Le tante procedure per accedere ad un sito

Nel mondo reale quando accediamo ad un domicilio dobbiamo avere il permesso del proprietario. Questi per tutelarsi pone delle misure di sorveglianza. Sistemi di allarme e portierato.

L’accesso è quindi verificato dal padrone di casa o da una persona da lui incaricata: portiere. A lui è demandato il compito di identificarci e garantire per noi. Egli assicura per noi in quanto siamo stati presentati da un soggetto “fidato”, proprietario, coinquilino o amministratore del domicilio.

Superato il portiere accediamo al domicilio mediante chiave d’accesso che solo noi, o altri inquilini, posseggono. La nostra fisionomia garantisce l’essere identificati dal portiere, il possesso della chiave assicura che abbiamo il diritto ad accedervi.

Si identificano così i due attributi cardine della sicurezza <chi sono> e <cosa posseggo o conosco> L’abbinamento dei due determina l’ingresso al domicilio.

L’accesso ad un domicilio virtuale mantiene il medesimo meccanismo solo trasposto in stringhe identificative. Un insieme di stringhe, o parametri, rappresentano il soggetto, definito anche utente. Queste due stringhe si chiamano: user-name (nome utente) e password (parola d’ordine).

Lo <user-name> è la nostra fisionomia, cioè ci identifica; è lo pseudonimo col quale siamo riconosciuti dal sito. Esso è univoco, non può esistere altro utente con lo stesso <user-name> per quel sito. Come nel mondo reale non può esistere un altro noi.

Come nel mondo reale ci presentiamo al proprietario del domicilio dichiarando chi siamo, al primo accesso ad un domicilio virtuale: sito web, blog, portale, webmail, che sia, necessita presentarci. Il sito richiede la compilazione di un form con i nostri dati. Nel passato si chiedeva anche di definire un <user-name>, oggi si richiede di disporre di una casella mail a noi associata e “funzionante”. Questo indirizzo diventa lo <user-name> per l’accesso al sito, cioè la nostra stringa di identificazione. Per questo molte volte viene chiesto di ripeterlo.

Questa procedura, che suddivide l’iscrizione in due momenti, è stata adottata per accertare la veridicità della richiesta di iscrizione, e eliminare così quelle false, come pure per avvisare di eventuali indicazioni di indirizzi già usati da un altri soggetti registrati. All’indirizzo mail espresso viene inoltrata una e-mail con il link per proseguire l’iscrizione.

Cliccando sul link si procede con la seconda parte dell’iscrizione che si conclude con la richiesta di inserimento di una password, la chiave con cui si accederà al sito. Password, o parola chiave, che solo noi conosciamo. Anche questa nella form deve essere ripetuta. Le due password digitate sono poi confrontate per evitare possibili errori di battitura.

Dobbiamo conservare e tutelare la password come facciamo con le chiavi fisiche della nostra abitazione. Non ci sogneremmo mai di consegnare le chiavi di casa nostra, o di altra abitazione, al primo sconosciuto che ce le chiede! Nello stesso modo non si deve mai comunicare la password a soggetti non fidati, neppure a quelli fidati.

Mentre lo <user-name> è pubblico, alla stregua della nostra fisionomia visibile da ognuno, la password, come le chiavi di una abitazione, deve essere conosciuta solo da noi.

Questi due elementi definiti al momento della registrazione vanno a comporre la nostra identità digitale insieme alle informazioni che come le briciole disseminiamo durante la navigazione in rete.

È buona norma differenziare le password sito per sito, come non ci sogneremmo mai di utilizzare la stessa chiave per l’abitazione di città e di campagna, così non dovremmo mai utilizzare la medesima password per due distinti siti.

Concordo che diventa difficile alla fine ricordarsi tutte le password, però ci dobbiamo provare.

Abbiamo già affrontato in un precedente post (09/06/2015) l’argomento di come deve essere costruita una password e di come essa dovrebbe essere periodicamente variata, vi invito quindi a leggerlo.

Gli accessi sono così verificati dal sito associando la password digitata all’identità dichiarata.

Nei siti “importanti”, di solito banche o similari, come rafforzamento del connubio <user-name/password> si utilizzano i token, termine associato ai dispositivi il cui possesso fisico legittima l’accesso al domicilio digitale. L’utilizzo del dispositivo va a sostituire la digitazione della password.

L’apparato ovviamente viene convalidato nel mondo reale dal proprietario del sito. Può essere di piccole dimensioni con un display come pure il nostro cellulare definito tramite l’indicazione del numero di telefono al momento dell’iscrizione al sito. Il rafforzamento avviene in quanto siamo individuati, in fase di autenticazione, mediante un qualcosa che solo noi possediamo.

Per entrambi i dispositivi la procedura di autenticazione prevede la visualizzazione di un codice numerico, nel primo caso generato dall’apparato, nel caso del cellulare inviato via SMS direttamente dalla procedura al numero telefonico, che dovrà essere digitato nella form di autenticazione.

L’abbinamento dello <user-name> con il codice numerico digitato consente l’accesso al sito.

Il corretto utilizzo del dispositivo è fondamentale per la garanzia della sicurezza. Lo smarrimento o un malfunzionamento deve essere prontamente comunicato al responsabile del sito in quanto può compromette il nostro l’accesso o abilitare terzi non etici ad accedervi.

La sicurezza è un qualcosa che deve essere potenziata al crescere dei rischi che impattano sulle informazioni da proteggere. Abbiamo visto i primi due livelli, in un successivo post vedremo come l’autenticazione possa essere ulteriormente rafforzata.

Scritto da: Marcello Pistilli