Bisogna costruire una sicurezza basata sugli standard condivisi dai vendor. Lo sostiene il Ceo di Rsa Security, Art Coviello, per il quale l’autenticazione “forte” resta una questione importante che va risolta anche eliminando il ricorso alle chiavi d’accesso. Cominciando da Windows.
L’annuale edizione della Rsa Conference (la tredicesima, tenutasi a San Francisco) cioè di quell’evento che molti ritengono essere l’appuntamento più importante dell’It security, ha fatto comprendere che qualcosa sta effettivamente cambiando. Per comprenderlo è bastato notare la presenza, accanto a Rsa Security, di una variegata gamma di sostenitori: Microsoft, Sun, Computer Associates, Hp, Symantec, Nokia. Ciò significa, da una parte, che la sicurezza ormai è un elemento trasversale a tutta l’industria It e, dall’altra, il riconoscimento del contributo che Rsa offre alla costruzione di soluzioni di sicurezza It. Art Coviello, presidente e Ceo di Rsa Security ha delineato, infatti, un approccio incentrato attorno al concetto di “confidence”, ovvero della fiducia che l’utente deve poter riporre nelle soluzioni It e che va costruita attorno ai tre pilastri delle applicazioni abilitate al Web, degli standard e della sicurezza. “Solo poco più di un utente di Internet su cinque utilizza il Web per effettuare transazioni finanziarie – ha detto Coviello, citando dati Forrester -. Il motivo non è legato a questioni di costo, di storage o di prestazioni, ma alla sfiducia”.
La ricetta per affrontare il problema, dunque, è continuare a educare e costruire “awareness” attorno alla sicurezza e prevedere una sorta di obbligo continuo a restare sicuri.
Per il futuro il Ceo di Rsa evidenzia l’evoluzione ulteriore dei processi one-to-many verso quelli di tipo many-to-many, con buone opportunità per le aziende che sapranno approfittarne in modo corretto. L’adozione di standard rappresenta un elemento fondamentale che Rsa affronta anche con il lavoro nella Liberty Alliance. “Le soluzioni di sicurezza oggi esistono – ha continuato Coviello -. Nello stesso tempo non si deve esagerare né sottostimare il rischio”.
Altro elemento sottolineato dal Ceo di Rsa è la necessità di innovare con un miglioramento della difesa e provvedendo a scrivere codice più sicuro. Inoltre tratta la crittografia come elemento basilare per garantire la privacy e la confidenzialità: “Si deve superare l’utilizzo delle password, troppo costose da gestire e insicure”. Già, le password, nate per aiutare, spesso hanno complicato la vita.
La parola, “nemica-amica”
La visione di Coviello è condivisa nientemeno che da Bill Gates che ha commentato che “non c’è dubbio che con il tempo la gente si affiderà sempre meno all’uso delle password”.
“È l’ora di risolvere questi dubbi riguardanti Internet – ha sostenuto il capo degli sviluppatori di Microsoft – e la sicurezza è la tecnologia che porta la confidence. Attualmente le principali modalità di attacco si inseriscono in quattro bacini e riguardano il network, la memoria, il Web download e le e-mail ma anche l’instant messaging. In queste aree stiamo intervenendo per rafforzare la sicurezza nel rilascio di Windows Xp Sp 2″.
Durante il discorso, Gates ha spiegato che le novità di sicurezza presenti in Windows Xp Service Pack 2 riguardano essenzialmente Windows Firewall, Internet Explorer e la Windows Security Center; ha definito anche alcuni dettagli della nuova tecnologia antispam “Caller Id for e-mail”.
La debolezza delle password è stata ulteriormente sottolineata da uno studio, realizzato da Rsa, che evidenzia il gap tra la consapevolezza del furto di identità da parte degli utenti consumer e la loro percezione della capacità di proteggersi da questo tipo di azioni, con un utilizzo di deboli pratiche per la gestione delle password.
In questa direzione si inserisce l’accordo fra Microsoft e Rsa per la realizzazione della soluzione di autenticazione SecurId for Microsoft Windows, indirizzata a portare la sicurezza direttamente a livello del client in ambiente Windows.
“Bisogna spostare il tema dall’autenticazione remota sul fronte del’enterprise wide authentication”, ha detto Coviello (sottolineato da un applauso, quando Gates ha estratto dalla tasca il proprio dispositivo di strong authentication).
La soluzione permette di rimpiazzare l’utilizzo di password statiche mediante un sistema di autenticazione a doppio fattore, indipendentemente dal fatto che l’utente lavori on-line o off-line, sia da remoto, sia all’interno dell’edificio aziendale. Combina l’utilizzo di un Pin personale e segreto con l’utilizzo di un piccolo dispositivo (token) che genera in modo casuale e unico un numero a sei cifre che continua a cambiare ogni 60 secondi. Per autenticarsi l’utente deve inserire il proprio Pin e questa password è valida una volta sola. L’informazione viene quindi trasmessa al software Rsa Ace Server che ne verfica l’autenticazione.
Grazie all’utilizzo di un Pin di identificazione personale e a questo codice, sarà quindi possibile autenticarsi direttamente presso il desktop senza dover introdurre password.
