IT Security / 4 - Controllo di accesso

Transcript

1 IT Security / 4 - Controllo di accesso prof. Salvatore Dimartino

2 IT Security Metodi prof. Salvatore Dimartino

3 4.1.1 Identificare i metodi per impedire accessi non autorizzati ai dati, quali: nome utente, password, PIN, cifratura, autenticazione a più fattori. Per impedire l accesso ai dati da parte di soggetti non autorizzati è necessario porre in essere quel processo attraverso il quale viene verificata l'identità di un utente che vuole accedere ad un computer o ad una rete: il processo è detto autenticazione. L'autenticazione è diversa dall'identificazione (la determinazione che un individuo sia conosciuto o meno dal sistema) e dall'autorizzazione (il conferimento ad un utente del diritto ad accedere a specifiche risorse del sistema, sulla base della sua identità). Quando il processo di autenticazione deve essere più rigido, i metodi devono diventare più sofisticati ed adottare tecniche a più fattori. Ad esempio il prelievo di denaro da un bancomat: richiede una tessera a microchip e la digitazione di un PIN. Spesso per aumentare la sicurezza sono usati contemporaneamente più sistemi di protezione, in questo caso si parla di «autenticazione forte». Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 3

4 4.1.2 Comprendere il termine one time password e il suo utilizzo tipico. Un altro sistema impiegato soprattutto dalle banche per rendere sicure le operazioni finanziarie via Internet è l utilizzo di una one-time password (OTP) o password di sessione, che è valida solo per pochi minuti ed è utilizzabile solo una volta. Un altro esempio di utilizzo di password OTP può essere l accesso ad una rete privata VPN. La password è generata a parte e trasmessa all'utente su un canale diverso da quello utilizzato per la trasmissione di dati (p.e.: SMS). Alcune banche, invece, dotano i clienti di un dispositivo hardware specifico (token OTP) che genera ogni minuto una password diversa. Poiché il valore della chiave è continuamente modificato, se un malintenzionato riesce a conoscere una OTP già utilizzata per accedere a un servizio o eseguire una transazione, non può utilizzarla, in quanto non è più valida e l operazione verrà rifiutata. Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 4

5 4.1.3 Comprendere lo scopo di un account di rete. L autenticazione avviene di solito con la procedura detta «login» attraverso un nome utente e una password personale. Nome utente e password sono le credenziali per l accesso alle risorse informatiche, per cui il nome utente serve per identificare chi chiede l accesso (ID utente), la password serve per certificare la sua identità. Con il sistema dell account, a un utente riconosciuto dal suo user id vengono messe a disposizione risorse e autorizzazioni all uso di file e servizi, definite attraverso il suo profilo. L uso delle sole credenziali di accesso ha un livello di sicurezza non elevato quando si devono proteggere dati sensibili. Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 5

6 4.1.4 Comprendere che per accedere alla rete sono necessari un nome utente e una password, e che è importante disconnettere l account, al termine del collegamento. L accesso a un account di rete avviene tramite la procedura di riconoscimento dell utente (user name) e di autenticazione (password). In generale, si può affermare che i metodi di autenticazione utilizzabili da un essere umano sono classificabili in tre classi in base a qualcosa che solo l'utente: 1. conosce, come una frase, un numero o un fatto (per esempio, il nome della madre prima del matrimonio); 2. possiede, come una chiave, una scheda magnetica, un dispositivo di autenticazione che genera una password unica e irripetibile; 3. è, e che dipende da una qualche caratteristica fisica peculiare, in questo caso si parla di biometria: riconoscimento delle impronte digitali, la struttura dell'iride oculare, la forma della mano, il riconoscimento del timbro della voce, il riconoscimento facciale, ecc. Quando il processo di autenticazione non coinvolge direttamente il soggetto (p.e. nella trasmissione dei dati) un pilastro fondamentale per la sicurezza è la crittografia. Non esiste un sistema sicuro al 100%! Il mito del sistema inattaccabile è analogo al mito della nave inaffondabile! Al termine del collegamento è necessario disconnettere l account, per evitare che altri utenti possano usare le credenziali già inserite per effettuare operazioni alle quali non sono abilitati. Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 6

7 4.1.5 Identificare le comuni tecniche di sicurezza biometrica usate per il controllo degli accessi, quali impronte digitali, scansione dell occhio, riconoscimento facciale, geometria della mano. L uso delle password non è l unico sistema sicuro per accedere ad un computer. Talora si possono utilizzare tecniche biometriche, cioè basate su caratteristiche fisiche che devono essere: *) universali (presenti in tutte le persone), *) uniche (non devono essere uguali in due o più individui), *) permanenti (non devono cambiare nel tempo), *) misurabili (devono poter avere una misura quantitativa). Esempi di caratteristiche biometriche fisiologiche o anatomiche possono essere: o le impronte digitali, o la retina, o colori dell'iride, o i tratti somatici del viso, o la sagoma della mano, o la forma dell orecchio. Il riconoscimento biometrico può affiancare sistemi più tradizionali come smart card e password. Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 7

8 IT Security Gestione delle password prof. Salvatore Dimartino

9 4.2.1 Riconoscere buone linee di condotta per la password, quali scegliere le password di lun- ghezza adeguata e contenenti un numero sufficiente di lettere, numeri e caratteri speciali; evi- tare di condividerle, modificarle con regolarità, scegliere password diverse per servizi diversi. Alcune regole da rispettare per creare e mantenere password sicure: utilizzare una combinazione di lettere maiuscole e minuscole, simboli e numeri assicurarsi che le password siano lunghe non meno di otto caratteri cercare di creare password senza alcun significato e quanto più possibile casuali creare password diverse per ogni account cambiare le password regolarmente non utilizzare nomi o numeri associati alla propria persona (p.e. la data di nascita, della squadra del cuore, dell attore o cantante preferito, ecc.) non utilizzare il proprio nome o una parola derivata da esso, il nome di un componente della famiglia o di un proprio animale domestico evitare l'utilizzo di una singola parola in qualsiasi lingua: gli hacker si avvalgono di strumenti basati su dizionari non rispondere affermativamente alla richiesta di salvare la password sul browser di un altro computer non trascrivere mai le password e non comunicarle mai ad altri Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 9

10 4.2.2 Comprendere la funzione e le limitazioni dei software di gestione delle password. l numero dei siti e dei servizi che richiedono password continua a salire, e non è facile ricordarsi decine o centinaia di password che, come detto in precedenza, devono essere diverse da servizio a servizio ed inoltre devono essere cambiate a intervalli regolari. Per semplificare questa gestione sono disponibili vari software in grado di registrare le credenziali di accesso in un archivio protetto da una password generale (detta master password). Basta ricordare la master password per poter disporre di tutte le proprie password: offline: 1Password, Universal Password Manager, LastPass, KeePass, RoboForm; online: PassPack. Le credenziali di accesso sono registrate nell archivio in modo criptato con un elevato livello di sicurezza. L'archivio criptato è registrato in un computer remoto con la tecnica del cloud computing (nuvola informatica). Questo permette di disporre delle credenziali contemporaneamente su PC desktop, PC portatile, smartphone. Il sistema garantisce inoltre il backup. Il rischio di questa soluzione è che se si dimentica la master password si perdono le password dei singoli servizi. Inoltre se un malintenzionato dovesse scoprire la master password, disporrebbe di tutte le password! Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 10

11 SPID : Sistema Pubblico di Identità Digitale SPID è il sistema di login che permette a cittadini e imprese di accedere con una unica identità digitale, da molteplici dispositivi, a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. Con SPID vengono meno le decine di codici, password e chiavi necessari per accedere ai servizi online delle P.A. e delle imprese. Agenzia per l Italia Digitale Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 11

12 SPID : Sistema Pubblico di Identità Digitale Schema di accesso ai servizi approfondimenti: bit.ly/2dy2iop Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 12

13 FINE IT Security / 4 - Controllo di accesso Nuova ECDL - IT Security 4 PROF. SALVATORE DIMARTINO 13