c.m.g
03-03-2016, 11:12
Giovedì 3 Marzo 2016
Punto Informatico intervista Kayvan Alikhani di RSA. Che racconta di come la sua missione sia di sbarazzarsi per sempre delle password e rendere tutti più sicuri
San Francisco - Il sasso nello stagno l'ha lanciato per primo Amit Yoran, presidente di RSA, che sul palco durante il keynote di inaugurazione della edizione 2016 della storica convention che si tiene in California da 25 anni ha detto senza mezzi termini che si deve cambiare mentalità: non basta semplicemente installare un software per garantire a posteriori la sicurezza di un server, di un servizio o di una intera organizzazione, bensì occorre iniziare a penare in modo creativo e come fare ad assicurare alla propria infrastruttura adeguati livelli di protezione anche in presenza di un'emergenza. Un approccio, insomma, più umano e meno automatico: e lo stesso approccio RSA, costola di EMC a sua volta in procinto di essere acquisita definitivamente da Dell, lo propone in tanti dei prodotti che sta lanciando sul mercato.
Tra gli annunci di RSA Conference 2016 c'è ad esempio la nuova versione di RSA Via, soluzione pensata per gestire in modo organico le identità e l'autenticazione in organizzazioni di qualunque complessità. E l'approccio seguito da RSA per gestire questa delicata questione è tutt'altro che banale: "Stiamo attraversando un periodo di profondi cambiamenti - spiega a Punto Informatico Kayvan Alikhani, responsabile tecnologico per il prodotto RSA Via (https://www.rsa.com/en-us/products-services/identity-access-management) - con l'autenticazione che è passata da essere un'esperienza fortemente legata al rapporto server-client a un processo sempre più legato al device, magari dotato di sistemi di identificazione biometrica, e alla cosiddetta root of trust. Anche il movimento verso il cloud però fino a questo punto è stato fortemente legato a una questione di convenienza economica: un meccanismo che vediamo ripetersi, ma che non garantisce rispetto alla progettazione sicura dei prodotti e dei servizi, o alla loro facilità d'uso".
La questione, ci spiega, è che si deve senz'altro tenere conto della semplicità con la quale gli strumenti di autenticazione devono e possono essere utilizzati, ma senza trascurare l'efficacia delle soluzioni scelte: "Abbiamo visto accadere cose interessanti in questo settore, con diversi approcci che sono riusciti a superare la dolorosa procedura classica della password a favore di metodi e tecnologie più moderne: l'idea di avvicinare uno smartphone al viso per far riconoscere la forma del volto o l'iride sta diventando familiare, così come si sono moltiplicati i dispositivi (smartphone e non solo) che incorporano altri sistemi di identificazione biometrica come quello dell'impronta digitale. La diffusione di elementi di sicurezza embedded all'interno dei device ha poi permesso di gestire le operazioni di cifratura direttamente a bordo dell'hardware locale, senza dover ricorrere all'autenticazione remota". Il problema è il bilanciamento tra queste nuove forme di identificazione e riconoscimento, tanto comode visto che basta appoggiare il dito su un sensore incorporato in uno smartphone, e il corrispettivo livello di sicurezza garantito: se l'impronta può essere sostituita da un codice numerico a 4 cifre, dice Alikhani, invece di rafforzare la sicurezza del sistema si finisce per indebolire il processo. Il principio però resta valido: "Pensate a TouchID di Apple - prosegue - e al fatto che consenta di autenticarsi con un singolo dato, la vostra impronta, per effettuare acquisti su molteplici piattaforme e di molteplici beni: è un passo importante. Allo stesso tempo, le vostre credenziali non vengono trasmesse a un server remoto, rimangono sul dispositivo usato, e ciò è un altro vantaggio tangibile di questo approccio che non accentra le credenziali di milioni di utenti su un server che può essere violato".
Tra gli obiettivi centrati recentemente da questa industria, Alikhani ci tiene a sottolineare la costituzione (http://punto-informatico.it/4202424/PI/News/cambia-tutte-password-un-colpo-solo.aspx) della FIDO Alliance: un luogo dove, ci spiega, finalmente si è proceduto di concerto tra quasi la totalità dell'industria coinvolta alla standardizzazione di questi nuovi metodi di autenticazione e identificazione, con l'obiettivo chiaro di semplificare l'esperienza dal lato utente senza per questo indebolire il valore complessivo della sicurezza offerta dai servizi che adottano le specifiche FIDO. Lui stesso cita le sperimentazioni di Google (http://punto-informatico.it/4169109/PI/News/google-usb-autenticazione-utente.aspx) che ha voluto provare un metodo basato sull'impiego di una chiave hardware per garantire l'identità di un PC, approccio che ora è entrato a far parte anche del prodotto RSA Via di cui Alikhani cura lo sviluppo.
Sembrano cambiamenti da poco, ma si portano dietro una serie di conseguenze non banali: per esempio il phishing può essere messo seriamente in crisi da questo tipo di autenticazione, visto che l'identità dell'utilizzatore è legata al dongle USB locale da agganciare al PC ed elimina la necessità di far circolare le proprie credenziali via Rete. Non dovendo più andare a popolare i campi di una pagina Web, magari per accedere al sito contraffatto della propria banca, si annulla il rischio di fornire più o meno volontariamente i propri dati ai malintenzionati. Il risultato è che ci sono meno informazioni sensibili in circolazione, e si complica la vita a chi voglia provare a fare "pesca a strascico" (mentre ovviamente gli attacchi su misura indirizzati a una singola persona o organizzazione sono un'altra storia:) il fatto stesso che per violare l'identità di 1 milione di persone che usano lo smartphone come token per l'accesso si dovrebbe sottrarre loro 1 milione di smartphone (uno a testa) è un passo in avanti.
A cura di Luca Annunziata
Continua su Punto Informatico ======>> (http://punto-informatico.it/4304660/PI/Interviste/rsa16-password-piu-semplice-quella-piu-complessa.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/4304660/PI/Interviste/rsa16-password-piu-semplice-quella-piu-complessa.aspx)
Punto Informatico intervista Kayvan Alikhani di RSA. Che racconta di come la sua missione sia di sbarazzarsi per sempre delle password e rendere tutti più sicuri
San Francisco - Il sasso nello stagno l'ha lanciato per primo Amit Yoran, presidente di RSA, che sul palco durante il keynote di inaugurazione della edizione 2016 della storica convention che si tiene in California da 25 anni ha detto senza mezzi termini che si deve cambiare mentalità: non basta semplicemente installare un software per garantire a posteriori la sicurezza di un server, di un servizio o di una intera organizzazione, bensì occorre iniziare a penare in modo creativo e come fare ad assicurare alla propria infrastruttura adeguati livelli di protezione anche in presenza di un'emergenza. Un approccio, insomma, più umano e meno automatico: e lo stesso approccio RSA, costola di EMC a sua volta in procinto di essere acquisita definitivamente da Dell, lo propone in tanti dei prodotti che sta lanciando sul mercato.
Tra gli annunci di RSA Conference 2016 c'è ad esempio la nuova versione di RSA Via, soluzione pensata per gestire in modo organico le identità e l'autenticazione in organizzazioni di qualunque complessità. E l'approccio seguito da RSA per gestire questa delicata questione è tutt'altro che banale: "Stiamo attraversando un periodo di profondi cambiamenti - spiega a Punto Informatico Kayvan Alikhani, responsabile tecnologico per il prodotto RSA Via (https://www.rsa.com/en-us/products-services/identity-access-management) - con l'autenticazione che è passata da essere un'esperienza fortemente legata al rapporto server-client a un processo sempre più legato al device, magari dotato di sistemi di identificazione biometrica, e alla cosiddetta root of trust. Anche il movimento verso il cloud però fino a questo punto è stato fortemente legato a una questione di convenienza economica: un meccanismo che vediamo ripetersi, ma che non garantisce rispetto alla progettazione sicura dei prodotti e dei servizi, o alla loro facilità d'uso".
La questione, ci spiega, è che si deve senz'altro tenere conto della semplicità con la quale gli strumenti di autenticazione devono e possono essere utilizzati, ma senza trascurare l'efficacia delle soluzioni scelte: "Abbiamo visto accadere cose interessanti in questo settore, con diversi approcci che sono riusciti a superare la dolorosa procedura classica della password a favore di metodi e tecnologie più moderne: l'idea di avvicinare uno smartphone al viso per far riconoscere la forma del volto o l'iride sta diventando familiare, così come si sono moltiplicati i dispositivi (smartphone e non solo) che incorporano altri sistemi di identificazione biometrica come quello dell'impronta digitale. La diffusione di elementi di sicurezza embedded all'interno dei device ha poi permesso di gestire le operazioni di cifratura direttamente a bordo dell'hardware locale, senza dover ricorrere all'autenticazione remota". Il problema è il bilanciamento tra queste nuove forme di identificazione e riconoscimento, tanto comode visto che basta appoggiare il dito su un sensore incorporato in uno smartphone, e il corrispettivo livello di sicurezza garantito: se l'impronta può essere sostituita da un codice numerico a 4 cifre, dice Alikhani, invece di rafforzare la sicurezza del sistema si finisce per indebolire il processo. Il principio però resta valido: "Pensate a TouchID di Apple - prosegue - e al fatto che consenta di autenticarsi con un singolo dato, la vostra impronta, per effettuare acquisti su molteplici piattaforme e di molteplici beni: è un passo importante. Allo stesso tempo, le vostre credenziali non vengono trasmesse a un server remoto, rimangono sul dispositivo usato, e ciò è un altro vantaggio tangibile di questo approccio che non accentra le credenziali di milioni di utenti su un server che può essere violato".
Tra gli obiettivi centrati recentemente da questa industria, Alikhani ci tiene a sottolineare la costituzione (http://punto-informatico.it/4202424/PI/News/cambia-tutte-password-un-colpo-solo.aspx) della FIDO Alliance: un luogo dove, ci spiega, finalmente si è proceduto di concerto tra quasi la totalità dell'industria coinvolta alla standardizzazione di questi nuovi metodi di autenticazione e identificazione, con l'obiettivo chiaro di semplificare l'esperienza dal lato utente senza per questo indebolire il valore complessivo della sicurezza offerta dai servizi che adottano le specifiche FIDO. Lui stesso cita le sperimentazioni di Google (http://punto-informatico.it/4169109/PI/News/google-usb-autenticazione-utente.aspx) che ha voluto provare un metodo basato sull'impiego di una chiave hardware per garantire l'identità di un PC, approccio che ora è entrato a far parte anche del prodotto RSA Via di cui Alikhani cura lo sviluppo.
Sembrano cambiamenti da poco, ma si portano dietro una serie di conseguenze non banali: per esempio il phishing può essere messo seriamente in crisi da questo tipo di autenticazione, visto che l'identità dell'utilizzatore è legata al dongle USB locale da agganciare al PC ed elimina la necessità di far circolare le proprie credenziali via Rete. Non dovendo più andare a popolare i campi di una pagina Web, magari per accedere al sito contraffatto della propria banca, si annulla il rischio di fornire più o meno volontariamente i propri dati ai malintenzionati. Il risultato è che ci sono meno informazioni sensibili in circolazione, e si complica la vita a chi voglia provare a fare "pesca a strascico" (mentre ovviamente gli attacchi su misura indirizzati a una singola persona o organizzazione sono un'altra storia:) il fatto stesso che per violare l'identità di 1 milione di persone che usano lo smartphone come token per l'accesso si dovrebbe sottrarre loro 1 milione di smartphone (uno a testa) è un passo in avanti.
A cura di Luca Annunziata
Continua su Punto Informatico ======>> (http://punto-informatico.it/4304660/PI/Interviste/rsa16-password-piu-semplice-quella-piu-complessa.aspx)
Fonte: Punto Informatico (http://punto-informatico.it/4304660/PI/Interviste/rsa16-password-piu-semplice-quella-piu-complessa.aspx)