Nozioni di base dell'autenticazione NIST

Per comprendere le linee guida del National Institute of Standards and Technology (NIST), è necessario conoscere la terminologia. È anche necessario comprendere la tecnologia TPM (Trusted Platform Module) e i fattori di autenticazione. Questo articolo fornisce tali informazioni.

Terminologia

La terminologia seguente viene usata in questi articoli NIST.

Termine Definizione. I termini in corsivo sono definiti in questa tabella.
Assertion Istruzione da un verificatore a una relying party che contiene informazioni sul sottoscrittore. Un'asserzione può contenere attributi verificati.
Authentication Processo di verifica dell'identità di un soggetto.
Fattore di autenticazione Qualcosa che sai, qualcosa che hai o qualcosa che sei. Ogni autenticatore ha uno o più fattori di autenticazione.
Authenticator Un elemento che l'attestazione possiede e controlla che viene usato per autenticare l'identità dell'attestazione .
Revendicatore Oggetto la cui identità deve essere verificata tramite uno o più protocolli di autenticazione.
Credenziale Oggetto o struttura di dati che associa in modo autorevole un'identità ad almeno un autenticatore posseduto e controllato da un sottoscrittore.
Provider di servizi di credenziali (CSP) Entità attendibile che rilascia o registra gli autenticatori del sottoscrittore e rilascia le credenziali elettroniche ai sottoscrittori.
Relying party Entità che si basa sull'asserzione di un verificatore o sugli autenticatori e le credenziali di un attestazione, in genere per concedere l'accesso a un sistema.
Oggetto Persona, organizzazione, dispositivo, hardware, rete, software o servizio.
Sottoscrittore Entità che ha ricevuto credenziali oautenticatori da un provider di servizi di configurazione.
Trusted Platform Module Un TPM è un modulo resistente alle manomissioni che esegue operazioni di crittografia, inclusa la generazione di chiavi.
Verifier Entità che verifica l'identità dell'attestazione verificando il possesso e il controllo degli autenticatori.

Informazioni sulla tecnologia Trusted Platform Module

La tecnologia Trusted Platform Module è progettata per fornire funzioni correlate alla sicurezza basate su hardware. Un chip TPM o un TPM hardware è un processore di crittografia sicuro che consente di eseguire azioni come la generazione, l'archiviazione e la limitazione dell'uso delle chiavi crittografiche.

Microsoft fornisce informazioni significative sul funzionamento dei TPM con Windows. Per altre informazioni, vedere Trusted Platform Module.

Un TPM software è un emulatore che simula la funzionalità TPM hardware.

Fattori di autenticazione e i relativi punti di forza

I fattori di autenticazione possono essere raggruppati in tre categorie:

Graphic that provides examples of authentication factors, grouped by something you know, something you have, and something you are.

La forza di un fattore di autenticazione è determinata dal modo in cui è possibile essere certi che sia qualcosa che solo il sottoscrittore conosce, ha o è.

NIST fornisce indicazioni limitate sulla forza relativa dei fattori di autenticazione. Nella parte restante di questa sezione viene descritto come vengono valutati i punti di forza di Microsoft.

Qualcosa che sai. Le password, il più comune elemento noto, rappresentano la superficie di attacco più grande. Le mitigazioni seguenti migliorano l'attendibilità dell'affinità con il sottoscrittore. Sono efficaci per prevenire attacchi alle password come attacchi di forza bruta, intercettazioni e ingegneria sociale:

Qualcosa che hai. Il punto di forza di qualcosa che si ha è basato sulla probabilità che il sottoscrittore lo mantenga in possesso e la difficoltà per un utente malintenzionato di ottenere l'accesso. Ad esempio, quando si tenta di proteggersi dalle minacce interne, un dispositivo mobile personale o una chiave hardware avrà un'affinità superiore. Quindi sarà più sicuro di un computer desktop in un ufficio.

Qualcosa che sei. La facilità con cui un utente malintenzionato può ottenere una copia di qualcosa che si è, o spoofare una biometria, conta. NIST sta disegnando un framework per la biometria. NIST attualmente non accetta la biometria come metodo di autenticazione separato. Deve essere un fattore all'interno dell'autenticazione a più fattori. Questa precauzione è in atto perché la biometria è probabilistica in natura. Ovvero, usano algoritmi che determinano la probabilità di affinità. La biometria non fornisce necessariamente una corrispondenza esatta, come fanno le password. Per altre informazioni, vedere Strength of Function for Authenticators – Biometrics (SOFA-B).

SOFA-B tenta di presentare un quadro per quantificare la forza della biometria per:

  • Tasso di corrispondenza false.
  • False fail rate.
  • Frequenza degli errori di rilevamento degli attacchi di presentazione.
  • Sforzo necessario per eseguire un attacco.

Autenticazione a singolo fattore

È possibile implementare l'autenticazione a fattore singolo usando un autenticatore a singolo fattore che verifica un elemento noto o qualcosa di noto. Un elemento da considerare viene accettato come fattore di autenticazione, ma non viene accettato come autenticatore da solo.

Graphic that shows how single-factor authentication works.

Autenticazione a più fattori

È possibile implementare l'autenticazione a più fattori usando un autenticatore a più fattori o usando due autenticatori a fattore singolo. Un autenticatore a più fattori richiede due fattori di autenticazione per completare una singola transazione di autenticazione.

Autenticazione a più fattori tramite due autenticatori a singolo fattore

L'autenticazione a più fattori richiede due diversi fattori di autenticazione. Questi autenticatori possono essere indipendenti. Ad esempio:

  • Segreto memorizzato (password) e fuori banda (SMS)

  • Segreto memorizzato (password) e password monouso (hardware o software)

Questi metodi eseguono due transazioni di autenticazione indipendenti con Azure Active Directory (Azure AD).

Graphic that describes multifactor authentication via two separate authenticators.

Autenticazione a più fattori tramite un singolo autenticatore a più fattori

Per sbloccare un secondo fattore di autenticazione, l'autenticazione a più fattori richiede un fattore di autenticazione (un elemento noto o qualcosa di cui si è certi). L'esperienza utente è in genere più semplice di quella di più autenticatori indipendenti.

Graphic that shows multifactor authentication by using a single multifactor authenticator.

Un esempio è l'app Microsoft Authenticator usata in modalità senza password. Con questo metodo, l'utente tenta di accedere a una risorsa protetta (relying party) e riceve una notifica sull'app Authenticator. L'utente risponde alla notifica specificando una biometria (qualcosa che si è) o un PIN (qualcosa che si conosce). Questo fattore sblocca la chiave crittografica sul telefono (qualcosa di disponibile), che il verificatore convalida quindi.

Passaggi successivi

Panoramica del NIST

Informazioni sugli elenchi di controllo di accesso

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Raggiungimento di NIST AAL1 bu usando Azure AD

Raggiungimento di NIST AAL2 tramite Azure AD

Raggiungimento di NIST AAL3 tramite Azure AD