In ambito IAM e CIAM, i termini autenticazione e autorizzazione sono concetti fondamentali che costituiscono il quadro di riferimento della cybersecurity. La loro similarità di significato e pronuncia, purtroppo, è la ragione principale per cui spesso sono considerate la stessa cosa. Ovviamente non è così, e in questo articolo possiamo vedere insieme il perché.

Autenticazione

L’autenticazione è un processo di sicurezza che convalida l’identità degli utenti per impedire l’accesso a un file protetto o il furto dei dati ad un malintenzionato. Secondo uno studio condotto nel 2020 dal Digital Shadows External Security research Team, gli attacchi informatici sono sempre in aumento soprattutto per il furto di credenziali. Nel 2020 sono state rubate 15 miliardi di credenziali. Grazie all’autenticazione, in pratica, se si vuole accedere ad un file protetto non sarà possibile, a meno che non si fornisca un’informazione in possesso solo al proprietario del file.

Fattori di autenticazione

I fattori per svolgere efficacemente il processo di autenticazione sono i seguenti:

  • Qualcosa che l’utente conosce: il fattore si riferisce a qualcosa di cui solo l’utente è a conoscenza (PIN, domande personali, password, etc…);
  • Qualcosa che l’utente possiede: questo è un fattore che fa riferimento a un qualcosa in possesso dell’utente, come un pc portatile, un telefono o una chiave elettronica; 
  • “Qualcosa che l’utente è”: dati biometrici come le impronte digitali, riconoscimento vocale, scansione dell’iride etc…;
  • Posizione: un fattore aggiuntivo che usa le informazioni sulla posizione dell’utente per convalidarne l’identità. Se ad esempio l’utente solitamente accede ai file sempre dallo stesso luogo, una volta che l’accesso verrà richiesto da un luogo diverso, il sistema di sicurezza porrà una barriera ulteriore per assicurarsi che l’utente sia sempre lo stesso; 
  • Orario di accesso: come per la posizione, se l’utente è abituato ad accedere sempre allo stesso orario, una volta che si proverà ad accedere ad un orario insolito, il sistema porrà un ulteriore barriera di convalidazione dell’identità.

La password e lo username sono i fattori di autenticazione più semplice e di solito fungono come primo livello di sicurezza. Tuttavia, l'uso delle sole password non è più sufficiente a prevenire gli attacchi informatici e gli accessi non autorizzati, poiché oggi possono essere facilmente aggirate e violate.

Autorizzazione

L’autorizzazione è una procedura di sicurezza in grado di limitare l’accesso di un utente ad un’entità protetta. Essa va di pari passo con l’autenticazione.

Per fare un esempio: In un’azienda ci sono diversi file situati nel cloud, in modo che ciascun dipendente possa localizzarli, purché sia connesso alla rete aziendale. Ciò che il dipendente non è in grado di fare è accedere a file che il proprio ruolo non consente di vedere. Per questo, identificare quei determinati file comporta di dover convalidare la propria identità (autenticazione) e, subito dopo, iniziare il processo di autorizzazione. Qui, il proprio ruolo in azienda determinerà a quali file si potrà accedere (autorizzazione). 

 

Modalità di gestione dell'IAM

Per gestire la sicurezza di un ambiente digitale è necessario destreggiarsi tra identità, autenticazioni e diversi livelli di autorizzazione. Questo è l’obiettivo dell‘IAM (Identity and Access Management), che può essere organizzato in base a diverse strategie:

Controllo dell’accesso basato su ruoli: 

RBAC (Role-Based Access) Control, permette di accedere al sistema in base ai ruoli aziendali;

Controllo dell’accesso basato sugli attributi: 

ABAC (Attribute-Based Access Control, concede l’accesso in base agli attributi dell’utente quali la sede, il reparto, il ruolo o il tipo di azione da eseguire.

Controllo degli accessi basato sui criteri: 

PBAC (Policy-Based Access Control), permette l’integrazione delle policy aziendali con il ruolo dell’utente, così da permettere l’accesso al sistema.

Controllo dell’accesso basato su regole: 

Permette l’accesso grazie ad una serie di regole che guideranno il modo in cui l’accesso viene dato a ogni utente.

Customer Story: Wetrade per inWebo

Ecco come la soluzione MFA di inWebo ha soddisfatto le esigenze molto specifiche di we.trade in un settore altamente regolamentato.
USE CASE

Compila il form per richiedere informazioni su inWebo

Articolo originale: Comprendere la differenza tra autenticazione e autorizzazione – Autore: inWebo

Riadattamento da parte di CIPS Informatica - inWebo - Copyright inWebo 2023

Articolo originale: Comprendere la differenza tra autenticazione e autorizzazione – Autore: inWebo

Riadattamento da parte di CIPS Informatica - inWebo - Copyright inWebo 2023

Torna in cima