L’identità e l’autenticazione digitale

L’identità digitale rappresenta in modo unico un individuo coinvolto in transazioni online all’interno di un servizio digitale; l’autenticazione digitale, invece, è il processo mediante il quale si verifica la validità degli autenticatori utilizzati per affermare un’identità digitale. In altre parole, l’accesso ad un servizio digitale può  non implicare necessariamente la conoscenza dell’identità effettiva del soggetto sottostante.

Per tale ragione, esistono i cc.dd. Livelli di Garanzia dell’Autenticatore (AAL). Questi  rappresentano il grado di sicurezza offerto dal processo di autenticazione:

• livello di Garanzia dell’Autenticatore 1 (AAL1): fornisce una certa garanzia che il soggetto controlli l’autenticatore associato all’account. L’autenticazione può essere a uno o più fattori, e il controllo dell’autenticatore viene dimostrato attraverso un protocollo sicuro;
• livello di Garanzia dell’Autenticatore 2 (AAL2): AAL2 offre un’elevata sicurezza rispetto all’AAL1, richiedendo la prova del possesso e del controllo di due distinti fattori di autenticazione attraverso protocolli sicuri e l’utilizzo di tecniche crittografiche approvate;
• livello di Garanzia dell’Autenticatore 3 (AAL3): AAL3 offre una fiducia molto elevata che il soggetto controlli l’autenticatore associato all’account, richiede poi l’utilizzo di autenticatori basati su hardware e resistenti all’impersonificazione del verificato.

L’identità digitale, inoltre,  presenta sfide significative in termini di sicurezza e protezione poiché l’attestazione delle identità digitali su una rete aperta può esporre ad attacchi che possono portare a furti di identità; pertanto, l’autenticazione continua degli abbonati è fondamentale per garantirne la sicurezza. Dunque, gli autenticatori crittografici utilizzati in AAL1 devono utilizzare una crittografia approvata, mentre gli autenticatori basati su software che operano nel contesto di un sistema operativo possono, ove applicabile,  tentare di rilevare la compromissione (ad esempio, da parte di malware) dell’endpoint utente in cui sono in esecuzione e non devono completare l’operazione quando viene rilevata tale compromissione.

Gli autenticatori crittografici devono rispettare rigorosi requisiti di sicurezza. Questi devono utilizzare crittografia approvata e, quando basati su software, devono essere in grado di rilevare la compromissione dell’endpoint utente in cui operano. La comunicazione tra richiedente e verificatore deve avvenire attraverso un canale protetto autenticato per garantire la riservatezza e resistere agli attacchi di tipo “man-in-the-middle” . La ri-autenticazione periodica delle sessioni degli abbonati è fondamentale per garantire la sicurezza delle identità digitali, essa impone limiti di tempo per la durata delle sessioni e richiede l’utilizzo di entrambi i fattori di autenticazione.

I fornitori di servizi devono rispettare rigorose politiche di conservazione dei documenti in conformità alle leggi, ai regolamenti e alle politiche applicabili, devono poi implementare i controlli sulla privacy e condurre una valutazione del rischio per la privacy per determinare il livello di rischio per l’utente e valutare le misure necessarie.

Per una consultazione integrale del documento, clicca qui: nist.sp.800-63b

Per maggiori informazioni: https://ranierirazzante.it/