Dispositivi di autenticazione

Dispositivi di autenticazione

L’autenticazione forte richiede una gestione del processo di autenticazione a più fattori. L’inserimento di una semplice password, per quanto complessa, non è sufficiente a proteggere il proprio account.
Se, da una parte, viene richiesto l’inserimento di un dato conosciuto dall’utente (PIN o password), il completamento della procedura avviene tramite un’altra tipologia di informazioni che richiede il possesso di un dispositivo di generazione di un codice, oppure per la rilevazione di un dato biometrico.

L’infrastruttura di IAP800®, oltre ad offrire il server di autenticazione, mette a disposizione tutta una serie di dispositivi certificati quali display card, token, app, NCF card, etc. che permettono di completare le operazioni di autenticazione multifattoriale.

Card serie D800

Token serie T800

SDK M800

Display card

D800 series e D800 Pay series

Le display card sono dei dispositivi per l’autenticazione forte e antifrode che consentono di generare un codice OTP (One Time Password), che verrà richiesto all’utente durante le fasi dell’autenticazione. Sono conformi allo standard OATH e ad altri specifici algoritmi, in modo tale da offrire la compatibilità con i sistemi universali di autenticazione OTP e la massima garanzia di sicurezza.

Le display card sono delle card del tutto simili per la loro forma a una carta di credito, e possono quindi essere portate con sé nel portafoglio.
Secondo le normative europee sulla sicurezza, in particolare la direttiva europea PSD2 del 14 settembre 2019, i dispositivi per la generazione del codice OTP devono essere dotati di tastierino numerico.

In alcuni casi, le display card possono essere abbinate a carte di pagamento e utilizzate nei circuiti standard con varie modalità (contatto e NFC).

I token per l’autenticazione forte

T800 series

I token sono tra i primi dispositivi per la Strong authentication, resi famosi dall’ampio utilizzo nel settore bancario e finanziario. Attraverso algoritmi OATH Event-Based o Time-Based generano il codice OTP che viene richiesto all’utente per l’autenticazione a due fattori.

Sebbene per un certo periodo di tempo ci sia stata la tendenza a sostituire i token con le app, in particolare quando la legge ha imposto l’inserimento del tastierino numerico sul token, di recente sono tornati a rappresentare una interessante alternativa, grazie all’estrema sicurezza che garantiscono e al costo contenuto. Il sistema Challenge Response, in conformità con la direttiva PSD2, richiede l’inserimento sul tastierino numerico di un codice inviato dall’applicazione: solo dopo la convalida, il token genera a sua volta il codice OTP.

Di piccole dimensioni, dotati di buona leggibilità grazie all’utilizzo di uno schermo LCD ad alto contrasto, resistenti e con una durata della batteria molto elevata, questi dispositivi si presentano ancora oggi come un’ottima soluzione per l’autenticazione forte, anche grazie ai costi contenuti.

App e token software

M800 series

Negli ultimi anni, le app e i token software per l’autenticazione forte hanno avuto un apprezzamento sempre più ampio, grazie alla estrema comodità e ai costi contenuti. Grazie a questi strumenti, il proprio smartphone diventa un generatore di codici, assimilabile al token, con importanti ricadute sull’usabilità. Infatti, l’uso di queste app elimina la necessità di avere con sé un ulteriore dispositivo, come la display card o il token.

Le applicazioni per la generazione del codice sono conformi allo standard OATH: pertanto, possono essere utilizzate su qualsiasi sistema operativo, quali Android, iOS, Windows Phone, etc. e sono compatibili con i device più diffusi.

Grazie all’utilizzo della piattaforma OATH, sono garanzia di un’ottima sicurezza e godono del sistema antifrode, che rappresenta una efficace difesa dal phishing e dagli attacchi denominati Man in The Middle.

Authentication card NFC

AFC800

Le authentication card NFC rappresentano l’evoluzione dei sistemi di autenticazione forte, superando alcune criticità degli altri device.
Ad oggi questo tipo di dispositivo può essere considerata la soluzione più affidabile per quanto riguarda la sicurezza in vari servizi, in particolare in quelli di Internet Banking e per qualunque transazione on line. Si tratta di sistemi PSD2 compliant, conformi allo standard OATH per l’autenticazione OTP e per la firma delle transazioni internet.

Il suo punto di forza consiste nel fatto che sono delle card NFC esterne al dispositivo, le quali devono essere semplicemente avvicinate allo smartphone per autorizzare l’operazione. Ciò permette di proteggere le transazioni dagli attacchi malware che possono arrivare tramite la lettura di mail e di sms o tramite altre app presenti sul dispositivo.

La card, infatti, durante le fasi dell’autenticazione crea un canale indipendente che scollega la app che gestisce l’operazione dal sistema di autenticazione, bypassando eventuali tentativi di entrare nel sistema e agire in modo fraudolento. Dopodiché l’app riceverà dal server i codici per l’autorizzazione senza rischi di intromissioni esterne.

Fido in passwordless

Fast Identity Online

FIDO (Fast Identity Online) è uno standard di autenticazione rapido che si basa sui dati biometrici. Viene utilizzato per l’autenticazione a due o più fattori nel momento in cui viene richiesto l’inserimento di un dato biometrico, quale ad esempio l’impronta digitale.

Lo standard FIDO è un sistema aperto, basato sulla crittografia a chiave pubblica per l’autenticazione forte (PKI Public Key Infrastructure): a differenza dei prodotti gestiti con altri standard, non genera il codice OTP, perché il suo sistema di sicurezza abilita le chiavi crittografiche attraverso il riconoscimento biometrico della persona.

Oltre ad avere un livello di sicurezza molto elevato, si presenta particolarmente funzionale e pratico per l’utente che può così accedere con facilità ai propri account. Il vantaggio risiede inoltre nella velocità della procedura, che per l’utente avviene ad esempio con un semplice tocco sul device per far riconoscere la propria impronta digitale.