MODULO 26 –> Il controllo degli accessi

Insegnamento di Informatica – a.a. 2015-16

Il controllo degli accessi

INSEGNAMENTO DI INFORMATICA – A.A. 2015-16

Francesco Ciclosi

Macerata, 18 dicembre 2015

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati

© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code


Gli obiettivi fondamentali

Attraverso il controllo degli accesso si

vogliono raggiungere i seguenti obiettivi:

• Controllare l’accesso alle risorse

• Identificare chi accede alle risorse

• Autorizzare le operazioni che possono essere

effettuate in base a chi ha effettuato l’accesso

• Monitorare le modalità di accesso e le attività

svolte

http://creativecommons.org/licenses/by-sa/4.0/


http://creativecommons.org/licenses/by-sa/4.0/legalcode




Resistenze sociali e culturali

I sistemi protetti sono più costosi da realizzare e

complessi da utilizzare

Gli utenti devono essere introdotti alla «cultura»

di protezione del sistema e delle proprie

responsabilità

Le credenziali di accesso per essere affidabili

richiedono procedure non banali e/o

informazioni complesse

«Ma tanto non è mai successo niente …»







Autenticazione (1/2)

Consente la regolamentazione dell’accesso a una

determinata risorsa

È solitamente articolata in maniera da individuare

chi cerca di accedere a tale risorsa

Da un punto di vista tecnologico le forme scelte

non dovrebbero permettere di risalire

• alle modalità con cui viene negoziata l’autenticazione

• alle informazioni che vengono trattate







Autenticazione (2/2)

È propedeutica per stabilire la tipologia di

operazioni che possono essere effettuate sulla

risorsa (autorizzazione)







Tecniche di autenticazione (1/2)

Le tecniche utilizzate per l’autenticazione si

dividono in tre categorie:

• Dimostrazione di conoscenza (qualcosa che si sa)

o Personal Identification Numbers (PIN), password

• Dimostrazione di possesso (qualcosa che si ha)

o chiavi fisiche, tessere di identificazione, dispositivi ottici,

smart-card

• Dimostrazione di avere determinate

caratteristiche fisiche (qualcosa che si è)

o autenticazione biometrica







Tecniche di autenticazione (2/2) Sempre più spesso anche nelle reti e nei sistemi

distribuiti si adottano tecnologie di autenticazione a

più fattori

Nei sistemi di pagamento l’autenticazione a più

fattori è diffusa da tempo

L’adozione di forme di autenticazione biometrica

non può prescindere dal rispetto della normativa

vigente e dal parere preventivo dell’Autorità

Garante per la protezione dei dati personali







I meccanismi di sicurezza (1/2)

Ci sono diversi meccanismi di sicurezza specifici

applicabili ai sistemi di autenticazione:

• La crittografia (per la confidenzialità dei dati)

• La firma digitale (per il non ripudio dei messaggi)

• Il controllo dell’accesso

• L’integrità dei dati

• Lo scambio dei dati di autenticazione

• Il controllo dell’ instradamento dei dati (routing)







I meccanismi di sicurezza (2/2)

• La generazione di traffico spurio per impedire

attacchi di replica basati sull’analisi dello stesso

(traffic padding)

• La notifica della ricezione dei dati da parte del

destinatario

Ai tali meccanismi di sicurezza si affiancano

comunque i meccanismi legati agli aspetti

globali della gestione della sicurezza del sistema







Robustezza di una password

Consideriamo i seguenti elementi:

• P = probabilità di riuscire a scoprire una password

• L = tempo di vita della password

• R = frequenza dei tentativi

• S = dimensione della chiave

P = 𝑳×𝑹

𝑺







Alcuni requisiti di legge

Il «Codice in materia di protezione dei dati

personali» (D.lgs. 30 giugno 2003, n. 196 e s.m.i.)

Allegato B al D.lgs. 196/2003 «Disciplinare tecnico

in materia di misure minime di sicurezza»

Determinano i requisiti da rispettare in materia di

complessità della password:

• Lunghezza di almeno 8 caratteri (o il limite massimo

consentito dal sistema qualora inferiore a 8 caratteri)

• Modifica obbligatoria almeno ogni 6 mesi







Password «deboli» e password «complesse»

È quasi impossibile stabilire se una password è

sufficientemente complessa

Molto più semplice è rendersi conto della

debolezza di una password

Alcuni esempi di password deboli:

• Corrispondenti a dati direttamente o indirettamente

riconducibili al titolare: nome, cognome, nomi dei figli,

data di nascita, ecc…

• Corrispondenti a parole di uso comune nel dizionario







Password «deboli»

Secondo criteri abbastanza condivisi una password è

sicuramente debole se:

• È usata per ogni tipo di accesso

• È lunga meno di 8 caratteri

• Contiene informazioni direttamente o indirettamente

riconducibili al titolare delle credenziali

oEs.: il nome utente, il proprio nome, il nome dell’azienda, il

nome del partner, la propria data di nascita

• Contiene una parola completa (o sue varianti)

oEs.: cane, catto, casa, zuzzerellone, zuzzerellone23







Password «complesse» (1/2) Secondo i medesimi criteri una password è

complessa se:

• È lunga almeno 8 caratteri

• Non contiene informazioni direttamente o

indirettamente riconducibili al titolare delle credenziali

• Non contiene una parola completa (o sue varianti)

• È significativamente differente dalle precedenti

password







Password «complesse» (2/2)

• Contiene caratteri che appartengano ai seguenti 4

gruppi:

o Lettere maiuscole

o Lettere minuscole

o Numeri

o Caratteri speciali (~ ! @ # $ % ^ …)

Esempio di password complessa: J*p2leO4>F







Password apparentemente complesse

Anche la password costruita con i criteri più complessi perde la

sua efficacia se non custodita con la dovuta riservatezza







Un punto di attenzione

La sottrazione di una password assume un grado di pericolosità proporzionale

• Al ruolo svolto dal soggetto titolare

• Ai privilegi attribuito al soggetto titolare

Il furto delle credenziali può prescindere l’aspetto tecnologico ed essere realizzata già con espedienti di Social Engineering







Autorizzazione

L’identità individuata in fase di autenticazione determina

• quali operazioni possono essere eseguite su una risorsa

• se l’utilizzo di una risorsa debba essere inibito

Questo controllo viene eseguito attraverso le Access Control List (ACL)







Assegnazione per gruppi omogenei

Per organizzare in maniera razionale l’assegnazione

delle operazioni consentite sulle risorse mediante le

ACL, i vari utenti possono essere collocati in

raggruppamenti omogenei, la cui afferenza può

essere determinata da diversi fattori (organizzativi,

funzionali, geografici)

Le informazioni utilizzate nelle fasi di

autenticazione/autorizzazione e relative agli utenti

e ai gruppi sono memorizzate in appositi repository







I miei contatti linkedin

http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/

facebook

https://www.facebook.com/francesco.ciclosi

twitter

@francyciclosi

www

http://www.francescociclosi.it




MODULO 26 –> Il controllo degli accessi

Presentations & Public Speaking

Transcript of MODULO 26 –> Il controllo degli accessi