Upload
francesco-ciclosi
View
282
Download
0
Embed Size (px)
Citation preview
Insegnamento di Informatica – a.a. 2015-16
Il controllo degli accessi
INSEGNAMENTO DI INFORMATICA – A.A. 2015-16
Francesco Ciclosi
Macerata, 18 dicembre 2015
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Gli obiettivi fondamentali
Attraverso il controllo degli accesso si
vogliono raggiungere i seguenti obiettivi:
• Controllare l’accesso alle risorse
• Identificare chi accede alle risorse
• Autorizzare le operazioni che possono essere
effettuate in base a chi ha effettuato l’accesso
• Monitorare le modalità di accesso e le attività
svolte
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Resistenze sociali e culturali
I sistemi protetti sono più costosi da realizzare e
complessi da utilizzare
Gli utenti devono essere introdotti alla «cultura»
di protezione del sistema e delle proprie
responsabilità
Le credenziali di accesso per essere affidabili
richiedono procedure non banali e/o
informazioni complesse
«Ma tanto non è mai successo niente …»
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Autenticazione (1/2)
Consente la regolamentazione dell’accesso a una
determinata risorsa
È solitamente articolata in maniera da individuare
chi cerca di accedere a tale risorsa
Da un punto di vista tecnologico le forme scelte
non dovrebbero permettere di risalire
• alle modalità con cui viene negoziata l’autenticazione
• alle informazioni che vengono trattate
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Autenticazione (2/2)
È propedeutica per stabilire la tipologia di
operazioni che possono essere effettuate sulla
risorsa (autorizzazione)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Tecniche di autenticazione (1/2)
Le tecniche utilizzate per l’autenticazione si
dividono in tre categorie:
• Dimostrazione di conoscenza (qualcosa che si sa)
o Personal Identification Numbers (PIN), password
• Dimostrazione di possesso (qualcosa che si ha)
o chiavi fisiche, tessere di identificazione, dispositivi ottici,
smart-card
• Dimostrazione di avere determinate
caratteristiche fisiche (qualcosa che si è)
o autenticazione biometrica
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Tecniche di autenticazione (2/2) Sempre più spesso anche nelle reti e nei sistemi
distribuiti si adottano tecnologie di autenticazione a
più fattori
Nei sistemi di pagamento l’autenticazione a più
fattori è diffusa da tempo
L’adozione di forme di autenticazione biometrica
non può prescindere dal rispetto della normativa
vigente e dal parere preventivo dell’Autorità
Garante per la protezione dei dati personali
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
I meccanismi di sicurezza (1/2)
Ci sono diversi meccanismi di sicurezza specifici
applicabili ai sistemi di autenticazione:
• La crittografia (per la confidenzialità dei dati)
• La firma digitale (per il non ripudio dei messaggi)
• Il controllo dell’accesso
• L’integrità dei dati
• Lo scambio dei dati di autenticazione
• Il controllo dell’ instradamento dei dati (routing)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
I meccanismi di sicurezza (2/2)
• La generazione di traffico spurio per impedire
attacchi di replica basati sull’analisi dello stesso
(traffic padding)
• La notifica della ricezione dei dati da parte del
destinatario
Ai tali meccanismi di sicurezza si affiancano
comunque i meccanismi legati agli aspetti
globali della gestione della sicurezza del sistema
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Robustezza di una password
Consideriamo i seguenti elementi:
• P = probabilità di riuscire a scoprire una password
• L = tempo di vita della password
• R = frequenza dei tentativi
• S = dimensione della chiave
P = 𝑳×𝑹
𝑺
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Alcuni requisiti di legge
Il «Codice in materia di protezione dei dati
personali» (D.lgs. 30 giugno 2003, n. 196 e s.m.i.)
Allegato B al D.lgs. 196/2003 «Disciplinare tecnico
in materia di misure minime di sicurezza»
Determinano i requisiti da rispettare in materia di
complessità della password:
• Lunghezza di almeno 8 caratteri (o il limite massimo
consentito dal sistema qualora inferiore a 8 caratteri)
• Modifica obbligatoria almeno ogni 6 mesi
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Password «deboli» e password «complesse»
È quasi impossibile stabilire se una password è
sufficientemente complessa
Molto più semplice è rendersi conto della
debolezza di una password
Alcuni esempi di password deboli:
• Corrispondenti a dati direttamente o indirettamente
riconducibili al titolare: nome, cognome, nomi dei figli,
data di nascita, ecc…
• Corrispondenti a parole di uso comune nel dizionario
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Password «deboli»
Secondo criteri abbastanza condivisi una password è
sicuramente debole se:
• È usata per ogni tipo di accesso
• È lunga meno di 8 caratteri
• Contiene informazioni direttamente o indirettamente
riconducibili al titolare delle credenziali
oEs.: il nome utente, il proprio nome, il nome dell’azienda, il
nome del partner, la propria data di nascita
• Contiene una parola completa (o sue varianti)
oEs.: cane, catto, casa, zuzzerellone, zuzzerellone23
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Password «complesse» (1/2) Secondo i medesimi criteri una password è
complessa se:
• È lunga almeno 8 caratteri
• Non contiene informazioni direttamente o
indirettamente riconducibili al titolare delle credenziali
• Non contiene una parola completa (o sue varianti)
• È significativamente differente dalle precedenti
password
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Password «complesse» (2/2)
• Contiene caratteri che appartengano ai seguenti 4
gruppi:
o Lettere maiuscole
o Lettere minuscole
o Numeri
o Caratteri speciali (~ ! @ # $ % ^ …)
Esempio di password complessa: J*p2leO4>F
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Password apparentemente complesse
Anche la password costruita con i criteri più complessi perde la
sua efficacia se non custodita con la dovuta riservatezza
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Un punto di attenzione
La sottrazione di una password assume un grado di pericolosità proporzionale
• Al ruolo svolto dal soggetto titolare
• Ai privilegi attribuito al soggetto titolare
Il furto delle credenziali può prescindere l’aspetto tecnologico ed essere realizzata già con espedienti di Social Engineering
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Autorizzazione
L’identità individuata in fase di autenticazione determina
• quali operazioni possono essere eseguite su una risorsa
• se l’utilizzo di una risorsa debba essere inibito
Questo controllo viene eseguito attraverso le Access Control List (ACL)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
Assegnazione per gruppi omogenei
Per organizzare in maniera razionale l’assegnazione
delle operazioni consentite sulle risorse mediante le
ACL, i vari utenti possono essere collocati in
raggruppamenti omogenei, la cui afferenza può
essere determinata da diversi fattori (organizzativi,
funzionali, geografici)
Le informazioni utilizzate nelle fasi di
autenticazione/autorizzazione e relative agli utenti
e ai gruppi sono memorizzate in appositi repository
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2015-16
I miei contatti linkedin
http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/
https://www.facebook.com/francesco.ciclosi
@francyciclosi
www
http://www.francescociclosi.it