Concetti Fondamentali

• User Authentication: l'identità degli utenti/nodi deve essere validata, in modo tale che solo alcune identità conosciute possano accedere alle risorse e alle funzioni.
• Autorizzazione: I diritti di accesso a determinate notifiche o persino l'utilizzo di alcune funzionalità del servizio sono concessi a utenti autenticati in base a diversi fattori, come il loro ruolo all'interno di una determinata organizzazione o politiche di sicurezza formalizzate correttamente.
• Responsabilità: Ogni attività avviata dagli utenti deve essere tracciata in modo persistente per consentire un'analisi forense successiva e per associare una minaccia alla sicurezza a una parte responsabile.

Identity Management (IdM)

Un'identità è la rappresentazione di un'entità in un determinato contesto, composta da un identificatore univoco e da un insieme di attributi relativi all'utente.

Per gestirla correttamente, sono necessari sistemi specifici noti come Identity Manager (IdM), responsabili del controllo del ciclo di vita delle identità, della verifica della veridicità delle identità dichiarate e dello scambio di attributi di identità con sistemi equivalenti.

Modelli di Identità

Modelli Basati su Password

I modelli di identità basati su password sono i più semplici e i più comunemente utilizzati: ogni utente ha un identificatore univoco nel sistema e una password specifica, che utilizza per effettuare l'autenticazione.

Processo:

1. L'utente fornisce in modo sicuro il proprio identificatore e la propria password all'IdM.
2. Se l'IdM trova una corrispondenza tra le informazioni ricevute e quelle memorizzate, l'autenticazione ha successo e l'utente riceve in cambio un token di accesso.
3. Tale token è una stringa opaca che identifica temporaneamente un utente e può essere utilizzata per accedere ai servizi che si fidano dell'IdM che lo ha rilasciato.

Esempio: Kerberos Protocollo di autenticazione di rete. Attualmente è la tecnologia di autenticazione predefinita utilizzata da Microsoft per autenticare gli utenti ai servizi all'interno di una rete locale.

Il servizio di autenticazione di terze parti fidato include:

• Authentication Server (AS): esegue l'autenticazione iniziale e rilascia i Ticket Granting Tickets (TGT) agli utenti.
• Ticket Granting Server (TGS): rilascia i ticket basati sui Ticket Granting Tickets iniziali.

I metodi di autenticazione basati su password sono noti per essere vulnerabili, a seconda della "qualità" della password utilizzata, ad esempio quanto facilmente può essere indovinata.

Sistemi Basati su Certificati