In questo nuovo articolo parleremo della differenza tra autenticazione e autorizzazione, due concetti che apparentemente sembrano simili e talvolta addirittura scambiati per sinonimi, ma che in realtà sono molto diversi tra loro sebbene spesso integrati.

Con il termine di autenticazione si indica il processo attraverso cui si identifica una qualsiasi entità, che può essere una persona o un sistema informatico, mentre con l'autorizzazione si stabiliscono le risorse accessibili da un utente nonché le operazioni che è possibile effettuare.

Nel mondo reale l'autenticazione si ottiene attraverso i documenti, ad esempio la carta di identità, il passaporto o la patente di guida.

Quindi il documento ci identifica ma ciò non ci consente automaticamente di accedere a determinate risorse.

Per esempio supponiamo di voler usufruire del trasporto locale e di voler prendere l'autobus. Ovviamente il documento di identità ci identifica ma non ci autorizza ad utilizzare il mezzo.

Abbiamo bisogno di acquistare un biglietto che ci concede l'autorizzazione ad usufruire di quel particolare servizio. Ad eccezione dei servizi in cui è richiesta una prenotazione, questi biglietti sono del tutto anonimi quindi disporre di un biglietto dell'autobus o della metro ci permette di usufruire del servizio anche se quel titolo non ci identifica, visto che non riporta i nostri dati anagrafici.

Quindi è evidente che si tratta di due concetti diversi ma spesso integrati tra di loro,nel senso che l'autenticazione si porta dietro anche l'autorizzazione, ovvero una sorta di profilo che ci consente di effettuare determinate operazioni.

Ad esempio la patente di guida è emblematica perché allo stesso tempo è un documento di riconoscimento, in quanto presenta i nostri dati personali e la nostra foto, e allo stesso tempo ci autorizza a guidare dei veicoli in base alla tipologia conseguita (A, B, C, ecc).

In questo caso abbiamo appunto i due concetti distinti ma completamente integrati tra loro in un unico documento.

Quando accediamo ad un sistema informatico, ad esempio il sito della nostra banca, andiamo ad effettuare l'autenticazione inserendo le credenziali (username e password). Associato al nostro account vi è un profilo utente che ci consente di eseguire determinate operazioni: ad esempio possiamo fare bonifici, effettuare pagamenti, gestire le utenze ecc. Tuttavia ci sono delle operazioni che solo i dipendenti della banca possono effettuare perchè abilitati in base al loro profilo.

I meccanismi di autenticazione che si possono utilizzare sono diversi e si differenziano in tre principali categorie:

1. sistemi di autenticazione basati su informazioni in nostro possesso (le classiche combinazioni username/password)
2. sistemi di autenticazione basati su oggetti in nostro possesso (badge, token per la generazione di password o pin usa e getta da inserire nel form di login ecc.)
3. sistemi di autenticazione biometrici, ovvero basati sulle nostre caratteristiche fisiche (impronte digitali, riconoscimento del viso, della voce o dell’iride).

Talvolta più meccanismi vengono combinati per garantire maggiori livelli di sicurezza.

E’ il caso del bancomat che richiede sia la carta (oggetto in nostro possesso) che il pin (informazione che solo noi conosciamo).

Questi due elementi devono operare in sinergia altrimenti non possiamo effettuare alcuna operazione. Disporre soltanto dell’uno o dell’altro non basta.

Infne accenniamo brevemente ai sistemi di autenticazione a due o più fattori in cui, oltre al meccanismo principale con cui inseriamo le nostre credenziali (in genere username e password), se ne affianca un altro (o più di uno) che ci fornisce un’ulteriore informazione veicolata con un canale diverso.

In generale si tratta di un’app installata sul cellulare oppure di un sms o di una email, sebbene gli ultimi due siano meno sicuri.

Una volta si utilizzavano dei dispositivi simili a delle pendrive per generare un codice temporaneo da inserire a conferma di un’operazione, principalmente in ambito bancario.

L’autenticazione multifattore aumenta il livello di sicurezza perchè obbliga il potenziale aggressore ad avere il controllo di più canali di comunicazione: non gli basta rubare le credenziali ma deve poter intercettare in qualche modo anche il token di conferma.

[VIDEO YOUTUBE]