Il sistema User Id e password è il metodo di autenticazione più utilizzato al mondo, ma considerato altamente insicuro, specialmente in ambiti finanziari e governativi. I motivi principali di questa mancanza di sicurezza derivano essenzialmente da un utilizzo di password facili da ricordare, insicure e facilmente rintracciabili, dalla negligenza nella conservazione (spesso lasciate in vista su Post-it), e dall’uso, e riuso, pressochè infinito della stessa password per diversi account e per lungo tempo.

    La sicurezza informatica non è più solo, come era in passato, virus ed hacker! In questi anni abbiamo, nostro malgrado, familiarizzato con trojan, spyware, social, pharming, phishing, ecc. ecc..

    Il phishing significa letteralmente “spillaggio” di dati sensibili. E’ una attività illegale utilizzata per ottenere l’accesso a informazioni personali riservate con la finalità del furto di identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafica e loghi dei siti istituzionali (pharming), l’utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..

    Un’identificazione digitale è un processo basato su uno, o più, dei seguenti fattori:

    1) qualcosa che si conosce (PIN o Password);

    2) qualcosa che si possiede (Token OTP, crittografico, smart card, ecc.);

    3) ciò che si è (impronte digitali, impronta retina, ecc.).

    La strong authentication è un procedimento di identificazione sicuro, che utilizza due, o più, fattori di identificazione. Un esempio tipico di strong authentication si ha quando usiamo il Bancomat ad una cassa automatica, ovverosia utilizziamo qualcosa che abbiamo (la c.d. carta Bancomat) e qualcosa che conosciamo (il nostro PIN di autenticazione).

    Con le modifiche apportate con le nuove regole tecniche, sulla firma digitale (DPCM 30 marzo 2009) si è voluto rendere possibile alle CA di conservare le chiavi private dei titolari (quelle usate per l’operazione di generazione della firma digitale) su dispositivi sicuri per la generazione della firma (HSM) situati presso di loro, all’interno di locali adeguatamente protetti. In funzione delle caratteristiche del certificato è possibile modulare i requisiti di sicurezza facenti capo ad esso: se usiamo un certificato con forti limiti d’uso, può essere sufficiente una connessione protetta con autenticazione con userid e password, mentre, in assenza di limitazioni, è necessario mantenere inalterato il concetto di possesso e conoscenza, prevedendo oltre a userid e password, l’utilizzo di un sistema OTP (possesso) protetto da PIN (conoscenza).

    L’acronimo OTP sta  per One-Time-Password e indica un sistema che crea parole chiave usa e getta che durano pochi secondi. Sono generate da un piccolo apparecchio tascabile chiamato “token”. 

    Tutte le identificazioni digitali basate su richieste di username+password possono essere rese sicure con sistemi di autenticazione forte! Il sistema, in pratica, funziona con una doppia identificazione, la prima con identificativo e password e la seconda con la password “a perdere” (One Time, appunto) generata dal token, con cui abbiamo familiarizzato soprattuto grazie ai conti in banca, che ormai, nella gran parte dei casi, prevedono il processo di strong authentication basato sul possesso di OTP generator di varie fogge e colori.

    La definitiva eliminazione dei problemi di gestione delle smart card e delle business key di firma digitale, attraverso l’adozione della firma remota e centralizzata (la firma facile ndr.), si accoppia a garanzie di sicurezza molto elevate per l’autenticazione dei “firmatari digitali”.