Che cos’è un token di sicurezza?
Un token di sicurezza è un dispositivo fisico o digitale che fornisce l’autenticazione a due fattori (2FA) per un utente per dimostrare la propria identità in un processo di accesso. Viene in genere utilizzato come forma di identificazione per l’accesso fisico o come metodo di accesso al sistema informatico. Il token può essere un elemento o una scheda che visualizza o contiene informazioni di sicurezza su un utente e può essere verificato dal sistema.
I token di sicurezza possono essere utilizzati al posto o in aggiunta alle password tradizionali. Sono più comunemente utilizzati per accedere alle reti di computer, ma possono anche garantire l’accesso fisico agli edifici e fungere da firme elettroniche per i documenti.
Come funzionano i token di sicurezza?
Un token di sicurezza fornisce l’autenticazione per l’accesso a un sistema tramite qualsiasi dispositivo che genera una password. Questo può includere una smart card, una chiave bus seriale universale, un dispositivo mobile o una carta di identificazione a radiofrequenza. Il dispositivo genera una nuova password ogni volta che viene utilizzato, quindi un token di sicurezza può essere utilizzato per accedere a un computer o una rete privata virtuale digitando la password generata dal token nel prompt.
La tecnologia token di sicurezza si basa sull’uso di un dispositivo che genera un numero casuale, lo crittografa e lo invia a un server con le informazioni di autenticazione dell’utente. Il server invia quindi una risposta crittografata che può essere decifrata solo dal dispositivo. Il dispositivo viene riutilizzato per ogni autenticazione, quindi il server non deve memorizzare alcuna informazione di nome utente o password, con l’intento di rendere il sistema meno vulnerabile all’hacking.
Tipi di token di sicurezza
Diversi tipi di token di sicurezza vengono utilizzati per proteggere una varietà di risorse e applicazioni. Questi includono quanto segue:
- Password monouso (OTP). Una forma di token di sicurezza digitale, gli OTP sono validi per una sola sessione di accesso, il che significa che vengono utilizzati una volta e mai più. Dopo l’utilizzo iniziale, al server di autenticazione viene notificato che l’OTP non deve essere riutilizzato. Gli OTP vengono generalmente generati utilizzando un algoritmo crittografico da una chiave segreta condivisa composta da due elementi di dati univoci e casuali. Un elemento è un identificatore di sessione casuale e l’altro è una chiave segreta.
- Token disconnessi. Questa è una forma di token di sicurezza digitale che non si connette fisicamente o logicamente a un computer. Il dispositivo può generare un OTP o altre credenziali. Un’applicazione desktop che invia un messaggio di testo a un cellulare, che l’utente deve inserire nel login, utilizza un token disconnesso.
- Token collegati. Un token connesso è un oggetto fisico che si collega direttamente a un computer o sensore. Il dispositivo legge il token connesso e concede o nega l’accesso. YubiKey è un esempio di token connesso.
- Token senza contatto. I token contactless formano una connessione logica con un computer senza richiedere una connessione fisica. Questi token si connettono al sistema in modalità wireless e concedono o negano l’accesso tramite tale connessione. Ad esempio, il Bluetooth viene spesso utilizzato come metodo per stabilire una connessione con un token contactless.
- Token software Single sign-on (SSO). I token software SSO memorizzano informazioni digitali, come un nome utente o una password. Consentono alle persone che utilizzano più sistemi informatici e più servizi di rete di accedere a ciascun sistema senza dover ricordare più nomi utente e password.
- Gettoni programmabili. Un token di sicurezza programmabile genera ripetutamente un codice univoco valido per un intervallo di tempo specificato, spesso 30 secondi, per fornire l’accesso all’utente. Ad esempio, Amazon Web Services Security Token Service è un’applicazione che genera codici 2FA necessari agli amministratori delle tecnologie informatiche per accedere ad alcune risorse cloud AWS.
Vantaggi dei token di sicurezza
Se è vero che le password e gli ID utente sono ancora la forma di autenticazione più utilizzata, i token di sicurezza sono un’opzione più sicura per proteggere reti e sistemi digitali. Il problema con le password e gli ID utente è che non sono sempre sicuri. Gli attori delle minacce continuano a perfezionare metodi e strumenti per il cracking delle password, rendendo le password vulnerabili. I dati della password possono anche essere accessibili o rubati in una violazione dei dati. Inoltre, le password sono spesso facili da indovinare, di solito perché si basano su informazioni personali facilmente individuabili.
I token di sicurezza, d’altra parte, utilizzano un identificatore fisico o digitale univoco per l’utente. La maggior parte delle forme sono relativamente facili da usare e convenienti.
Vulnerabilità dei token di sicurezza
Mentre i token di sicurezza offrono una varietà di vantaggi per utenti e organizzazioni, possono anche introdurre svantaggi. Lo svantaggio principale dei token di sicurezza fisica è che sono soggetti a perdita e furto. Ad esempio, un token di sicurezza potrebbe essere perso durante il viaggio o rubato da una parte non autorizzata. Se un token di sicurezza viene perso o rubato, deve essere disattivato e sostituito. Nel frattempo, un utente non autorizzato in possesso del token potrebbe essere in grado di accedere a informazioni e sistemi privilegiati.