hit counter
Uno sguardo al futuro già attuale nella gestione delle identità digitali: come nasce l'Identity Metasystem - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Uno sguardo al futuro già attuale nella gestione delle identità digitali: come nasce l'Identity Metasystem

Uno sguardo al futuro già attuale nella gestione delle identità digitali: come nasce l'Identity Metasystem

  • Comments 3
  • Likes
 

... spero che il racconto del sogno reale che ho fatto nel mio post precedente sia stato efficace nel stimolare la vostra curiosità sul tema. Ora è giusto dimostrarvi come gli ossimori che sto usando (sogno reale e futuro già attuale) non siano  davvero una esagerazione: da un lato questa tecnologia è proiettata nel futuro con obiettivi ambiziosi (dare un livello di identità e di reputazione a Internet vi sembra da poco ?), dall'altro è già live, funzionante e implementabile!

Partiamo dai problemi di base: Internet è nata senza avere nativa la funzionalità della gestione d'identità, e lo sviluppo delle varie soluzioni di Identity Management ha creato una naturale molteplicità di piattaforme e protocolli, che spesso non sono in grado di interagire tra di loro. Risultato: l'utente ne ha pagato le spese, con il rifiorire di attacchi di social engineering diretti al furto delle sue identità digitali. L'utente oggi è sprovvisto di strumenti per difendersi da questi attacchi: la sua esperienza di accesso e logon ai siti è inconsistente, le informazioni non sono chiare e i requisiti di sicurezza non sono verificabili. Una prova tangibile ? Vi sono alcuni siti web che non utilizzano la connessione SSL sulla home page, ma solo nella connessione dei dati che utilizzano successivamente al tuo inserimento delle credenziali. Tutte le linee guida che si forniscono agli utenti per educarli a difendersi dai siti truffa dicono: accertatevi che sul sito ci siano gli indicatori di sicurezza (il lucchetto per IE e l'url che inizia per https) che segnalano la connessione sicura SSL prima di inserire informazioni sensibili nei moduli online. Ecco, non so voi, ma io di fronte ad un sito la cui home page mi chieda di inserire le credenziali ma sia sprovvista di connessione SSL  mi sento un pò titubante ... a dire il vero non proprio un pelino! Capite che dover guardare con ansia la barra di stato in basso a sinistra per essere sicuro che poi le tue credenziali stiano partendo via su una connessione SSL successiva, non è proprio rassicurante: e se poi l'SSL non ci fosse? E se il sito stesse subendo un attacco di DNS poisoning e quello fosse un sito truffa? Voilà: credenziali rubate! Purtroppo questa "bad practice" non è isolata. Quindi mi domando: se io, che dovrei (...) essere un esperto di sicurezza, non riesco a ricevere sufficienti informazioni per capire se il sito che ho di fronte sia legittimo o no, cosa potranno fare gli utenti con il livello di cultura informatica di base? No way, se rimane tale l'esperienza di navigazione e di accesso la situazione non può migliorare, anzi è destinata a peggiorare. Come risolviamo il problema? E' necessario creare un sistema di gestione delle identità per Internet con questi requisiti: che sia semplice, consistente e ovviamente sicuro.

Semplice: per permettere il suo utilizzo anche a chi abbia la cultura informatica di base.

Consistente: valido in tutte le esperienze di navigazione online, su tutte le piattaforme, ora e per il futuro.

Sicuro: in grado di dare all'utente il controllo dei propri dati e di proteggere le sue informazioni (quindi di tutelare la sua privacy).

Sembra facile... Come realizzare una tale meraviglia della scienza e della tecnica ? Inventare una soluzione del tutto nuova ? Questa scelta sarebbe una perdita di tempo: sarebbe sempre una soluzione di parte, realizzata da un solo fornitore, una delle tante già esistenti, magari costretta a cercare di diventare uno standard de-facto per imporsi sulle altre, ma non riuscirebbe a diventare globale e omnicomprensiva. Qual'è l'idea, a mio parere lungimirante, che propone Microsoft ?

Creiamo un sistema di identità ad un livello di astrazione logica superiore rispetto a quelli attuali, che sia in grado di far connettere e interagire tra loro i sistemi di identità già oggi esistenti (e realizzati con tecnologie e piattaforme eterogenee) e quelli futuri, quindi un sistema di sistemi di identità, un Identity Metasystem appunto ! Lo so, è un concetto che sembra astruso, spero di chiarirvelo con questo esempio: nell'ambito dei protocolli di rete, il TCP/IP ha avuto per Internet lo stesso ruolo di "collante" per far parlare tra di loro le reti locali (LAN) tutte isolate tra loro e basate su protocolli diversi (di livello 2 nella famigerata pila ISO/OSI: Ethernet, Token Ring ...). Il TCP/IP è appunto ad un livello di astrazione superiore (livello 3 e 4) rispetto ai protocolli delle reti locali e questo gli permette di essere un ponte di comunicazione tra esse; inoltre è stato inventato prima che si inventassero i protocolli della comunicazione wireless, continuando a fare il suo lavoro egregio (a parte qualche difetto di scala, che si sta cercando di indirizzare con l'IPv6...) di protocollo end-to-end. Ecco, l'Identity Metasystem ambisce ad avere per Internet lo stesso ruolo per le identità che ha avuto il TCP/IP per i protocolli di rete.

Ora che l'idea di fondo è chiara (spero...) possiamo passare a vedere come lo costruiamo questo metasistema... ma penso di avervi confuso abbastanza per oggi...alla prossima!

Comments
  • E' proprio vero l'adagio che dice: "fa più rumore un albero che cade, piuttosto che una foresta che cresce". La blogosfera fa tanto clamore su informazioni di finte "nuove" vulnerabilità Microsoft (come spiegato nel mio post precedente) e invece ignora

  • Breve nota di servizio: sono sommerso dalle attività, aiutooo! Tornato sabato dalla settimana a Redmond

  • (Ancora un altro post per darvi prova della mia esistenza in vita... anche se latitante sul blog: ho

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment