Metodi Autenticazione

From Carini MediaWiki
Jump to navigation Jump to search

Metodi di autenticazione ad un sistema informatico

Username e password

L'uso della coppia "login + password" è uno dei primi approcci adottati per risolvere il problema dell'autenticazione in un sistema informatico. Nonostante sia diffuso, questo metodo presenta notevoli sfide: la login è spesso pubblica e facilmente associabile all'utente, mentre la password dovrebbe essere "facile da ricordare, ma difficile da indovinare". La vignetta del 10 agosto 2011 di xkcd evidenzia ironicamente questo dilemma, mostrando come le password comunemente usate siano difficili da memorizzare per gli umani, ma semplici da decifrare per i computer:

https://xkcd.com/936/
Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess

Tuttavia, il punto più critico dell'autenticazione basata esclusivamente su nome utente e password risiede nella sua limitata capacità di associare univocamente e in modo sicuro l'accesso a una specifica persona fisica. A differenza dei metodi basati su caratteristiche biometriche o dispositivi fisici, le credenziali basate su nome utente e password possono essere facilmente condivise, copiate o rubate.

Time-based One-Time Password (TOTP)

In risposta alle limitazioni dell'autenticazione tradizionale, il Time-based One-Time Password (TOTP) offre un metodo più sicuro. Questo algoritmo genera un codice password unico basato sul tempo, utilizzato nell'autenticazione a due fattori (2FA). Si basa su un segreto condiviso tra l'utente e il server e sull'orario corrente, da cui viene generato un codice numerico, di solito di 6 cifre, da utilizzare in aggiunta al nome utente e alla password classica.

La validità del codice TOTP è limitata nel tempo, tipicamente a 30 secondi, offrendo così una sicurezza dinamica. Questo meccanismo riduce efficacemente i rischi legati alla compromissione delle credenziali statiche, come nel caso di attacchi di phishing o intercettazioni.

Standardizzato attraverso la RFC 6238, il TOTP è comunemente implementato tramite applicazioni dedicate per dispositivi mobili, come Google Authenticator o Microsoft Authenticator. Queste applicazioni generano i codici TOTP, contribuendo significativamente al rafforzamento della sicurezza informatica in vari ambiti, inclusi i servizi online e il banking.

Riferimenti esterni

Bibliografia

Retrieved from "https://wiki.carini.ch/index.php?title=Metodi_Autenticazione&oldid=87"