La maggior parte dei sistemi di controllo accessi utilizzano come metodi di autenticazione:

  • qualcosa che sai (conoscenza)
  • qualcosa che possiedi (possesso)
  • qualcosa che sei (caratteristica biometrica)

Autenticazione per conoscenza

  • Password: una parola chiave statica conosciuta solo dall’utente che deve autenticarsi in un sistema. Se troppo semplice o breve può essere soggetta ad attacchi di tipo “brute force” che testano il sistema inviando migliaia di password diverse al secondo
  • Frase segreta: una serie di parole conosciute solo dall’utente che deve autenticarsi in un sistema. Soffre dello stesso problema della password, relativo alla dimensione e alla complessità. Di solito una frase è più semplice da ricordare rispetto ad una parola delle stesse dimensioni.
  • Storia personale: Una serie di domande relative alla propria storia personale, sono facili da ricordare e in alcuni ambiti molto efficienti rispetto ad una password
  • Grafica:  l’utente per accedere al sistema deve disegnare una sequenza di punti di un’immagine. E’ molto semplice da ricordare, rispetto ad una sequenza di caratteri e se utilizzata spesso diventa anche molto veloce da realizzare (alcuni smartphone supportano questa modalità di autenticazione)

In generale, uno qualsiasi di questi metodi può essere efficiente, ma deve rispettare delle linee guida che aumentano il livello di complessità delle credenziali. Inoltre il sistema di controllo accessi dopo un certo numero di tentativi di accesso sbagliati, dovrebbe aumentare in modo proporzionale i tempi di accesso per una prova successiva.

Autenticazione per possesso

  • Tokens: Possono essere sotto forma di carte di credito, oppure di generatori di “one time password”. Spesso viene associato al token una password che rende più sicuro il sistema di controllo accessi (ad esempio il bancomat che permette il prelievo di denaro da uno sportello automatico). Esistono due tipologie Sincroni e Asincroni:
    • Asincroni: prevedono una richiesta di accesso da parte dell’utente, una successiva richiesta di autenticazione da parte del sistema e quindi l’invio dei dati di autenticazione da parte dell’utente
    • Sincroni: Sono basati su eventi  o sulla sincronizzazione temporale. Ad esempio alcuni generatori di “one time password” generano una password che deriva dalla data e ora attuale più una codice di identificazione dell’utente.
  • Dispositivi di memorizzazione: contengono una procedura software che permette l’accesso ad un sistema. Vengono utilizzate sia pendrive USB che Smart Cards
  • RFID: Questi dispositivi riconoscono l’utente senza necessariamente avere un contatto fisico. Possono essere soggetti ad attacchi DDOS. UN esempio sono gli RFID utilizzati dai sistemi antifurto delle automobili. L’utente si avvicina all’automezzo e l’automobile lo riconosce e disattiva i blocchi di sicurezza.

Autenticazione per caratteristica biometrica

Può essere utilizzata sia per identificare che per autenticare l’utente. Non è utilizzata spesso perchè prevede la memorizzazione di dati sensibili dell’utente. E’ molto efficiente e sicura ma spesso molto costosa da implementare. Esistono diverse tipologie:

  • Statiche:
    • Riconoscimento delle impronte digitali
    • Riconoscimento della forma della mano
    • Riconoscimento delle vene del palmo della mano
    • Scansione della retina
    • Scansione dell’iride
    • Riconoscimento facciale
  • Dinamiche:
    • Riconoscimento della voce
    • Riconoscimento della battitura dei caratteri sulla tastiera
    • Riconoscimento della firma (velocità, forma e movimenti)

Tutti i sistemi biometrici sono soggetti errori:

  • Falsi positivi
  • Falsi negativi

La calibrazione di un sistema di autenticazione biometrica deve portare al Crossover Error Rate, cioè ad un equilibrio ottimale che limiti entrambe le tipologie di errore.

Inoltre alcuni sistemi di autenticazione biometrica richiedono dei tempi di elaborazione piuttosto lunghi sia per la rilevazione dei dati fisici che per il recupero delle informazioni di confronto. Questo deve essere considerato in situazioni dove gli accessi hanno un’elevata frequenza per secondo e dove non sono accettate code.

Tutti i sistemi di controllo accessi dovrebbero gestire i parametri di sessione. Ad esempio dopo un certo tempo di inattività, il sistema dovrebbe annullare la sessione. Inoltre il sistema di controllo accessi deve avere delle procedura di monitoraggio e notifica per qualsiasi evento anomalo.

Author