L’autenticazione a due fattori è un processo di autenticazione che combina qualcosa che si conosce, con qualcosa che si possiede, o che ci caratterizza:

  1. qualcosa che si conosce: PIN o Password;
  2. qualcosa che si possiede: Token OTP, crittografico, smart card, ecc.;
  3. qualcosa che ci caratterizza: impronte digitali, impronta retina, firma biometrica, ecc..

Le tradizionali soluzioni di autenticazione a due fattori (2FA), basate sul modello “distribuzione token OTP”, si sono rivelate troppo costose per essere applicate in modo generalizzato e diffuso. Se si considera l’importante investimento richiesto per acquistare, implementare e gestire l’autenticazione a due fattori, è inevitabile che nella gran parte dei casi si sia optato per la protezione di ambiti aziendali selezionati in modo specifico e alternativo, oppure di rimanere fedeli al “no buono” vecchio metodo UserID e Password.

In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto).

In “One person, one authentication” il progetto free software I-AM sposa “qualcosa che già si ha” con “qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID), garantendo la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale.

Intel, Symantec e Vasco hanno unito le loro forze per sviluppare la tecnologia IPT (Identity Protection Technology), un livello di sicurezza aggiuntivo basato su hardware; per avvalersi della tecnologia IPT, ciò che serve è esclusivamente un computer, un PC tablet, o uno smartphone per generare one-time password (OTP) senza doversi dotare di token, evitando così di trasformarci in portatoken. Le tre aziende hanno scelto di rendere disponibile la tecnologia IPT secondo modalità diverse, in questo guidate dalle loro vocazioni più o meno “hardware or software oriented“, ed è così che Intel ha scelto di integrare l’autenticazione a due fattori direttamente nei processori dei PC basati su alcuni processori Intel® Core™ vPro™ di terza generazione, mentre

Symantec e VASCO hanno preferito la via del software, da installare sul dispositivo prescelto dall’utente, che diventa quindi un generatore di password monouso da utilizzare, o come un codice di sicurezza univoco, che può essere utilizzato insieme al proprio nome utente e password per accedere agli account in modo sicuro, o come una seconda password, un ultertiore strato di sicurezza; nel caso in cui non si disponga di uno smartphone, o dispositivo di ultima generazione IPT ready, sia Symantec che VASCO sono comunque in grado di offrire dispositivi hardware che generino password monouso. Entrambi forniscono le loro soluzioni, Validation & ID Protection (VIP) per Symantec,

e MYDIGIPASS.COM per Vasco,

come applicazioni gratuite, scaricabili sia dagli App Store che dai siti che hanno aderito al circuito IPT. L’idea è quella di consorziare il maggior numero di soggetti intorno al progetto IPT, che siano clienti utilizzatori finali, o fornitori di servizi, di modo da poter utilizzare, e fornire, un solo dispositivo per accedere a una moltitudine di servizi, che a tendere, e negli intenti, saranno tutti i servizi. Tutte e tre le aziende sono contemporaneamente impegnate nell’aumentare il numero di adesioni al circuito IPT, in quanto il successo della tecnologia/progetto è inevitabilmente legato alla diffusione dei servizi che richiedono l’autenticazione tramite quest’ultimo. Per quelle aziende che utilizzano l’autenticazione a due fattori, esiste già la consapevolezza dei problemi legati all’usabilità e alla logistica distributiva dei token. La sostituzione dei token smarriti, o non funzionanti, e la non corretta digitazione delle password monouso da parte degli utenti sono solo due dei problemi che gli help desk e i reparti IT devono affrontare. La tecnologia IPT sostituisce il token fisico dedicato, semplificando il processo di login a due fattori. La soluzione di autenticazione IPT è qualcosa di facile da usare, ed è disponibile tramite diversi OEM e ISV (Indipendent Software Vendor) di sicurezza.

Mentre Intel è indossolubilmente legata ai suoi processori di ultima generazione Core i3, i5, ed i7, ed è quindi disponibile ad alleanze di tipo hardware (il suo) – software (di qualsivoglia altro, nel caso di specie Symantec e Vasco), i security service provider IPT sono impegnati nel fidelizzare i vecchi e nuovi clienti (i fornitori di servizi di accesso) ai servizi/prodotti da loro forniti, rendendo al momento illusoria la prospettiva della interoperabilità che potrebbe scaturire dalla diffusione massiccia della tecnologia.

Ed è così che sia Symantec

che Vasco

diffondono si la tecnologia, ma lo fanno pro domo loro, cercando di raccogliere il maggior numero di adesioni, “piazzando” il più velocemente possible il loro servizio (e/o i loro prodotti) al maggior numero di fornitori di servizi di accesso.

A tendere ne potrebbe restare uno solo insieme ad Intel, e potrebbe anche essere colui che avrà raccolto il maggior numero di adesioni (che avrà venduto di più, ndr.), ma prima di quella data il sogno della interoperabilità e del singolo dispositivo di autenticazione sarà ancora di la da venire, e alla fine potrebbe configurarsi una situazione di pericoloso monopolio dell’accesso.

FantaITSecurity?