• Consulenza software: sistemi di strong authentication, WITO e IambOOTP

    Tra le consulenze software offerte da IambOO si trovano i sistemi di autenticazione forte (o autenticazione a due fattori, o strong authentication), ovvero i metodi di autenticazione che si basano sull'utilizzo congiunto di due modalità di autenticazione individuale. IambOO propone due prodotti specifici e proprietari di autenticazione forte: WITO e IambOOTP.

     

    Sempre più aziende si trovano a operare con sistemi digitali in cui è necessario autenticare l’utente perché possa utilizzarne le funzionalità. Le più comuni forme di autenticazione a due fattori usano "una cosa che conosci" (una password) come primo dei due fattori, mentre come secondo fattore viene utilizzato o "una cosa che hai" (un oggetto fisico) o "una cosa che sei" (una caratteristica biometrica come una impronta digitale). Un esempio comune di autenticazione a due fattori è il bancomat: il tesserino è l'oggetto fisico che rappresenta "una cosa che hai" e il PIN è "una cosa che conosci".

     

    Vediamo adesso i due prodotti di IambOO dedicati ai sistemi di autenticazione forte.

     

    WITO

    WITO è un sistema di strong authentication che utilizza il numero di telefono del chiamante, è compatibile con tutti gli smartphone e non ha costi per l’utente finale. WITO ha un grande vantaggio rispetto ai sistemi più diffusi in quanto non è soggetto ad attacchi di mobile impersonification (spoofing), una tipologia di attacco informatico utilizzata per falsificare diverse informazioni, come ad esempio l'identità di un host all'interno di una rete o il mittente di un messaggio.

     

    Come funziona WITO

    Come nella maggior parte dei sistemi di autenticazione attualmente esistenti, all'utente è richiesto l'inserimento di login e password. Successivamente l'utente è invitato a effettuare una chiamata con il proprio smartphone verso un numero verde che riconosce il caller ID e procede all'autorizzazione. Questo tipo di autenticazione non è sicuro, è infatti relativamente facile replicare il numero di telefono del chiamante, attraverso il cosiddetto spoofing (di cui sopra).

    Con WITO, l'utente accede con username e password e immediatamente il sistema effettua una chiamata al numero di telefono fornito in fase di registrazione. Non è necessario rispondere alla chiamata, per essere autenticato istantaneamente è sufficiente inserire le ultime tre cifre del numero del chiamante. Per utilizzare WITO non è necessario installare un'applicazione, l'unico strumento che serve è il proprio smartphone.

     

    I vantaggi di WITO

    WITO è basato sul modello Software-as-a-Service (SaaS) per cui l’azienda non deve acquistare nessun software, ma può comunque utilizzare il servizio previo abbonamento, abbattendo così notevolmente il costo. Per questo motivo WITO è molto conveniente rispetto ai competitors.

    Per l’utente finale WITO non ha costi così come non ne ha la connessione per il servizio. A differenza dei sistemi che sfruttano gli sms, la telefonata avviene in tempo reale e il sistema autentica l'utente in pochi istanti anche qui senza alcun costo aggiuntivo.

    A livello di compatibilità WITO si interfaccia con tutti gli smartphone attualmente presenti sul mercato.

     

     

    IambOOTP

    IambOOTP è un sistema di strong authentication che sfrutta l’algoritmo pubblico del Token OTP. Come tuttu i sistemi di autenticazione basati su OTP (One Time Password) permette il controllo ad accessi logici avvalendosi di un duplice fattore: un dato conosciuto (un codice identificativo personale) e uno non conosciuto e sempre diverso, una password generata automaticamente di volta in volta. Per utilizzare IambOOTP è sufficiente un comune smartphone e non è necessario alcun dispositivo hardware.

     

    Come funziona IambOOTP

    IambOO è Adopted Member di OATH (Initiative For Open Authentication) ovvero l'iniziativa volta a promuovere degli standard universali open di autenticazione. A questa iniziativa collaborano i principali leader del settore industriale e informatico al fine di fornire una struttura di riferimento standard per l'autenticazione forte di tutti gli utenti, su tutte le reti, attraverso tutti i dispositivi.

    In quest’ottica il sistema IambOOTP si muove all’interno di un server di validazione (modulo di autenticazione, modulo di licensing e backend amministrativo), comprende l'opzione di autenticazione automatica tramite QR-Code, l'integrazione tramite SDK (Java, C# e PHP) e un'applicazione mobile compatibile con iPhone, Android. È prevista inoltre l'integrazione con server RADIUS, la conservazione dei codici di backup in caso di smarrimento del device (opzionale) e la generazione OPT basata sul tempo (opzionale).

     

    Molte tecnologie OTP sono brevettate e ciò rende più difficile la standardizzazione in questo settore, poiché ogni azienda cerca di spingere la propria tecnologia. Esistono tuttavia degli standard che abbiamo deciso di seguire per facilitare al massimo la compatibilità del nostro prodotto con i sistemi digitali più diffusi: l'algoritmo utilizzato da IambOOTP si basa sulla RFC 4226 – HOTP.

     

    I vantaggi di IambOOTP

    Anche questa soluzione, grazie all’utilizzo di standard aperti, è economicamente molto conveniente rispetto ai competitor anche perché la soluzione software, a differenza dei token hardware, non necessita di gestione di magazzino.

    IambOOTP presenta un elevata configurabilità e integrazione immediata con gli strumenti pre-esistenti e delle performance ottimizzate per alte prestazioni con throughput > 2000 autenticazioni al secondo.

    A livello pratico si ha l’enorme vantaggio che si appoggia a uno strumento già estremamente familiare al cliente (il proprio cellulare), è sempre disponibile (non si ha necessità di avere il token fisico) e inoltre l’applicazione mobile non necessita di connessione dati. L’interfaccia di backend permette a un operatore autorizzato di gestire facilmente i token effettuando le operazioni di attivazione/disattivazione, inserimento e verifica dello stato di un token. È inoltre possibile gestire le utenze di amministrazione con vari livelli di autorizzazione.

     

     

    Oggi i sistemi di strong authentication hanno assunto un ruolo cruciale nella vita digitale delle imprese e delle pubbliche amministrazioni che si trovano ad aver bisogno di verificare l’identità di chi accede a determinate applicazioni o ai dati sensibili resi disponibili. Una soluzione di strong authentication non è mai fine a se stessa ma serve tipicamente allo scopo di identificare in modo certo colui che si appresta a fare una operazione. Per questo motivo, grazie al team di sviluppo interno, le soluzioni di IambOO sono altamente personalizzabili in base alle esigenze specifiche di ogni singolo cliente.

Categorie

Potrebbe interessarti

Potrebbe interessarti