One nation, one authentication

    da | Gen 2, 2012 | Senza categoria | 0 commenti

    ... c’è anche il cellulare, che potrebbe utilmente diventare un fattore di autenticazione, evitando di trasformarci in portachiavi (o portatoken…).

    Ing. Andrea CACCIA su Firma Facile

    OneKey è stato lanciato lo scorso 12 dicembre 2011.

    OneKey è il primo dispositivo al mondo di autenticazione multifunzionale c.d. a due fattori a carattere nazionale utilizzabile (e richiedibile gratuitamente) da tutti gli utenti dei servizi online del settore pubblico e privato della repubblica di Singapore.

    ‘One’, come unico dispositivo comune a tutti gli utenti per effettuare transazioni con molti e differenti fornitori di servizi online.

    Key‘, come chiave che serve a sbloccare e aprire un mondo di transazioni elettroniche in modalità sicura e conveniente.

    Come nel caso delle firme digitali, dove l’identità del Pippo di turno viene garantita da una terza parte fidata, che risponde al nome di Certification Authority, anche nel caso della autenticazione OneKey esiste una terza parte, Assurity Trusted Solutions Pte Ltd, meglio nota come “Assurity“, società interamente controllata da IDA – Info-commmunication Development Authority di Singapore (“the Chief Information Officer for the Singapore Government“), che è stata istituita per gestire il NAF, sistema nazionale di autenticazione (National Authentication Framework) e servizi/sistemi nazionali 2FA (Second Factor Authentication).

    Il National Authentication Framework (NAF) ha come obiettivo quello di creare un’infrastruttura nazionale di autenticazione forte per la tutela contro l’accesso non autorizzato ad informazioni sensibili online, come ad esempio le coordinate bancarie, i dettagli dei conti di trading, o le cartelle cliniche elettroniche, e che sia in grado di offrire ai consumatori una maggiore sicurezza durante l’esecuzione di transazioni online.

    Vale la pena ricordare che l’autenticazione è il processo di convalida dell’identità di una persona per assicurare che “è colui che dice di essere”. Esistono tre elementi per autenticare un individuo:

  • “Qualcosa che conosci”, come ad esempio una password o un PIN;
  • “Qualcosa che hai”, come un token hardware di sicurezza (smart card, chiavetta USB, OTP, ecc.);
  • “Qualcosa che si è”, come impronte digitali, scansione della retina, ecc..

    • Il primo elemento, “Qualcosa che conosci”, è in genere fornito dal provider di servizi web quando un utente accede al suo sito. Il secondo elemento di autenticazione, o 2FA (Second Factor Authentication), nella pratica corrente del retail banking è la One-Time Password, o OTP, generata dinamicamente attraverso un dispositivo/token, o via SMS.

    Al giorno d’oggi pressoché tutti i service provider hanno, o stanno implementando, le proprie infrastrutture 2FA, con il risultato che i token, o dispositivi di autenticazione, sono di tipo proprietario, potendo essere utilizzati solo per accedere a specifici servizi online trasformando l’utilizzatore nel portachiavi (o portatoken…) menzionato in premessa.

    L’obiettivo del NAF è quello di consentire ai consumatori dotati di OneKey, distribuita gratuitamente a tutti i cittadini di Singapore che ne fanno richiesta, di accedere a numerosi e diversi servizi on-line (con i loro vari fornitori di servizi), attraverso l’uso di un unico dispositivo, potendo “fare tutte le transazioni online in tutta tranquillità”.

    Il successo di questo progetto “one nation, one authenticacion” non può prescindere dai numeri, che Chai Chin Loon, Chief Operating Officer di Assurity, ha indicato in “milioni di autenticazioni al mese”  fatte con il dispositivo OneKey; alla base della fiducia nel successo dell’iniziativa vi sono, tra gli altri:

    • la diffusione capillare, che a regime dovrebbe raggiungere oneKey;
    • la comodità di utilizzo e la sicurezza (se ne fa garante direttamente il governo di Singapore!) dello strumento di autenticazione unico, sia per consumatori/utilizzatori che per fornitori di servizi online;
    • la convenienza per i fornitori di servizi, che anzichè doversi dotare di strutture di autenticazione 2FA, possono ricorrere al NAF.

    Restando in attesa di verificarne o meno il successo, rendendomi conto delle difficoltà di replicare il modello “one nation, one authentication” in realtà più grandi della Repubblica di Singapore, continuo ad essere dell’idea che firma digitale e sitemi di autenticazione a secondo fattore dovrebbero avere sin dalla nascita (nostra, ndr.) un importante imprinting da parte dei governi di ogni paese, al pari di carta di identità, passaporto, codice fiscale/partita IVA.

    Parafrasando il jingle di Radio Deejay auguriamoci che il “test del National Authentication System” vada a buon fine affinchè …

    one nation one authentication!

    Invia commento