Online-identity1

Terminologia per iniziare

Purtroppo le discussioni sulla sicurezza online mancano di una terminologia corretta.

E’ opportuno pertanto distinguere tre fasi: Identificazione, Autentificazione, Autorizzazione

 

L’identificazione è la fase di riconoscimento dell’utente che risponde alla domanda “Chi sei?

Nei sistemi digitali questa risposta corrisponde ad uno user-id o username. Nella prassi consolidata questo username può essere una stringa alfanumerica oppure un indirizzo email.

 

L’autenticazione è la fase di riconoscimento dell’utente che risponde alla successiva domanda: “Come puoi dimostrare la tua identità?

Ottenuta la prima risposta il sistema vuole infatti assicurarsi che l’utente sia effettivamente chi afferma di essere.

Solitamente i sistemi informatici considerano un utente autenticato se la risposta è costituita da una password associata allo username con cui l’utente si è identificato.

E’ di immediata comprensione che stiamo parlando di una autenticazione relativa e non assoluta.

Una autenticazione assoluta è quella che avviene davanti ad un notaio, in presenza di testimoni e di documenti validi emessi da un governo riconosciuto.

Una autenticazione relativa è quella che avviene rispetto ad uno specifico sistema senza che nessun dato anagrafico sia stato verificato.

La verifica di una password scelta dall’utente stesso o comunque inviata ad un indirizzo email da lui indicato, non ha alcun valore pratico.

Tale verifica certifica solo, che chi conosce quello username, conosce anche la password associata.

Non è una distinzione inutile o sciocca. Lavorando sul concetto di autenticazione relativa scopriremo presto come fare a meno di qualsiasi password.

 

L’autorizzazione è quella fase che risponde alla domanda “Vuoi autorizzare questa specifica operazione?

Per motivi di sicurezza questa operazione può avvenire solo su dispositivi dotati di un display, in grado quindi di mostrare i dettagli dell’operazione da effettuare.

Per questa fase, inoltre, devono essere utilizzati solo dispositivi in grado di comunicare attraverso connessioni protette ( SSL o equivalenti ).