Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Impresa
  2. Economia
  3. Macroeconomia

Il controllo degli accessi

Insegnamento di Informatica – a.a. 2016-17
Macerata, A.A. 2016-2017
Il controllo degli accessi
INSEGNAMENTO DI INFORMATICA – A.A. 2016-17
Francesco Ciclosi
Insegnamento di Informatica – a.a. 2016-17
Gli obiettivi fondamentali
 Attraverso il controllo degli accessi si vogliono
raggiungere i seguenti obiettivi:
• Controllare l’accesso alle risorse
• Identificare chi accede alle risorse
• Autorizzare le operazioni che possono essere
effettuate in base a chi ha effettuato l’accesso
• Monitorare le modalità di accesso e le attività
svolte
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Resistenze sociali e culturali
 I sistemi protetti sono più costosi da realizzare e
complessi da utilizzare
 Gli utenti devono essere introdotti alla «cultura»
di protezione del sistema e delle proprie
responsabilità
 Le credenziali di accesso per essere affidabili
richiedono procedure non banali e/o
informazioni complesse
 «Ma tanto non è mai successo niente …»
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Autenticazione (1/2)
 Consente la regolamentazione dell’accesso a una
determinata risorsa
 È solitamente articolata in maniera da verificare chi
cerca di accedere a tale risorsa
 Da un punto di vista tecnologico le forme scelte
non dovrebbero permettere di risalire
• alle modalità con cui viene negoziata l’autenticazione
• alle informazioni che vengono trattate
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Autenticazione (2/2)
 È propedeutica per stabilire la tipologia di
operazioni che possono essere effettuate sulla
risorsa (autorizzazione)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Tecniche di autenticazione (1/2)
 Le tecniche utilizzate per l’autenticazione si
dividono in tre categorie:
• Dimostrazione di conoscenza (qualcosa che si sa)
o Personal Identification Numbers (PIN), password
• Dimostrazione di possesso (qualcosa che si ha)
o chiavi fisiche, tessere di identificazione, dispositivi ottici,
smart-card
• Dimostrazione di avere determinate
caratteristiche fisiche (qualcosa che si è)
o autenticazione biometrica
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Tecniche di autenticazione (2/2)
 Sempre più spesso anche nelle reti e nei sistemi
distribuiti si adottano tecnologie di autenticazione a
più fattori
 Nei sistemi di pagamento l’autenticazione a più
fattori è diffusa da tempo
 L’adozione di forme di autenticazione biometrica
non può prescindere dal rispetto della normativa
vigente e dal parere preventivo dell’Autorità
Garante per la protezione dei dati personali
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
I meccanismi di sicurezza (1/2)
 Ci sono diversi meccanismi di sicurezza specifici
applicabili ai sistemi di autenticazione:
•
•
•
•
•
•
La crittografia (per la confidenzialità dei dati)
La firma digitale (per il non ripudio dei messaggi)
Il controllo dell’accesso
L’integrità dei dati
Lo scambio dei dati di autenticazione
Il controllo dell’ instradamento dei dati (routing)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
I meccanismi di sicurezza (2/2)
• La generazione di traffico spurio per impedire
attacchi di replica basati sull’analisi dello stesso
(traffic padding)
• La notifica della ricezione dei dati da parte del
destinatario
 Ai tali meccanismi di sicurezza si affiancano
comunque i meccanismi legati agli aspetti
globali della gestione della sicurezza del sistema
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Robustezza di una password
 Consideriamo i seguenti elementi:
•
•
•
•
P = probabilità di riuscire a scoprire una password
L = tempo di vita della password
R = frequenza dei tentativi
S = dimensione della chiave
P=
𝑳×𝑹
𝑺
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Alcuni requisiti di legge
 Il «Codice in materia di protezione dei dati
personali» (D.lgs. 30 giugno 2003, n. 196 e s.m.i.)
 Allegato B al D.lgs. 196/2003 «Disciplinare tecnico
in materia di misure minime di sicurezza»
 Determinano i requisiti da rispettare in materia di
complessità della password:
• Lunghezza di almeno 8 caratteri (o il limite massimo
consentito dal sistema qualora inferiore a 8 caratteri)
• Modifica obbligatoria almeno ogni 6 mesi
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Password «deboli» e password «complesse»
 È quasi impossibile stabilire se una password è
sufficientemente complessa
 Molto più semplice è rendersi conto della
debolezza di una password
 Alcuni esempi di password deboli:
• Corrispondenti a dati direttamente o indirettamente
riconducibili al titolare: nome, cognome, nomi dei figli,
data di nascita, ecc…
• Corrispondenti a parole di uso comune nel dizionario
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Password «deboli»
Secondo criteri sufficientemente condivisi una
password è sicuramente debole se:
• È usata per ogni tipo di accesso
• È lunga meno di 8 caratteri
• Contiene informazioni direttamente o indirettamente
riconducibili al titolare delle credenziali
o Es.: il nome utente, il proprio nome, il nome dell’azienda, il
nome del partner, la propria data di nascita
• Contiene
una parola completa (o sue varianti)
o Es.: cane, catto, casa, zuzzerellone, zuzzerellone23
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Password «complesse» (1/2)
 Secondo i medesimi criteri una password è
complessa se:
• È lunga almeno 8 caratteri
• Non contiene informazioni direttamente o
indirettamente riconducibili al titolare delle credenziali
• Non contiene una parola completa (o sue varianti)
• È significativamente differente dalle precedenti
password
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Password «complesse» (2/2)
• Contiene caratteri che appartengano ai seguenti 4
gruppi:
o Lettere maiuscole
o Lettere minuscole
o Numeri
o Caratteri speciali (~ ! @ # $ % ^ …)
 Esempio di password complessa: J*p2leO4>F
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Password apparentemente complesse
Anche la password costruita con i criteri più complessi perde la
sua efficacia se non custodita con la dovuta riservatezza
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Un punto di attenzione
 La sottrazione di una password assume un
grado di pericolosità proporzionale
• Al ruolo svolto dal soggetto titolare
• Ai privilegi attribuito al soggetto titolare
 Il furto delle credenziali può prescindere
l’aspetto tecnologico ed essere realizzata già con
espedienti di Social Engineering
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Autorizzazione
 L’identità individuata in fase
di autenticazione determina
• quali operazioni possono
essere eseguite su una risorsa
• se l’utilizzo di una risorsa
debba essere inibito
 Questo controllo viene
eseguito attraverso le Access
Control List (ACL)
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
Assegnazione per gruppi omogenei
 Per organizzare in maniera razionale l’assegnazione
delle operazioni consentite sulle risorse mediante le
ACL, i vari utenti possono essere collocati in
raggruppamenti omogenei, la cui afferenza può
essere determinata da diversi fattori (organizzativi,
funzionali, geografici)
 Le informazioni utilizzate nelle fasi di
autenticazione/autorizzazione e relative agli utenti
e ai gruppi sono memorizzate in appositi repository
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Insegnamento di Informatica – a.a. 2016-17
I miei contatti
linkedin
http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/
facebook
https://www.facebook.com/francesco.ciclosi
twitter
@francyciclosi
www
http://docenti.unimc.it/f.ciclosi
http://www.francescociclosi.it
Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2016
CC-BY-SA 4.0 – Common Deed – Legal Code
Documenti correlati
MODULO 07 - L`interazione tra il microprocessore e la memoria di
MODULO 07 - L`interazione tra il microprocessore e la memoria di
Il processo di avvio del sistema operativo
Il processo di avvio del sistema operativo
Lo spazio degli indirizzi IP - Il blog ufficiale di Francesco Ciclosi
Lo spazio degli indirizzi IP - Il blog ufficiale di Francesco Ciclosi
Gli Open Data nelle Marche
Gli Open Data nelle Marche
Lezione IB07
Lezione IB07
MODULO 05 - Il Microprocessore
MODULO 05 - Il Microprocessore
MODULO 11 –> Le porte di comunicazione del computer
MODULO 11 –> Le porte di comunicazione del computer
MODULO 10 –> La scheda madre e il BIOS
MODULO 10 –> La scheda madre e il BIOS
MODULO 15 - Il backup dei dati
MODULO 15 - Il backup dei dati
MODULO 20 - Introduzione al TCP/IP
MODULO 20 - Introduzione al TCP/IP
I bit e la loro memorizzazione
I bit e la loro memorizzazione
Le basi di dati e il modello relazionale
Le basi di dati e il modello relazionale
Scarica