è aumentata del 71% tra il 2022 e il 2023.
Questi attacchi sono facili da portare a termine per i criminali informatici. Gli hacker possono decifrare le password attraverso attacchi brute-force, utilizzare malware infostealer o acquistare credenziali da altri hacker. In effetti, l'X-Force Threat Intelligence Index ha rilevato che le credenziali degli account cloud costituiscono il 90% degli asset cloud venduti sul dark web.
Il phishing è un'altra tattica comune per il furto di credenziali e gli strumenti di intelligenza artificiale generativa ora consentono agli hacker di sviluppare attacchi di phishing più efficaci in meno tempo.
Sebbene possano essere viste come misure di sicurezza di base, l'autenticazione e l'autorizzazione sono importanti difese contro il furto di identità e l'abuso degli account, compresi gli attacchi basati sull'intelligenza artificiale.
L'autenticazione può rendere più difficile il furto di account, sostituendo o rafforzando le password con altri fattori più difficili da decifrare, come la biometria.
I sistemi di autorizzazione granulari possono limitare i movimenti laterali limitando i privilegi degli utenti alle sole risorse e azioni di cui hanno bisogno. Questo aiuta a limitare i danni che sia gli hacker malintenzionati che le minacce interne possono causare utilizzando impropriamente i diritti di accesso.
Con IBM Security Verify, le organizzazioni possono andare oltre l'autenticazione e l'autorizzazione di base. Verify può aiutare a proteggere gli account con opzioni di autenticazione senza password e a più fattori e può aiutare a controllare le applicazioni con politiche di accesso granulari e contestuali.
IBM web domains
ibm.com, ibm.org, ibm-zcouncil.com, insights-on-business.com, jazz.net, mobilebusinessinsights.com, promontory.com, proveit.com, ptech.org, s81c.com, securityintelligence.com, skillsbuild.org, softlayer.com, storagecommunity.org, think-exchange.com, thoughtsoncloud.com, alphaevents.webcasts.com, ibm-cloud.github.io, ibmbigdatahub.com, bluemix.net, mybluemix.net, ibm.net, ibmcloud.com, galasa.dev, blueworkslive.com, swiss-quantum.ch, blueworkslive.com, cloudant.com, ibm.ie, ibm.fr, ibm.com.br, ibm.co, ibm.ca, community.watsonanalytics.com, datapower.com, skills.yourlearning.ibm.com, bluewolf.com, carbondesignsystem.com