Identificazione, autenticazione, autorizzazione: qual è la differenza?

Ogni giorno ci capita di essere sottoposti ad autenticazione, autenticazione e autorizzazione da parte di vari sistemi. Eppure, molti confondono il significato di queste parole, spesso usando i termini identificazione oppure di autorizzazione quando, in realtà, si parla di autenticazione.

Non è un grosso problema, purché si tratti solo di una normale conversazione ed entrambe le parti capiscano di cosa si sta parlando. È sempre meglio conoscere il significato delle parole utilizzate, sebbene prima o poi potreste imbattervi in un geek che vi farà impazzire con i suoi chiarimenti, che si tratti di autorizzazione o di autenticazione e così via.

Quindi, cosa significano i termini identificazione, autenticazione e autorizzazione, e in che modo queste operazioni si distinguono l’una dall’altra? Per prima cosa, analizziamo le definizioni di ognuna su Wikipedia:

• L’identificazione è “l’atto di indicare l’identità di una persona o di una cosa”;
• L’autenticazione è “l’atto di confermare la verità di un attributo di una singola parte di dato o di una informazione” (confrontando, per esempio, la password inserita con quella memorizzata nel database);
• L’autorizzazione è “la funzione che specifica i privilegi di accesso alle risorse legate alla sicurezza delle informazioni”.

È facile comprendere perché alcune persone, che non hanno molta familiarità con questi concetti, possano confonderli.

Utilizziamo i procioni per spiegare i concetti di identificazione, autenticazione e autorizzazione

Per una maggiore semplicità, facciamo un esempio. Supponiamo che un utente voglia accedere al proprio account Google. Google è adatto al nostro caso perché il suo processo di login è suddiviso in diverse fasi piuttosto definite. Ecco come funziona su Google:

• In primo luogo, il sistema richiede un login. L’utente ne indica uno e il sistema lo riconosce come reale. Questa è un’identificazione;
• Google richiede poi una password. L’utente la fornisce e, se la password inserita corrisponde a quella memorizzata, allora il sistema afferma che l’utente sembra essere reale. Questa è l’autenticazione;
• Nella maggior parte dei casi, Google chiede poi un codice di verifica unico da un messaggio di testo o da un’applicazione specifica. Se l’utente inserisce correttamente anche quello, il sistema riconoscerà finalmente che si tratta del vero proprietario dell’account. Si tratta della autenticazione a due fattori;
• Infine, il sistema dà all’utente il diritto di leggere i messaggi nella sua casella di posta in arrivo e così via. Questa è un’autorizzazione.

L’autenticazione senza previa identificazione non ha senso: sarebbe inutile iniziare a controllare prima che il sistema sappia qual è l’identità da verificare. Bisogna prima presentarsi.

Sulla stessa linea, l’identificazione senza autenticazione sarebbe sciocca. Chiunque potrebbe inserire un qualsiasi login esistente nel database, il sistema ha bisogno della password. Ma qualcuno potrebbe dare una sbirciatina alla password o semplicemente indovinare. Meglio richiedere un’ulteriore prova che solo l’utente effettivo può avere, come un codice di verifica unico.

Tuttavia, l’autorizzazione senza identificazione, per non parlare dell’autenticazione, è del tutto possibile. Ad esempio, è possibile fornire l’accesso pubblico al proprio documento su Google Drive, in modo che sia disponibile a chiunque. In questo caso potreste leggere un avviso che dice che il vostro documento viene visualizzato da un “procione anonimo”. Anche se il procione è anonimo, il sistema lo ha autorizzato, cioè gli ha concesso il diritto di visualizzare il documento.

Tuttavia, se aveste dato il diritto di lettura solo ad alcuni utenti, il procione avrebbe dovuto identificarsi (fornendo il suo login), poi superare la fase di autenticazione (fornendo la password e un codice di verifica unico) per ottenere il diritto di leggere il documento (autorizzazione).

Quando si tratta di leggere il contenuto della vostra casella di posta, Google non autorizzerà mai dei procioni anonimi ad accedervi. I procioni dovrebbero presentarsi in quanto voi, con i vostro login e le vostre password e a quel punto non sarebbero più dei procioni anonimi: Google li identificherebbe come determinati utenti, cioè voi.

Quindi, ora sapete in che modo l’identificazione si differenzia dall’autenticazione e dall’autorizzazione. Un altro punto importante: l’autenticazione è forse il processo chiave in termini di sicurezza dell’account. Se utilizzate una password debole per l’autenticazione, un procione potrebbe hackerare il vostro account. Pertanto:

• Create password robuste e uniche per tutti i vostri account;
• Se avete problemi a ricordare le vostre password, un password manager vi coprirà le spalle. Può essere d’aiuto anche per la generazione di password;
• Attivate l’autenticazione a due fattori, con codici di verifica unici via messaggio di testo o un’applicazione di autenticazione, per ogni servizio che la supporti. Altrimenti, qualche procione anonimo che ha messo le zampe sulle vostre password sarà in grado di leggere la vostra corrispondenza privata o di fare qualcosa di ancora più sgradevole.