Un’analisi dei principali protocolli di autenticazione corredata di un caso di studio

L’ISO/IEC 27000 definisce l’autenticazione come “un processo utilizzato per confer- mare che una caratteristica dichiarata di un’entità sia effettivamente corretta”. L’autenticazione consiste, dunque, nel processo di verifica della rivendicazione di una determinata proprietà.
Il progetto intende fornire una panoramica dei principali protocolli di autenticazione, analizzandone le debolezze ed i punti di forza; come caso di studio di quanto trattato, illustra l’esecuzione di un protocollo di autenticazione basato su password utilizzato da una web application sviluppata; tale protocollo viene eseguito dai partecipanti in scenari differenti che dipendono dalla configurazione dei sistemi interessati; per ciascun scenario viene effettuata un’autovalutazione della sicurezza dei sistemi, che partecipano al protocollo, sotto forma di vulnerability assessment, mediante l’utilizzo di un sistema terzo con il ruolo di avversario, che effettua attacchi ai danni dei partecipanti allo scopo di individuare le credenziali di autenticazione.
Il progetto è strutturato secondo il seguente schema:

• presentazione generale con premesse concettuali e nozioni di base sui protocolli crittografici, la sicurezza computazionale, i protocolli di autenticazione, le tipologie di autenticazione, gli attacchi a tali protocolli e le convenzioni di comportamento dei partecipanti nell’esecuzione;
• trattazione dei principali protocolli esaminati, con particolare riferimento a quelli basati su password, su challenge-response ed a conoscenza zero, comprensiva per ciascun protocollo della descrizione delle caratteristiche, debolezze e punti di forza;
• illustrazione del caso di studio relativo alla web application sviluppata, che utilizza un protocollo di autenticazione basato su password, comprensivo dei dettagli di implementazione di tale applicazione e della virtualizzazione applicata ai sistemi realizzati che interagiscono con la stessa nell’esecuzione del protocollo, dell’autovalutazione della sicurezza di tali sistemi e di un approfondimento sull’implementazione del SSL/TLS e di ulteriori strategie di remediation alle debolezze del protocollo impiegato.