Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2FA contro il furto di identità

2FA contro il furto di identità

Introduzione all'uso dell'autenticazione a due fattori (2FA) per prevenire il furto di identità e proteggere i dati dei propri utenti (GDPR).

Emanuele Cisbani

April 16, 2018
Tweet

More Decks by Emanuele Cisbani

Other Decks in Business

Transcript

  1. techsoup.it AUTENTICAZIONE A DUE FATTORI contro il furto di identità

    Emanuele Cisbani Intesi Group Technology Evangelist [email protected] 16 aprile 2018
  2. • Cosa è l'identità digitale • L'autenticazione a 2 fattori

    • Breve dimostrazione • Domande e risposte 2 Agenda
  3. electronic IDentification Authentication and Signature • eIDAS è la base

    per la costruzione del Mercato Unico Digitale in Europa • eIDAS impone l’interoperabilità in tutta Europa dal 1/7/2016 • La Firma Elettronica Qualificata ha valore legale equivalente a quella autografa • Il Regolamento implica l’adozione obbligatoria per tutti gli Stati membri 3 eIDAS: l’identità digitale a valore legale in Europa
  4. • Applicare il General Data Protection Regulation (GDPR) - 25

    Maggio 2018 • Il 50% delle imprese è in ritardo • La percentuale fra le associazioni di volontariato e le realtà non profit sale probabilmente al 99,9% • Nessuna esenzione per il terzo settore o non profit: la normativa europea sulla privacy parla di "organizzazioni" di qualsiasi tipo 4 Un'urgenza che riguarda tutti (anche il non profit) fonte: https://www.01net.it/gdpr-organizzazioni-non-profit/
  5. • “data protection by default and by design” (art. 25

    GDPR) • Proteggere i dati e gli eventuali account degli utenti almeno con delle password secondo le normative vigenti • Proteggere gli account amministrativi con l'autenticazione a due fattori • Usare le funzionalità 2FA già disponibili gratuitamente (soprattutto se si ricopre un ruolo tecnico e si hanno privilegi amministrativi) 5 Come proteggere l'identità digitale
  6. Non è una questione puramente normativa È un problema di

    comunicazione e consapevolezza Non siamo consapevoli di cosa sia l'identità digitale La tecnologia cambia il nostro habitat velocemente Siamo biologicamente e psicologicamente uguali all'uomo paleolitico Dobbiamo imparare a usare la tecnologia senza averne paura 6 La tecnologia è un problema?
  7. L'identità digitale può essere vista come una maschera o un

    travestimento L'identità digitale è simile a un documento d'identità Possiamo avere molte identità digitali, come accade per i documenti Le identità digitali autentiche sono analoghe tra loro, come lo sono i documenti Quelle false invece non si somigliano 7 Quante identità?
  8. • «identificazione elettronica»: il processo per cui si fa uso

    di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica • «dati di identificazione personale»: un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica • «autenticazione»: un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica 8 Regolamento eIDAS - Art. 3
  9. Nel mondo digitale è facile (ed economico) riprodurre le informazioni

    (“copia e incolla”) 9 L’autenticità e l’Identità nell’era Digitale L’identità è un insieme di dati, un messaggio: come facciamo a sapere chi c’è dall’altra parte del filo o della porta? Se trasmetto quei “bit” che rappresentano la mia identità, qualcuno potrebbe intercettarli, copiarli, e simulare di essere me: rubare cioè la mia identità!
  10. 10 Identità Digitale basata sulla Biometrica I dispositivi biometrici si

    basano su caratteristiche fisiologiche o comportamentali (impronta digitale, scansione dell’iride, calligrafia, riconoscimento facciale o vocale) L’unico vantaggio risiede nel non dover identificare e associare la persona al dato biometrico, e nel non richiedere ad essa di portare con sé un dispositivo
  11. L’Identità crittografica si basa su una "chiave" unica associata in

    modo univoco alla persona che la possiede e la controlla in modo esclusivo • Garantisce la privacy • È gestibile con lo smartphone • Può essere revocata • Non presenta errori di misura • È “nativa digitale” 11 Identità Digitale basata sulla Crittografia
  12. • Cosa è l'identità digitale • L'autenticazione a 2 fattori

    • Breve dimostrazione • Domande e risposte 12 Agenda
  13. Ci sono circa 1075 chiavi possibili (RSA 1024 bit) tra

    le quali ne viene scelta una a caso 1010 = 10.000.000.000 cioè dieci miliardi mentre 1075 è un numero con 75 zeri! 1050 = stima del numero di atomi che compongono il pianeta Terra 1075=1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000000.000 .000.000.000.000.000.000.000.000 cioè mille miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di chiavi Ne viene scelta una a caso e viene associata alla persona che ne diventa il possessore esclusivo (sostanzialmente è una password numerica un po' lunga) 13 Unicità delle chiavi crittografiche
  14. 14 Le password usa e getta (OTP) • viene generata

    una chiave unica associata all'utente • una copia della chiave è custodita su dei server che applicano gli stessi livelli di sicurezza bancari • un'altra copia è custodita in modo sicuro sullo smartphone (o su una chiavetta hardware) • la chiave unica e l'orario sono utilizzati entrambi per generare una nuova password ogni 30 secondi
  15. Per garantire che solo il proprietario di un'identità digitale (come

    l'account social che abbiamo su Google o Facebook) ne abbia il controllo, si usa la tecnica dei due fattori di autenticazione (detta anche "Strong Authentication") Il primo fattore è una cosa che solo tu sai: la cara vecchia password del tuo account Il secondo fattore è una cosa che solo tu possiedi: il telefono o lo smartphone, che è già sempre con te, a portata di mano (e che ti fornisce le password usa e getta) Una cosa che solo tu sai più una cosa che solo tu hai 15 Il controllo esclusivo tramite due fattori (2FA)
  16. Il processo di attivazione consente di associare in modo univoco

    l'account social alla chiave crittografica La chiave crittografica consente di generare le password temporanee OTP (One Time Password) 16 La 2FA in tre mosse
  17. Subscriber Identity Module (SIM) "modulo d'identità dell'abbonato" La SIM telefonica

    non è come la SIM crittografica della Carta di Credito Quanto è facile clonare una SIM telefonica (non crittografica)? Quanto costano gli SMS? 17 Le OTP ricevute via SMS
  18. • Cosa è l'identità digitale • L'autenticazione a 2 fattori

    • Breve dimostrazione • Domande e risposte 18 Agenda
  19. • Cosa è l'identità digitale • L'autenticazione a 2 fattori

    • Breve dimostrazione • Domande e risposte 20 Agenda