Aaa - Autenticazione

L’autenticazione ha lo scopo di riconoscere l’utente. Normalmente si fa ricorso ad una username, in genere pubblica, e di una password, il segreto.

Per garantire la sicurezza la password deve rispondere a politiche di complessità di cambio periodico e ovviamente di segretezza. Purtroppo il proliferare di password e la scarsa formazione dell’utente porta a scrivere il segreto su post-it incollati sotto la tastiera, se non sopra il video,  o la condivisione della password con colleghi, facendo crollare i livelli di sicurezza.

Per ridurre questi inconvenienti ci sono diverse soluzioni.

• Occorre sensibilizzare l’utente all’importanza della procedura di autenticazione. Molti spesso non conoscono la propria usermane, che rimane proposta e fissa nella maschera di login e non sono consci della necessità di autenticarsi: la ritengono una noia.
• Alcuni risorse di autenticazione, tipicamente directory, sono facilmente riutilizzabili e integrabili con processi aziendali, riducendo così le fonti di autenticazione
• L’uso di procedure di Single Sign-On o gestione identità, favoriscono i processi di gestione delle utenze e, se ben introdotti in azienda, svincolano l’onere del manager IT portandolo, in modo semplificato verso ruoli aziendali più titolati. Se pensi ad esempio l’assunzione o l’allontanamento di un dipendente, chi meglio dell’ufficio risorse umane ne conosce i dettagli.

Tecnicamente si devono valutare le risorse di autenticazione, spesso Active Directory, eDirectory o database relazionali come SQL Server o mySQL e migliorare  la conoscenza delle risorse a cui accedere.

Un meccanismo semplice di autenticazione, e spesso trascurato è LDAP. Banalizzando, una meccanismo di autenticazione fa ricorso ad un directory per memorizzare i dati dell’utente, il directory è un database a struttura gerarchica, non relazionale, normalmente ottimizzato per essere letto. Di contro in database relazionale è formato da tabelle a campi fissi ed è ottimizzato per operazioni di lettura e scrittura in ugual misura, ma anch’esso può essere una sorgente di autenticazione.

LDAP è un metodo di accesso a tali database, meglio se directory. Active Directory e eDirectory sono accessibili, oltre che con librerie ad hoc, anche con LDAP, in modo semplice e sicuro.

Molti applicativi permettono una autenticazione via LDAP, e quindi possono essere agganciati a directory esistenti. Nella valutazione di un applicativo, la possibilità di autenticazione con meccanismi standard, come LDAP, è importante e deve rientrare nel merito di scelta della procedura.

Allo stesso modo le applicazioni sviluppate internamente all’azienda, è bene facciano ricorso a metodi LDAP, più che a funzioni proprietarie per accedere a AD, eDirecory o DB relazionali. Si aumenta la standardizzazione e l’integrazione fra sistemi.

Bisogna sottolineare che una unica fonte di autenticazione, non riduce il numero di autenticazioni, che è legato al numero di applicazioni a cui si deve accedere, ma consente di avere una unica identità, quindi una sola username ed una sola password.