Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Identity and Access Management (IdA)

Nuova alleanza strategica tra Microsoft e EMC RSA Security sulle tecnologie di Information Protection e Data Loss Prevention

Feliciano Intini — Thu, 04 Dec 2008 20:37:48 GMT

E' davvero notevole osservare come sia possibile che due aziende siano strenui concorrenti su alcuni ambiti (ad esempio sull'area della virtualizzazione, visto che VMWare è di EMC, o anche sulle stesse soluzioni di gestione dei certificati), e nonostante...(read more)

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

Feliciano Intini — Fri, 06 Jun 2008 21:20:54 GMT

Riesco a stento a trattenere il mio disappunto: questa notizia di cui sto per raccontarvi sembra l'epilogo perfetto della mia rubrica Anti-FUD , un vero e proprio capolavoro di dinformazione informatica sul tema sicurezza... e come tale non dovete perderla!...(read more)

Nuovi whitepaper su Windows Server 2008 Certificate Services

Feliciano Intini — Mon, 26 May 2008 18:43:41 GMT

Giorgio Malusardi riprende sul suo blog la notizia dei freschissimi whitepaper relativi ai Certificate Services di Windows Server 2008 annunciati sul Windows PKI blog:

A breve verranno aggiunti al mio Microsoft Security Portal (quasi pronta la versione 2.0!!).

Share this post :

CardSpace: il libro di Vittorio Bertocci e l'articolo su IlSole24Ore di Kim Cameron

Feliciano Intini — Wed, 23 Jan 2008 12:30:51 GMT

Big news for you about Windows CardSpace! Con imperdonabile ritardo (avrei voluto tanto sincronizzarmi in tempo reale con l'annuncio dato da Vittorio per celebrare questo evento: Vittorio scusami!) vi segnalo quello che credo sarà senza ombra di dubbio un punto di riferimento miliare, un classico per l'approfondimento di CardSpace, il nuovo libro di Vittorio Bertocci dal titolo "Understanding Windows CardSpace", sottotitolo "An Introduction to the Concepts and Challenges of Digital Identities", di cui potete leggere nel post di giustificato orgoglio (che sogno poter scrivere un libro!) per la pubblicazione su Amazon e nel post corredato con foto alla ricezione delle prime copie cartacee.

Per chi ancora non conoscesse Vittorio, Senior Technical Evangelist di Microsoft Corporation (...un altro caso di grande cervello italiano prestato agli Stati Uniti dopo una significativa esperienza di consulente nella divisione Services di Microsoft Italia...) vi rimando alla lettura dei miei post precedenti della categoria Identity Metasystem & Windows CardSpace.

Sempre Vittorio mi ha battuto sul tempo (approfittando del fuso orario a lui favorevole e della vicinanza fisica al mitico Kim ;-) nel segnalare un articolo su CardSpace uscito ieri su IlSole24Ore a cura di Luca Tremolada, basato sugli spunti di una intervista a Kim Cameron quando è venuto in Italia lo scorso ottobre per partecipare alla conferenza Porvoo 12 (di cui vi ho detto in questo post).

Proprio dal post di Vittorio scopro che sono l'onorato destinatario di una imminente copia autografa del suo libro... e io che pensavo di passare da Redmond apposta per estorcergli la stessa cosa! Looking forward to see you in March, dear Vittorio!

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

Feliciano Intini — Tue, 18 Dec 2007 14:44:18 GMT

Un paio di articoli recenti ha riproposto la validità ed attualità della domanda nel titolo: la fine delle password è vicina? Il primo segnalava l'annuncio stampa della società russa Elcomsoft che dichiarava di essere riuscita a moltiplicare per circa 25 volte la potenza di brute force cracking delle password (ricordo per i non addetti ai lavori che si tratta dell'attacco diretto a scoprire una password provando tutte le possibili combinazioni) grazie all'uso combinato della CPU del PC e del microprocessore presente sulle comuni schede grafiche, con il risultato di poter scoprire una password di 8 caratteri generati a caso in circa 3-5 giorni di calcolo. Il secondo riportava l'annuncio di un ricercatore che dichiarava di aver utilizzato una PS3 per scalare tale potenza di calcolo fino al punto di poter scoprire una password di 8 caratteri in sole poche ore.

Di fronte a questi dati tecnici, la risposta al quesito iniziale è scontata: è tempo (in realtà è già molto tardi...) di abbandonare l'uso delle password laddove possibile! Non che le password siano un male di per sé, ma utilizzate male (leggi: crearle in modo che non siano adeguatamente lunghe e complesse) e nelle situazioni che le espongono al possibile furto da parte di malintenzionati è ormai un rischio troppo elevato (come le numerose segnalazioni che giungono costantemente a questo mio post sul furto di credenziali Windows Live).

Avendo letto il secondo articolo sul blog di Kim Cameron, ho fatto 2+2 e ho pensato utile segnalarvi un primo modo per intraprendere questo cammino virtuoso lontano dall'uso delle password: l'utilizzo delle Information Card per il logon ai servizi Windows Live.

Chi ha Windows Vista ha già tutto l'occorrente necessario e in un minuto (seguento le indicazioni del link precendente) si ha la possibilità di associare alla propria utenza Windows Live ID una delle Information Card presenti in Windows CardSpace (o se ne crea una al volo, anche vuota) sul vostro PC, per poi operare l'accesso ai servizi Windows Live semplicemente selezionando "Information Card" (dal menù a tendina come vi mostro nella figura) e cliccando il tasto "Sign in" senza digitare nessuna password!!!

Incominciate a gustare la semplicità d'uso e l'immediatezza di questo nuovo meccanismo di autenticazione (anche coloro che non avessero Windows Vista possono utilizzarlo: nello stesso post ci sono indicazioni in merito).

Identity Metasystem per l'interoperabilità delle soluzioni eID nazionali

Feliciano Intini — Mon, 22 Oct 2007 18:07:00 GMT

(Ancora un altro post per darvi prova della mia esistenza in vita... anche se latitante sul blog: ho una lista di cose da dirvi che non fa che allungarsi ...:-((.. ma abbiate fede!) Giovedì e venerdì ho partecipato alla 12a conferenza del Porvoo Group, gruppo di lavoro internazionale sui temi dell'interoperabilità delle carte di identità elettroniche (eID) in Europa. Questa edizione è stata ospitata in Italia a Grosseto e per l'occasione siamo riusciti a coinvolgere nientedimeno che Mr. Identity, lui, Kim Cameron. Kim ha esposto le linee principali dell' Identity Metasystem (IDMS) come proposta utile per risolvere proprio i problemi di interoperabilità delle diverse soluzioni eID presenti nei vari stati europei. Giusto per darvi visibilità di questi aspetti che toccheranno presto la nostra esperienza di online citizens vi dico che la situazione attuale è la seguente: ogni nazione europea ha avviato (o conta di avviare) programmi per la realizzazione di carte di identità elettroniche, ognuna lo sta perseguendo usando la propria tecnologia preferita per l'autenticazione (è preponderante l'uso delle smart card e certificati X.509, ma esistono anche soluzioni che usano username/password ...), gli aspetti di estrema tutela della privacy del cittadino non sono ben recepiti da tutte le soluzioni, e per finire vi sono solo pochi esempi di servizi di e-government già fruibili online. In questo scenario abbastanza vicino ad una babele, vi è una direttiva dell'unione europea che auspica il raggiungimento dell'interoperabilità tra questi diverse soluzioni entro il 2010: fantascienza! In realtà la proposizione dell'IDMS presentata da Kim e di cui ho già avuto modo di raccontarvi in questi post (1a puntata, 2a, 3a e 4a) sembra sortire la magia di risolvere questo apparente rompicapo, proprio in virtù del livello superiore di astrazione in cui si opera: l'IDMS non tocca le singole soluzioni nazionali, che rimangono validissime, ma fa da collante creando un meccanismo per farle interoperare. Se ogni nazione realizzasse un Identity Provider nazionale (uno o più, come nel caso dell'Italia che potrebbe avere più realtà regionali in grado di essere autoritative per le informazioni sui cittadini del proprio territorio), e se la Carta di Identità Elettronica (CIE) o la Carta Nazionale dei Servizi (CNS) fosse usata per autenticare (in modo forte) l'utente verso questo/i Identity Provider, si riuscirebbe ad ottenere l'agognata interoperabilità sia a livello nazionale che europeo, senza perdere l'intuitiva e consistente esperienza del cittadino (che avrebbe solo bisogno di imparare a gestire la banale interfaccia del selettore di identità - leggi CardSpace su Windows), senza ledere gli aspetti di privacy e con una soluzione sensibilmente più robusta rispetto agli attacchi di phishing e furto di identità. Vi assicuro che la presentazione di Kim, seppur breve, e la disponibilità di Microsoft ad avere una parte attiva in questo tavolo di lavoro sull'interoperabilità ha riscosso un incredibile interesse da parte di tutti i rappresentanti di enti governativi presenti alla conferenza e ha generato la mozione a includere in modo stabile nelle prossime conferenze i rappresentanti dei fornitori di computing assieme a quelli storici di dispositivi di autenticazione. Ho pensato che fosse simpatico documentare con una foto questo incontro mio e di Francesca Di Massimo (Security Lead di Microsoft Italia) con un "big" dei temi di Identity, giusto per dimostrarvi che non sono solo io che sono piccolino ma è lui che è un gigante !

Identity Metasystem & Windows CardSpace: 4a puntata

Feliciano Intini — Fri, 05 Oct 2007 17:24:39 GMT

... continua dalla 3a puntata:

L’utente al centro: l’Identity Selector

E’ proprio l’ultimo aspetto funzionale dell’IDMS che differenzia in modo univoco questa architettura dalle altre che già provano a risolvere il problema della federazione di identità. Diversamente da tali modelli (ad esempio quello proposto da Liberty Alliance), l’IDMS è un modello che pone l’utente al centro della dinamica di scambio delle informazioni pertinenti alle proprie identità digitali, lasciando a lui la piena autonomia di valutare le informazioni che gli vengono richieste dal sito che chiede di identificarlo, autenticarlo e autorizzarlo, e di consentire il relativo rilascio delle stesse informazioni.

L’esperienza tipica dell’utente in uno scenario basato su parti in grado di comunicare tramite l’IDMS è fatta dai seguenti passi:

1. L’utente naviga sul sito (Relying Party) che gli chiede di autenticarsi. Il sito propone, accanto alla tradizionale richiesta di credenziali deboli (username & password), anche un bottone di “Logon tramite Information Cards”.

2. La selezione di questo bottone scatena l’apertura, sul computer dell’utente, di una finestra (“Identity Selector”) che propone un set di immagini, del tutto simili a carte di credito (le “information cards”) che di fatto rappresentano le identità digitali memorizzate presso gli Identity Provider.

3. Mettendo in relazione i claims richiesti dal Relying Party con quelle in grado di essere fornite dalle Information Cards, il selettore di identità è in grado di proporre solo quelle che sono in grado di soddisfare questa transazione.

4. L’utente sceglie l’Information Card che desidera usare

5. Dietro le quinte questa scelta dell’utente produce una richiesta (autenticata) di un Security Token che contenga i claims richiesti dal Relaying Party verso l’identity Provider selezionato.

6. L’Identity Provider provvede a comporre un Security Token con i claims richiesti e a restituirlo al computer dell’utente che ora è in grado, su richiesta, di mostrare in dettaglio le diverse informazioni che si stanno per fornire al Relying Party.

7. Se l’utente acconsente, tali informazioni sono fornite al Relying Party che provvede a identificare, autenticare e autorizzare sulla base dei claims ricevuti.

Il futuro già realizzato: Windows CardSpace

La piattaforma Microsoft ha già inserito nativamente l’Identity Selector nel suo più recente sistema operativo: il .NET Framework 3.0 già incluso in Windows Vista infatti aggiunge il componente Windows CardSpace che realizza l’interfaccia utente per interagire con l’IDMS. Le piattaforme diverse da quella Microsoft possono liberamente realizzare il proprio Identity Selector, e vi sono esempi pratici già realizzati in tal senso (il blog di Kim Cameron rappresenta una fonte indispensabile per aggiornamenti su questo tema). Identity Provider e Relying Party sono realizzabili su qualsiasi piattaforma. Anche l’interoperabilità con Liberty Alliance e altri modelli è parte di un processo di convergenza definito sotto il nome di “Progetto Concordia”. Quindi emerge che la tecnologia e le condizioni necessarie per la realizzazione dell’IDMS ci sono già tutti e non resta altro che raggiungere il più ampio consenso possibile per incentivare una estesa adozione di questo modello di interoperabilità delle identità digitali, per dare finalmente ad Internet quel livello di identità di cui finora era sprovvista.

Ulteriori informazioni sono disponibili al sito Microsoft http://msdn2.microsoft.com/en-us/netframework/aa663320.aspx , a cui va doverosamente aggiunto l'indispensabile blog Vibro. NET del mio amico Vittorio Bertocci, Senior Technical Evangelist di Microsoft Corporation.

Super news: Interoperabilità nei fatti per Identity Metasystem

Feliciano Intini — Mon, 28 May 2007 14:45:00 GMT

E' proprio vero l'adagio che dice: "fa più rumore un albero che cade, piuttosto che una foresta che cresce". La blogosfera fa tanto clamore su informazioni di finte "nuove" vulnerabilità Microsoft (come spiegato nel mio post precedente) e invece ignora notizie, a mio parere, di enorme importanza per l'evoluzione dell'interoperabilità nella gestione delle identità digitali online, a tutto vantaggio del miglioramento della sicurezza su Internet. Mi riferisco all'annuncio dato da Microsoft allo scorso Interop, in cui sono state condivise tre iniziative direttamente connesse all'Identity Metasystem, il framework aperto proposto al mercato che ho iniziato a raccontarvi nel post che illustra la vision e nel post che ne descrive i requisiti di partenza...(read more)

Uno sguardo al futuro già attuale nella gestione delle identità digitali: come nasce l'Identity Metasystem

Feliciano Intini — Thu, 22 Mar 2007 17:02:00 GMT

... spero che il racconto del sogno reale che ho fatto nel mio post precedente sia stato efficace nel stimolare la vostra curiosità sul tema. Ora è giusto dimostrarvi come gli ossimori che sto usando (sogno reale e futuro già attuale) non siano davvero una esagerazione: da un lato questa tecnologia è proiettata nel futuro con obiettivi ambiziosi (dare un livello di identità e di reputazione a Internet vi sembra da poco ?), dall'altro è già live, funzionante e implementabile!...(read more)

I have a dream: le mie identità digitali gestite in sicurezza su Internet

Feliciano Intini — Thu, 22 Mar 2007 12:28:00 GMT

Sarà per la giornata da incubo trascorsa avantieri in un paio di importanti attività che mi hanno portato a Roma (voli rinviati e cancellati, traffico, vento forte a Fiumicino, pioggia e grandine... ), mi è successo di fare un sogno incredibile all'alba di ieri. Sentite un pò. Mi ritrovavo tutto intento a navigare in Internet...(read more)

Succosa novità sul tema IdM all'RSA2007: esce Microsoft Identity Lifecycle Manager 2007

Feliciano Intini — Fri, 09 Feb 2007 20:21:00 GMT

Come mi ripromettevo, eccomi a parlarvi delle novità di strategia annunciate all'RSA 2007: in realtà le news sono tante [N1] e le trovate sintetizzate in questo comunicato stampa. Oggi mi soffermo su quello che ritengo l'annuncio più strategico: Identity Lifecycle Manager 2007, per gli amici... ILM 2007...(read more)