2. ● Cosa è l'identità digitale
● L'autenticazione a 2 fattori
● Breve dimostrazione
● Domande e risposte
2
Agenda
3. electronic IDentification Authentication and Signature
● eIDAS è la base per la costruzione del Mercato
Unico Digitale in Europa
● eIDAS impone l’interoperabilità in tutta Europa dal
1/7/2016
● La Firma Elettronica Qualificata ha valore legale
equivalente a quella autografa
● Il Regolamento implica l’adozione obbligatoria per
tutti gli Stati membri
3
eIDAS: l’identità digitale a valore legale in Europa
4. ● Applicare il General Data Protection
Regulation (GDPR) - 25 Maggio 2018
● Il 50% delle imprese è in ritardo
● La percentuale fra le associazioni di
volontariato e le realtà non profit sale
probabilmente al 99,9%
● Nessuna esenzione per il terzo settore
o non profit: la normativa europea sulla
privacy parla di "organizzazioni" di
qualsiasi tipo
4
Un'urgenza che riguarda tutti (anche il non profit)
fonte: https://www.01net.it/gdpr-organizzazioni-non-profit/
5. ● “data protection by default and by design” (art.
25 GDPR)
● Proteggere i dati e gli eventuali account degli
utenti almeno con delle password secondo le
normative vigenti
● Proteggere gli account amministrativi con
l'autenticazione a due fattori
● Usare le funzionalità 2FA già disponibili
gratuitamente (soprattutto se si ricopre un ruolo
tecnico e si hanno privilegi amministrativi)
5
Come proteggere l'identità digitale
6. Non è una questione puramente normativa
È un problema di comunicazione e consapevolezza
Non siamo consapevoli di cosa sia l'identità digitale
La tecnologia cambia il nostro habitat velocemente
Siamo biologicamente e psicologicamente uguali all'uomo paleolitico
Dobbiamo imparare a usare la tecnologia senza averne paura
6
La tecnologia è un problema?
7. L'identità digitale può essere vista come una
maschera o un travestimento
L'identità digitale è simile a un documento d'identità
Possiamo avere molte identità digitali, come accade
per i documenti
Le identità digitali autentiche sono analoghe tra loro,
come lo sono i documenti
Quelle false invece non si somigliano
7
Quante identità?
8. ● «identificazione elettronica»: il processo per cui si fa uso di dati di
identificazione personale in forma elettronica che rappresentano un’unica
persona fisica o giuridica, o un’unica persona fisica che rappresenta una
persona giuridica
● «dati di identificazione personale»: un insieme di dati che consente di stabilire
l’identità di una persona fisica o giuridica, o di una persona fisica che
rappresenta una persona giuridica
● «autenticazione»: un processo elettronico che consente di confermare
l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e
l’integrità di dati in forma elettronica
8
Regolamento eIDAS - Art. 3
9. Nel mondo digitale è facile (ed economico)
riprodurre le informazioni (“copia e incolla”)
9
L’autenticità e l’Identità nell’era Digitale
L’identità è un insieme di dati, un messaggio:
come facciamo a sapere chi c’è dall’altra parte
del filo o della porta?
Se trasmetto quei “bit” che rappresentano
la mia identità, qualcuno potrebbe
intercettarli, copiarli, e simulare di essere
me: rubare cioè la mia identità!
10. 10
Identità Digitale basata sulla Biometrica
I dispositivi biometrici si basano su
caratteristiche fisiologiche o
comportamentali (impronta digitale,
scansione dell’iride, calligrafia,
riconoscimento facciale o vocale)
L’unico vantaggio risiede nel non dover
identificare e associare la persona al
dato biometrico, e nel non richiedere ad
essa di portare con sé un dispositivo
11. L’Identità crittografica si basa su una
"chiave" unica associata in modo
univoco alla persona che la possiede
e la controlla in modo esclusivo
● Garantisce la privacy
● È gestibile con lo smartphone
● Può essere revocata
● Non presenta errori di misura
● È “nativa digitale”
11
Identità Digitale basata sulla Crittografia
12. ● Cosa è l'identità digitale
● L'autenticazione a 2 fattori
● Breve dimostrazione
● Domande e risposte
12
Agenda
13. Ci sono circa 1075
chiavi possibili (RSA 1024 bit) tra le quali ne viene scelta una a caso
1010
= 10.000.000.000 cioè dieci miliardi mentre 1075
è un numero con 75 zeri!
1050
= stima del numero di atomi che compongono il pianeta Terra
1075
=1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000000.000
.000.000.000.000.000.000.000.000 cioè mille miliardi di miliardi di miliardi di
miliardi di miliardi di miliardi di miliardi di miliardi di chiavi
Ne viene scelta una a caso e viene associata alla persona che ne diventa il
possessore esclusivo (sostanzialmente è una password numerica un po' lunga)
13
Unicità delle chiavi crittografiche
14. 14
Le password usa e getta (OTP)
● viene generata una chiave unica
associata all'utente
● una copia della chiave è custodita
su dei server che applicano gli stessi
livelli di sicurezza bancari
● un'altra copia è custodita in modo
sicuro sullo smartphone (o su una
chiavetta hardware)
● la chiave unica e l'orario sono
utilizzati entrambi per generare una
nuova password ogni 30 secondi
15. Per garantire che solo il proprietario di un'identità digitale (come l'account social
che abbiamo su Google o Facebook) ne abbia il controllo, si usa la tecnica dei due
fattori di autenticazione (detta anche "Strong Authentication")
Il primo fattore è una cosa che solo tu sai: la cara vecchia password del tuo account
Il secondo fattore è una cosa che solo tu possiedi: il telefono o lo smartphone, che
è già sempre con te, a portata di mano (e che ti fornisce le password usa e getta)
Una cosa che solo tu sai più una cosa che solo tu hai
15
Il controllo esclusivo tramite due fattori (2FA)
16. Il processo di attivazione
consente di associare in
modo univoco l'account social
alla chiave crittografica
La chiave crittografica
consente di generare le
password temporanee
OTP (One Time Password)
16
La 2FA in tre mosse
17. Subscriber Identity Module (SIM)
"modulo d'identità dell'abbonato"
La SIM telefonica non è come la SIM
crittografica della Carta di Credito
Quanto è facile clonare una SIM
telefonica (non crittografica)?
Quanto costano gli SMS?
17
Le OTP ricevute via SMS
18. ● Cosa è l'identità digitale
● L'autenticazione a 2 fattori
● Breve dimostrazione
● Domande e risposte
18
Agenda