Il tema della sicurezza è il vero motore che spinge alla continua innovazione dei sistemi di identità federata (come lo SPID), ma contestualmente deve assicurare un’elevata semplicità implementativa per garantirne l’efficacia. Il mondo dell’identità federata è essenzialmente diviso tra due standard, che però interagiscono tra loro: in ordine di tempo è arrivato prima lo standard SAML2 (Security Assertion Markup Language 2.0) con una versione iniziale nel 2002, seguito dopo qualche anno nel 2014, da OpenID Connect 1.0 (OIDC), derivato dai precedenti protocolli OpenID 1.0 (2006) e 2.0 (2007) ma oramai ritenuti obsoleti.
L’utilizzo di questi protocolli nasce dalla constatazione che, per ridurre il rischio della sicurezza, non possiamo agire sull’impatto potenziale poiché dipende dall’estensione dell’ecosistema, mentre possiamo agire sulla probabilità poiché dipende dalle vulnerabilità introdotte dalla tecnologia di autenticazione che si adotta. Questo è possibile ricorrendo, appunto, a soluzioni standard, dal momento che hanno il beneficio della maggior esperienza accumulata nel tempo.
Concentriamo, dunque, la nostra attenzione su OpenID Connect per analizzare le sue capacità di estensione del framework e per l’interoperabilità con altri metodi di autenticazione.
Indice degli argomenti
Cos’è e a cosa serve OpenID Connect
OpenID Connect 1.0 può essere visto come un semplice livello di identità in cima al protocollo OAuth 2.0 e consente ai client di verificare l’identità dell’utente finale in base all’autenticazione eseguita da un server di autorizzazione, ma anche di ottenere informazioni di base sul profilo dell’utente finale in modo interoperabile.
Trattandosi di un protocollo standard, OpenID Connect consente ai client di tutti i tipi, compresi quelli basati su Web, dispositivi mobili e JavaScript, di richiedere e ricevere informazioni sulle sessioni autenticate e sugli utenti finali.
Il mondo dell’identità federata rappresenta, infatti, un evoluzione del concetto del single sign-on in acronimo SSO centralizzato dell’azienda. L’ utente ha un’unica identità digitale per accedere alle risorse dell’intero ecosistema digitale e, nel caso di risorse differenti ma in trust tra loro, effettuando un’unica autenticazione, e gli sarà consentito l’accesso al pool di queste risorse senza autenticarsi nuovamente. Questo è uno dei risultati del protocollo di autenticazione decentrata definito nello standard OpenID Connect.
La tassonomia di OpenID Connect
Il modello di riferimento, che descrive il funzionamento e le interrelazioni tra le parti costitutive del protocollo OIDC, ha una sua specifica tassonomia, purtroppo con termini a volte differenti da framework similari a parità di concetto:
- End-User: è l’individuo (utente), che richiede l’accesso a servizi online.
- User Agent: è il browser web usato dall’utente per accedere alle risorse online.
- Claims: è un insieme di informazioni sull’utente di tipo nome-valore.
- Authorization Server: è un server che possiede l’identità e le credenziali dell’utente.
- OpenID Provider: è l’Authorization Server capace di autenticare l’utente e rilasciare i Claims.
- Relying Party: è l’applicazione Client che richiede l’autenticazione dell’utente ed i Claims.
- Resource Server: è il server che ospita le risorse che saranno accedute.
- ID Token: è la stringa che contiene i Claims di autenticazione nel formato JWT (JSON Web Token), coppie del tipo nome:valore.
- Subject Identifier: è l’identificativo univoco dell’utente, rilasciato al Client.
- UserInfo Endpoint: è l’interfaccia che rilascia le informazioni autorizzate dell’utente.
Come funziona l’autenticazione OIDC
Il protocollo di autenticazione dell’identità digitale OpenID Connect, si basa sul protocollo OAuth 2.0 per assegnare l’autorizzazione all’accesso alle risorse, ma anche ne emula alcuni costrutti implementativi. Il modello astratto di riconoscimento dell’identità è sintetizzato nei seguenti otto passi:
- Il Client prepara una richiesta di autenticazione contenente i parametri di richiesta desiderati tramite lo User Agent.
- Il Client invia la richiesta all’Authorization Server.
- L’Authorization Server autentica l’End-User.
- L’Authorization Server ottiene il consenso/autorizzazione dell’utente.
- L’Authorization Server ritorna al Client un Access Token e, se richiesto, un ID Token.
- Il Client richiede una risposta utilizzando l’Access Token al Token Endpoint.
- L’Authorization Server valida l’Access Token e restituisce l’ID e l’Access Token.
- Il Client convalida l’ID Token e recupera il Subject Identifier dell’utente.
La tassonomia tra OAuth e OpenID Connect è leggermente diversa ma i termini si sovrappongono perfettamente. Lo standard OpenID Connect consente parametri aggiuntivi nella richiesta e introduce i concetti di Claims e ID Token.
Ad esempio, il Client può stabilire la lingua da utilizzare nel form di autenticazione oppure il livello di autenticazione.
I Claims sono coppie “nome-valore” che forniscono dati di attributo sull’utente che è stato autenticato. Vengono già forniti dei nomi standard per i Claims ma è previsto si possano aggiungere dei nuovi nomi per adattarsi a delle specifiche esigenze.
Come funziona l’ID token
L’ID Token è costruito dall’OpenID Provider e restituito al Client come passo finale dell’autenticazione e contiene i Claims di autenticazione e quelli utente. Il token è nella forma di un JSON Web Token (JWT) ed è firmato in modo sicuro.
Le caratteristiche standard dell’ID Token sono:
- Dichiara l’identificativo univoco dell’utente, chiamato Subject (sub).
- Specifica l’identificatore dell’autorità emittente la risposta (iss).
- È generato per un particolare insieme di destinatari (Clients) (aud).
- Può contenere una specifica idonea per una sola occasione (nonce).
- Può specificare quando (auth_time) e come, in termini di robustezza del metodo (acr), l’utente è stato autenticato.
- Stabilisce un tempo di emissione (iat) ed uno di scadenza (exp).
- Può includere ulteriori dettagli sull’utente, come nome e indirizzo email.
- È firmato digitalmente, quindi può essere verificato solo dai destinatari previsti.
- Può essere opzionalmente crittografato per la riservatezza.
Inoltre, essendo basato su OAuth 2.0, OpenID Connect è “API Friendly”, ossia, opera tramite l’Application Programming Interface ed in questo modo può essere utilizzato da applicazioni web, applicazioni desktop, applicazioni mobile o dal software operativo dei dispositivi. Questo è un indubbio vantaggio perché copre tutti gli ambiti di identificazione e controllo accesso.
OpenID Connect gestisce il processo di autenticazione per far connettere l’utente o per determinare se l’utente è già collegato. OIDC restituisce al Client il risultato dell’autenticazione, eseguita dall’Authorization Server in modalità sicura, cosicché il Client possa fare affidamento sul server per questa funzionalità. Per questo motivo, il Client è anche chiamato Relying Party (RP).
Flussi di autenticazione di OpenID Connect
L’iniziale Authentication Request è strutturalmente simile ad una OAuth 2.0 Authorization Request il cui compito è semplicemente di richiedere che l’End-User sia autenticato dall’ Authorization Server. Il processo di autenticazione può seguire uno dei tre flussi autorizzativi che si distinguono per delle peculiari caratteristiche, riassunte in tabella.
Property | Authorization Code Flow | Implicit Flow | Hybrid Flow |
Tutti i token sono ritornati dal Authorization Endpoint | no | yes | no |
Tutti i token sono ritornati dal Token Endpoint | yes | no | no |
I token non sono rivelati al User Agent | yes | no | no |
Il Client può essere autenticato | yes | no | yes |
Il Refresh token è possibile | yes | no | yes |
La comunicazione è in un solo viaggio andata/ritorno | no | yes | no |
Principalmente le comunicazioni sono di tipo server-to-server | yes | no | varies |
Inoltre, i meccanismi di sicurezza variano a scapito della velocità di esecuzione del flusso prescelto, fornendo un’ulteriore elemento di scelta di quale sia più idoneo per le proprie esigenze.
Il processo di autorizzazione, come già detto, è gestito da OAuth 2.0 ed è perfettamente integrato in OpenID Connect.
Anche il processo di autorizzazione possiede svariate possibilità di configurazione. L’importanza dell’informazione protetta, determina quale sarà la corretta configurazione del sistema di autenticazione e di autorizzazione che potrà essere adottato per il riconoscimento dell’identità digitale.
Stato attuale di OpenID Connect: SPID e CIE in Italia
In Italia ci sono a disposizioni due innovative modalità di OpenID che, come richiesto dalle più recenti normative, consentono agli utenti di muoversi con più facilità e sicurezza.
- SPID: L’Agenzia per l’Italia Digitale (AgID) ha adottato le Linee Guida per l’integrazione di OpenID Connect in SPID nel dicembre 2021 con l’obbligo per i gestori dell’identità digitale di attuarle a partire dal 1° maggio 2022 . Tuttavia, al momento, la federazione basata su OpenID Connect per SPID non è ancora operativa. Ciò significa che, sebbene le specifiche siano state definite, l’implementazione pratica completa non è ancora disponibile per tutti i fornitori di servizi;
- CIE: La Carta d’Identità Elettronica CIE supporta attivamente OpenID Connect, con una federazione operativa. Le regole tecniche per l’integrazione di OIDC in CIE sono disponibili e forniscono dettagli su come autenticare un utente e ottenere i suoi attributi.
Accessi sicuri, come proteggere la propria sicurezza
Ogni utente deve prestare massima attenzione a come proteggere la propria sicurezza, quella dei propri dispositivi e delle informazioni che contengono. Esistono diverse soluzioni per mettersi al riparo da furti di credenziali, accessi indesiderati e altre situazioni spiacevoli e dannose.
NordPass, una cassaforte per tante password
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: XChaCha20
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ✓
Prezzo: da 1,29 €/mese
NordPass è un password manager avanzato progettato per semplificare la gestione delle credenziali digitali, migliorando la sicurezza online di utenti privati e aziende. Il servizio consente di archiviare in modo protetto password, carte di credito, appunti riservati e dati personali, offrendo funzionalità di compilazione automatica, sincronizzazione multi-dispositivo e strumenti per la sicurezza proattiva.
Funzionalità chiave:
- Cassaforte crittografata con standard XChaCha20, per la massima protezione di password e dati sensibili;
- Autofill intelligente per login e form su qualsiasi dispositivo;
- Strumenti di protezione avanzata, tra cui il Password Health per valutare la robustezza delle credenziali, il Data Breach Scanner per rilevare eventuali compromissioni e il mascheramento delle e-mail per proteggere l’identità online;
- Accesso di emergenza e condivisione sicura delle password, utili sia in ambito familiare che professionale.
I piani disponibili: - Gratuito: include tutte le funzionalità base come archiviazione, compilazione automatica, sincronizzazione tra dispositivi e autenticazione a più fattori;
- Premium: integra strumenti di sicurezza aggiuntivi, condivisione sicura e accesso di emergenza;
- Family: pensato per nuclei familiari fino a 6 utenti, con tutte le funzionalità del piano Premium;
- Business e Teams: ideali per aziende, includono dashboard di sicurezza, provisioning centralizzato degli account, cartelle condivise e integrazione SSO.
Attualmente NordPass offre sconti fino al 70% sui piani Premium e Family, una garanzia soddisfatti o rimborsati di 30 giorni, e una prova gratuita del piano Premium senza obbligo di inserimento della carta di credito.
NordLocker, protezione delle credenziali e backup
⚡ Velocità upload: Veloce
🔄️ Accesso ai file offline: ✔️
💰 Costo: da 2,99 €/mese
📱 Mobile: Android, iOS
💻 Desktop: Windows, macOS
🔐 Sicurezza: AES-256
🧑💻 Facilità di utilizzo: Molto facile
🔥 Offerte attive: SCONTO fino al 53%
NordLocker protegge file e documenti sensibili, sia sul dispositivo locale che nel cloud. Il servizio utilizza un sistema di crittografia end-to-end che assicura che solo l’utente possa accedere ai propri contenuti, prevenendo accessi non autorizzati anche in caso di violazione dell’account o del dispositivo.
Le funzionalità chiave:
- Crittografia avanzata: I dati vengono cifrati localmente con tecnologia di livello militare prima ancora di essere caricati online;
- Backup e sincronizzazione: I file vengono sincronizzati in modo sicuro su più dispositivi, permettendo l’accesso da desktop, laptop o smartphone;
- Condivisione protetta: É possibile condividere file crittografati con altri utenti mantenendo il pieno controllo sull’accesso;
- Autenticazione a più fattori (2FA): un ulteriore livello di protezione per impedire accessi indesiderati;
- Supporto clienti 24/7: assistenza tecnica disponibile in qualsiasi momento con priorità per gli utenti Premium.
Piani disponibili: - Piano gratuito: Include 3 GB di spazio di archiviazione cloud crittografato, ideale per chi vuole provare il servizio senza impegno;
- Piano Premium: Offre 500 GB di spazio, sincronizzazione completa tra dispositivi, condivisione avanzata e supporto prioritario. Attualmente è disponibile con uno sconto del 53%, ed è coperto da 30 giorni di garanzia soddisfatti o rimborsati.
1Password, protegge le credenziali con la crittografia
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: AES-256
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ❌
Prezzo: da 2,65 €/mese
1Password, uno dei password manager più completi, oltre a memorizzare le credenziali in modo sicuro, compila automaticamente le password nei browser e genera credenziali robuste, sincronizzandole tra tutti i dispositivi dell’utente.
Le principali funzionalità:
- Crittografia end-to-end: protegge tutti i dati archiviati;
- Watchtower: sistema di monitoraggio che avvisa l’utente in caso di password deboli, riutilizzate o esposte;
- Archiviazione sicura estesa: Oltre alle password è possibile conservare documenti sensibili, carte di credito, chiavi di accesso e altri dati personali;
- Condivisione sicura: Consente di condividere le credenziali in modo protetto con altri utenti selezionati;
- Compatibilità multi-piattaforma: disponibile su macOS, iOS, Windows, Android e Linux, oltre che su Chrome, Firefox, Edge, Brave e Safari.
1Password offre piani Individuali e Famigliari: - Individuale: Include utilizzo su dispositivi illimitati, 1 GB di archiviazione sicura, compilazione automatica delle credenziali e monitoraggio delle violazioni tramite Watchtower;
- Famigliare: Comprende tutte le funzionalità del piano Individuale, supporta fino a 5 membri della famiglia, offre casseforti condivise illimitate e strumenti di recupero account.
Disponibili anche piani per Team e Aziende: - Team Starter Pack: Per un massimo di 10 utenti e include condivisione sicura, avvisi di sicurezza e supporto dedicato;
- Business: Offre tutte le funzionalità del Team Starter Pack, con aggiunta di integrazione con provider di identità (es. Okta, Azure AD), report avanzati e controlli amministrativi granulari;
- Enterprise: Include tutte le funzionalità del piano Business, oltre a un account executive dedicato, onboarding e formazione personalizzati, periodi di prova estesi e prezzi basati sul volume.
È disponibile una prova gratuita di 14 giorni per tutti i piani, permettendo agli utenti di testare le funzionalità prima di sottoscrivere un abbonamento.
Incogni, elimina i dati sensibili dal web
Incogni è un servizio automatizzato che si occupa di rimuovere i tuoi dati personali da oltre 210 siti e broker di dati. Questo aiuta a ridurre spam, truffe, chiamate indesiderate e il rischio di furti d’identità. Il servizio è conforme al GDPR e ad altre normative internazionali sulla privacy.
Incogni scansiona i siti di ricerca persone per trovare le tue informazioni personali. Invia richieste di rimozione automatizzate ai broker di dati che possiedono le tue informazioni. Continua a monitorare e inviare nuove richieste per garantire che i tuoi dati non vengano raccolti nuovamente. Ricevi report regolari sullo stato delle rimozioni.
Vantaggi principali:
- Riduzione delle chiamate spam e dei messaggi truffa;
- Minore esposizione a cyberattacchi e furti d’identità;
- Controllo continuo sui tuoi dati personali online;
- Nessuna necessità di competenze tecniche.
L’offerta attuale prevede uno sconto del 50% sul piano annuale. Esistono piani Standard, Unlimited, Family, Family Unlimited con la garanzia soddisfatti o rimborsati di 30 giorni.
Kaspersky Plus, protezione contro numerose minacce
Massimo dispositivi: 5
Versione Free: Prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: inclusa
Offerte attive: SCONTO fino al 45% 🔥
Kaspersky Plus è una soluzione avanzata per la sicurezza informatica che offre protezione in tempo reale contro virus, malware, ransomware e phishing. Compatibile con Windows, macOS, Android e iOS, include funzionalità come firewall, VPN illimitata, Password Manager e strumenti per l’ottimizzazione delle prestazioni.
Caratteristiche principali:
- Sicurezza avanzata: Include funzionalità anti-phishing e firewall per proteggere da virus, malware e attacchi online;
- Strumenti per le prestazioni: Offre strumenti per ottimizzare le prestazioni del dispositivo e monitorare l’integrità del disco rigido, garantendo un funzionamento efficiente;
- Privacy e protezione dei dati: Fornisce una VPN illimitata per una navigazione sicura e privata, oltre a un Password Manager per gestire in modo sicuro le credenziali di accesso;
- Kaspersky Plus è una soluzione avanzata per la sicurezza informatica che offre protezione completa per dispositivi Windows, macOS, Android e iOS.
È disponibile una prova gratuita di 30 giorni, con garanzia di rimborso entro lo stesso periodo.
Norton, protezione estesa anche ai dispositivi mobile
Massimo dispositivi: 10
Versione Free: prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: ✔
Offerte attive: SCONTO fino al 66% (per il primo anno) 🔥
Norton offre soluzioni per proteggere anche smartphone e tablet. Norton protegge i tuoi dispositivi mobili dalle minacce più comuni – come app dannose, phishing e reti Wi-Fi compromesse – offrendo una difesa avanzata per ogni momento della giornata.
Norton AntiVirus Plus con backup nel cloud da 2 GB
- Protezione per 1 dispositivo (PC o Mac)
- Difesa contro virus, malware, ransomware e hacker
- Password Manager per gestire credenziali in modo sicuro
- Backup nel cloud da 2 GB (solo per PC)
- Promessa Protezione Virus 100%: rimborso garantito se il virus non può essere rimosso
Norton 360 Standard con SafeCam per bloccare accessi indesiderati
- Protezione per 1 dispositivo (PC, Mac, Android o iOS)
- Tutto ciò che è incluso in AntiVirus Plus, più:
- VPN sicura per una navigazione privata
- SafeCam per bloccare l’accesso non autorizzato alla webcam (su PC)
- Backup nel cloud da 10 GB
Norton 360 Deluxe fino a 5 dispositivi
- Protezione per fino a 5 dispositivi
- Include tutte le funzionalità di Standard, più:
- Parental Control per monitorare e proteggere l’attività online dei minori
- Dark Web Monitoring: notifica se i tuoi dati personali vengono trovati nel Dark Web
- Backup nel cloud da 50 GB
Norton 360 Advanced con backup nel cloud da 200 GB
- Protezione per fino a 10 dispositivi
- Oltre alle funzioni di Deluxe, aggiunge:
- Assistenza per il ripristino dell’identità in caso di furto
- Supporto in caso di furto del portafoglio
- Monitoraggio dei social media per rilevare attività sospette
- Backup nel cloud da 200 GB
Tutti i piani Norton includono la Promessa Protezione Virus 100%: se Norton non riesce a rimuovere una minaccia, l’utente ha diritto al rimborso. Una garanzia che conferma l’impegno dell’azienda verso la sicurezza totale degli utenti.
Attualmente Norton offre sconti fino al 71% sui piani Norton 360. È disponibile una prova gratuita di 30 giorni per testare le funzionalità prima dell’acquisto.
