Il tiro alla fune degli accessi

Riflettendo sul dilemma della gestione degli accessi utente e sulla dicotomia tra accesso più semplice e maggiore sicurezza, la mia mente è tornata agli spot della birra Miller Lite che andavano in onda quando ero bambino. Lo spot pubblicizzava il perfetto compromesso offerto dalla Miller Lite: una birra dal gusto intenso, nonostante il basso apporto calorico. Per quanto riguarda la gestione degli accessi, gli utenti desiderano applicazioni più facili da utilizzare e con un accesso semplificato. I team della sicurezza IT devono a loro volta rendere le operazioni più sicure. Dunque, in che modo ottenere due vantaggi (come nel caso della Miller Lite): accessi semplici E maggiore sicurezza per la gestione degli accessi?

Le soluzioni Single Sign-On (SSO) provvedono principalmente a fornire un accesso semplificato. Semplificano infatti la vita degli utenti poiché consentono loro di memorizzare un’unica password (anziché quindici) per l’accesso a tutte le applicazioni utilizzate.

I sistemi di autenticazione avanzata sono invece progettati per garantire una maggiore sicurezza. Poiché le password non sono sufficientemente efficaci, è stato necessario introdurre ulteriori passaggi per autorizzare l’accesso all’applicazione. Molti sistemi SSO dispongono di un certo livello base di autenticazione avanzata. Ma cosa ne è della semplicità di utilizzo?

Esaminiamo come ottenere contemporaneamente sicurezza e praticità, iniziando dalla soluzione ideale. In qualità di utente finale, inizi a lavorare sul tuo computer e non effettui alcuna operazione per l’autenticazione. Hai libero accesso a tutto ciò di cui hai bisogno. L’IT dispone della piena visibilità sul tuo accesso ed è sicura che sia tu a effettuare gli accessi. Non si tratta di eseguire un’unica operazione di accesso (SSO), ma di non eseguirne affatto (ZSO, Zero Sign-ON), con i controlli di sicurezza completamente al di fuori della vista dell’utente finale. Il segreto è proprio ottenere questo livello di affidabilità. Abbiamo bisogno di sistemi in grado di raggiungere livelli di affidabilità simili o che, rispetto al contesto attuale, siano almeno migliori di una password.

Quanto siamo vicini a questa utopia dello Zero Sign-On? Oggi viviamo in un mondo costituito principalmente da nomi utente, per lo più associati a password. Le moderne soluzioni SSO consentono agli utenti di utilizzare un solo nome utente per accedere alle risorse aziendali. Non abbiamo ancora raggiunto l’utopia, ma ci siamo abbastanza vicini. Se dispongo di un nome utente, è possibile associare a quest’ultimo molti attributi relativi alla mia identità. Esistono inoltre attributi relativi alla mia sessione, come ad esempio il tipo di dispositivo che utilizzo, la posizione in cui mi trovo, l’orario e il livello di “normalità” del mio comportamento. Essendo a conoscenza di queste informazioni sull’utente, sul suo contesto e comportamento, l’amministratore e l’utente possono collaborare e determinare ciò che è abbastanza sicuro e al contempo semplice da usare.

In questo caso, l’amministratore deve rispondere a due domande fondamentali. Quanto sono sensibili i dati a cui si sta accedendo e quanto si può essere certi che l’utente sia chi sostiene di essere? Le risposte a queste due domande determinano se è necessario eseguire maggiori controlli di sicurezza per consentire all’utente di accedere ai dati richiesti. Se è il livello di affidabilità è già sufficiente per i dati richiesti, non è necessario richiedere ulteriori informazioni di autenticazione all’utente. In caso contrario, è possibile integrare metodi avanzati nel flusso. Se le informazioni sembrano essere soggette a rischi elevati, l’accesso utente può essere bloccato e segnalato.

Con l’autenticazione avanzata entra in gioco la scelta dell’utente. L’amministratore deve decidere il livello di verifica dell’identità necessario, ma l’utente può scegliere in che modo effettuare la verifica.  Se un amministratore può decidere che un token FIDO (Fast Identity Online) e un’impronta digitale iPhone offrono lo stesso livello di verifica dell’identità, l’utente può a sua volta decidere qual è il più pratico.

In un contesto in cui le violazioni dei dati più comuni hanno origine da credenziali rubate, le password non forniscono la sicurezza necessaria. Ciò che possiamo fare è offrire all’utente la flessibilità per gestire le operazioni nel modo più semplice possibile, almeno finché non potremo usufruire di una soluzione di verifica delle identità completamente trasparente. E di certo quel giorno arriverà. È compito di noi professionisti nell’ambito della tecnologia delle identità far sì che arrivi al più presto.

Per quanto riguarda il compromesso tra gusto e calorie della Miller Lite, prenderò una Ellie’s Brown Ale dell’Avery Brewing Company… giusto per esimermi dalla discussione.

 

 

No Comments