Diamo uno sguardo ai livelli di sicurezza SPID per capire come sono strutturati e come funzionano.

Per giudicare una novità è necessario prima comprenderla e più questa è di carattere innovativo, più è importante analizzarne ogni aspetto per valutare pregi e difetti. Perciò, questo mese abbiamo dedicato diversi articoli a SPID, il neonato Sistema Pubblico di Identità Digitale. Se ancora non avete la minima idea di cosa sia SPID, potrete cominciare a farvene una da qui: “InfoCert pronta al rilascio delle prime Identità Digitali SPID”.

Oggi ci concentriamo invece sui 3 livelli di sicurezza SPID per capire come e in che misura saranno protette le nostre Identità Digitali.

SPID È DAVVERO UN SISTEMA SICURO?

SPID InfoCert

Ribadiamo anzitutto che il funzionamento di SPID è basato su un sistema di credenziali che vengono assegnate e legate in modo univoco ad ogni cittadino, o persona giuridica, in seguito a una procedura di identificazione certa. Attraverso queste credenziali potremo accedere ai siti web delle Pubbliche Amministrazioni e privati aderenti a SPID e, una volta effettuato l’accesso, attribuire con certezza ad una persona, fisica o giuridica, le azioni svolte sul sito.

Oltre a semplificare l’accesso ai servizi governativi, SPID è uno strumento utile ad aumentare la sicurezza delle transazioni di pagamento on-line e a contrastare i fenomeni di crimine informatico.

Come? Grazie a sistemi di autenticazione con un livello di sicurezza che cresce insieme all’importanza del servizio a cui, di volta in volta, si intenda accedere.

 LIVELLO 1: USERNAME E PASSWORD

Spid InfoCert ID

Username e password in SPID costituiscono le credenziali di base. La password scelta in fase di attivazione della nostra Identità Digitale viene registrata in un data base. In fase di autenticazione, per accedere a uno dei servizi SPID, la password digitata viene confrontata con quella in memoria e l’accesso è consentito solo se le due corrispondono.

Il grado di sicurezza della nostra password dipenderà da quanto saremo capaci di sceglierne una sufficientemente complessa. Sarebbe meglio non utilizzare mai: variazioni del nostro nome o username; parole presenti nei dizionari (tipo di password facilmente attaccabili mediante attacchi brute force); una serie di lettere o numeri contigui sulla tastiera (ad es. “QWERTYU” o “09876”).

È invece consigliabile utilizzare combinazioni di più tipi di caratteri: maiuscole, minuscole, numeri e caratteri speciali. Tuttavia, poiché anche le migliori password possono essere scoperte da un cracker che abbia il tempo per fare tentativi a sufficienza, è sempre bene modificare la password periodicamente.

LIVELLO 2: USERNAME E PASSWORD + ONE TIME PASSWORD

OTP One Time Password

Il secondo livello SPID è basato su un sistema di autenticazione a 2 fattori che, oltre alle credenziali di base, richiede all’utente di inserire una One Time Password (OTP) per effettuare l’accesso.

Una OTP è una password temporanea, valida per una singola sessione di accesso, generata a partire da algoritmi che in genere fanno uso di numeri casuali o pseudocasuali. Alcuni algoritmi si basano sulla sincronizzazione temporale tra il server di autenticazione e il client che fornisce la password, altri calcolano ogni nuova password basandosi su quella precedente, altri ancora calcolano la password a partire da un numero casuale scelto dal server di autenticazione o da un contatore.

Una OTP può essere generata lato server e inviata all’utente finale tramite SMS, sfruttando quindi le reti telefoniche. È altrimenti possibile ricorrere a un’App (è questo il caso di InfoCert ID) o a un Token, un dispositivo fisico di piccole dimensioni dotato di batteria. Con questi strumenti potremo ricevere una OTP ogni volta che richiederemo l’accesso a un servizio che richieda il secondo livello di sicurezza SPID e visualizzare la password sul display del Token, dello smartphone o del tablet.

LIVELLO 3: USERNAME E PASSWORD + CERTIFICATI E DISPOSITIVI DI CRIPTAZIONE A DOPPIA CHIAVE

smart card

Non sono ancora disponibili Identità SPID di terzo livello poiché non sono ancora presenti servizi che lo richiedano. In ogni caso, quest’ultimo livello di sicurezza permetterà agli utenti di autenticarsi utilizzando, oltre ai propri nome utente e password, un dispositivo di accesso contenente un certificato di autenticazione e un sistema di criptazione (ad es. una Smart Card).

Una Smart Card è una scheda dotata di un microchip che necessita di una connessione fisica con un pc per poter operare e generare una One Time Password. Per autenticarsi, in questo caso, bisognerà inserire la scheda nell’apposito lettore Smart Card e collegare questo al computer, le informazioni saranno trasferite automaticamente, così da evitare che l’utente digiti manualmente la OTP generata.

I dati memorizzati all’interno della Smart Card, che la collegano al proprietario, non lasciano mai il supporto né attraversano alcun canale di comunicazione eliminando così il rischio che le informazioni personali vengano intercettate da possibili pirati.

30 marzo 2016