Categoria: Sicurezza

Il panorama delle reti di nuova generazione è caratterizzato da una notevole complessità. Si intrecciano tecnologie avanzate come il cloud, l’elaborazione ai confini (edge computing) e l’intelligenza artificiale, creando un ambiente eterogeneo ma collegato da un elemento comune: i servizi. Come affermato da Andrea Billet, Responsabile del Servizio Certificazione e Supervisione presso l’Agenzia Nazionale per la Cybersecurity (ACN), durante la conferenza internazionale “5G&Co. – Everything is connected”, organizzata dal CNIT a Roma, “più vasta è l’area esposta, maggiore sarà la minaccia, e di conseguenza l’impegno richiesto a chi, a livello nazionale, è incaricato di gestire le criticità”. Secondo Billet, l’ambito digitale richiede regole, ma la sua natura priva di confini implica che occorra sviluppare sistemi regolatori che non siano in conflitto tra loro.

Un tema centrale, in questo contesto, è rappresentato dal “toolbox” europeo per il 5G, una vera e propria “cassetta degli attrezzi” che offre linee guida ai Paesi per l’implementazione delle reti mobili di nuova generazione.

Inoltre, Billet ha sottolineato l’importanza dell’intelligenza artificiale, un campo che sta diventando sempre più rilevante. L’ACN, insieme a ENISA, l’Agenzia Europea per la Cybersecurity, sta lavorando per definire modalità efficaci di governance per l’IA, affrontando dubbi legittimi e costruendo framework di controllo. “In questo processo, collaboriamo anche con aziende che hanno sviluppato applicazioni di largo uso, come OpenAI e Anthropic”, ha aggiunto.

L’attività dell’ACN, tuttavia, non si limita solo alla gestione delle tecnologie emergenti. Come ha ribadito Billet, “Il successo del 5G sarà misurato dalla capacità di offrire servizi concreti agli utenti”. A tale proposito, il Piano Nazionale di Ripresa e Resilienza (PNRR) svolge un ruolo fondamentale, facilitando un processo di qualificazione che consente di selezionare gli operatori che forniranno servizi alla Pubblica Amministrazione, con specifici requisiti tecnici e organizzativi. L’obiettivo è migliorare l’accesso ai servizi pubblici da parte dei cittadini, sfruttando il 5G come elemento chiave. Sarà infatti tramite i dispositivi mobili che si accederà a questi servizi, ma ciò richiede una pianificazione accurata e un’integrazione ben progettata.

La sfida principale, quando si parla di 5G e cybersecurity, è la convergenza tecnologica. Il vantaggio dell’ACN è la possibilità di affrontare le problematiche in modo unificato, lavorando su più fronti per promuovere una visione integrata dell’Italia all’interno dell’Europa. Concludendo, Billet ha affermato: “L’obiettivo comune è incentivare l’innovazione delle reti, assicurandosi che le tecnologie mobili vengano scrutinate e integrate con un approccio attento e coordinato”.

Le password sono il modo attraverso il quale cerchiamo di impedire l’accesso e l’utilizzo ai nostri dati e risorse informatiche a soggetti non autorizzati. In molti casi però risultano deboli e facilmente individuabili. Questo è dato dal fatto che esistono numerosissimi account che richiedono l’utilizzo di una password così gli utenti preferiscono utilizzare codici alfanumerici facili da ricordare e, spesso, ricadono sulla scelta di utilizzare la stessa combinazione per diversi account, uno dei comportamenti più sconsigliati quando si parla di sicurezza informatica.

Una soluzione che ci permette di ricordare tutte le password dei nostri account, inserendole per noi quando necessario, è l’archiviazione online. Questo però non ci protegge da possibili fughe: se il servizio di password manager (come ad esempio icloud keychain) al quale ci affidiamo viene violato lo saranno anche le password di tutti gli utenti che ne fanno uso.

Molto più efficace risulta essere l’identificazione a due fattori nel quale si inserisce una password e poi un codice otp (one-time password, una password che potremmo definire usa e getta) inviata per sms o mail. Il problema di questo tipo di identificazione è la scomodità della procedura, che viene resa molto più macchinosa, e il persistere del rischio di esposizione ad attacchi di tipo phishing (truffe attraverso le quali un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale).

Le passkey

Negli ultimi anni alcune ricerche in campo informatico si sono concentrate nel trovare un’alternativa valida all’utilizzo delle password, lavorando alla progettazione di nuovi sistemi di accesso, autenticazione o gestione delle password.

Il 5 maggio 2022, in concomitanza con la giornata mondiale delle password – iniziativa avviata dall’azienda intel nel 2013 per promuovere maggiore consapevolezza sul tema della sicurezza informatica – Apple, insieme a Google e Microsoft, hanno annunciato l’impegno ad accelerare il lavoro per implementare e rendere disponibile sui dispositivi uno standard di autenticazione senza password chiamato FIDO. Ad un anno da questo annuncio vediamo questo sistema farsi spazio.

Il nome deriva da Fast Identity Online Alliance, l’associazione internazionale di aziende che hanno lavorato allo sviluppo dello standard nel corso degli ultimi anni e che ha introdotto un protocollo di autenticazione in grado di sostituire le password come forma di identificazione dominante su internet, chiamato passkey.

Le passkey sono composte da una coppia di chiavi, una pubblica, registrata nel sito web o nell’app alla quale vogliamo accedere e condivisa tra i dispositivi che dispongono delle proprie chiavi private, e una privata, presente soltanto sul nostro dispositivo.

La chiave pubblica non ha nessun valore senza quella privata e non è accessibile a nessuno, neanche all’utente, che quindi non può condividerla.

Questo garantisce che seppure in caso di compromissione del server chi lo attacca non avrà a disposizione entrambe le chiavi per ottenere l’accesso agli account.

In un certo senso non si allontana molto dal metodo di identificazione a due fattori nominato poco fa.

Con il sistema delle passkey, quando accediamo a un servizio online, non sarà quindi più necessario digitare il nome utente e la password, ad autorizzare l’accesso ai diversi account saranno i meccanismi di sblocco presenti sui dispositivi di proprietà dell’utente, in particolare dello smartphone, basati per lo più sul riconoscimento biometrico di caratteristiche individuali come l’impronta digitale, la fisionomia del volto o il pin, trasformando lo stesso smatphone in dispositivo di autenticazione.

Il servizio comunque non è limitato al dispositivo, si possono utilizzare le passkey anche su pc e tablet, e apparecchi terzi grazie ai codici QR da scansionare con il nostro smartphone.

Tra le caratteristiche delle passkey possiamo evidenziare:

• Una protezione efficace;
• Non devono essere create, salvate o ricordate. Il salvataggio avviene automaticamente sul portachiavi icloud per i dispositivi apple (e automaticamente disponibili su tutti i dispositivi che hanno l’accesso con lo stesso idapple) e su google password manager per android e chrome;
• Sono protette dalla crittografia end-to-end;

Iniziare ad utilizzare le passkey

Per iniziare ad utilizzare questo nuovo sistema di accesso dobbiamo assicurarci che il sito web o l’app abbia già implementato le passkey come modalità di accesso alternativa alla password.

Alcuni siti ci permetteranno in automatico l’accesso tramite le passkey, per altri dovremmo abilitare il sistema tramite le impostazioni.

Una volta abilitata una passkey questa sarà visualizzata nella compilazione automatica quando accederemo a quell’app o sito.