Secondo un sondaggio di Hootsuite il 47% delle aziende italiane ha almeno quattro profili social attivi e il 43% ne ha almeno uno (da 1 a 3). Oltre a ciò servizi cloud, di­spo­si­ti­vi mobili come smart­pho­ne e tablet sono da tempo integrati nell’attività la­vo­ra­ti­va quo­ti­dia­na. Questo significa in­nan­zi­tut­to un’infinità di password da me­mo­riz­za­re, in aggiunta a quelle già in mente per gli account privati di posta elet­tro­ni­ca e social media.

Non sorprende pertanto che il comune in­ter­nau­ta soffra di un grave caso di “stan­chez­za cronica da password” (password fatigue), una sindrome che si manifesta con il ricorrere a semplici sequenze di numeri come “12345” o con l’annotare password im­por­tan­ti su post-it attaccati allo schermo del computer. Gli effetti a lungo termine sono mancanza di pro­dut­ti­vi­tà e di sicurezza dei dati. La cura: il Single sign-on, in breve SSO. Ma cosa significa esat­ta­men­te questo termine ed è veramente sicuro questo popolare sistema di au­ten­ti­ca­zio­ne?

Il Single sign-on, la co­sid­det­ta “au­ten­ti­ca­zio­ne unica”, indica in in­for­ma­ti­ca un sistema di au­ten­ti­ca­zio­ne che si svolge pra­ti­ca­men­te sempre allo stesso modo:

1. L’utente effettua il login una volta sola sulla sua po­sta­zio­ne di lavoro.
2. In questo modo l’utente ottiene accesso a tutti i computer e servizi (compreso il cloud) per i quali è au­to­riz­za­to lo­cal­men­te finché rimane nella stessa po­sta­zio­ne.
3. Non appena l’utente si di­scon­net­te dalla sua po­sta­zio­ne, decadono tutti i diritti di accesso.

Ciò avviene dopo un periodo di tempo pre­sta­bi­li­to o quando l’utente esegue ma­nual­men­te un Single sign-out o sign-off.

L’SSO è pertanto un sistema di accesso per ap­pli­ca­zio­ni multiple associate tra loro, ma in­di­pen­den­ti l’una dall‘altra, a cui l’utente deve re­gi­strar­si una volta sola, invece di inserire i suoi codici di accesso in ogni software sin­go­lar­men­te. Grazie alla loro facilità d’uso i sistemi Single sign-on vengono impiegati sia in ambito privato (ap­pli­ca­zio­ni web e cloud privati) che in ambito pro­fes­sio­na­le (ap­pli­ca­zio­ni uti­liz­za­te all’interno dell’impresa e portali intranet).

Se un in­ter­nau­ta durante una sessione vuole ef­fet­tua­re il login su diversi servizi e ap­pli­ca­zio­ni, in genere deve inserire i suoi codici di accesso se­pa­ra­ta­men­te su ognuno di essi. Se invece si è re­gi­stra­to a un servizio Single sign-on, questa attività viene svolta da un software a monte che dispone di tutti i codici di accesso dell’utente e lo verifica au­to­ma­ti­ca­men­te verso tutti gli altri servizi senza il suo in­ter­ven­to. Viene uti­liz­za­ta una singola identità globale dell’utente (simile al pass di un vip), nota a tutte le ap­pli­ca­zio­ni in­te­res­sa­te e con­si­de­ra­ta af­fi­da­bi­le grazie alla re­pu­ta­zio­ne del servizio SSO.

Affinché la procedura Single sign-on funzioni senza problemi vengono uti­liz­za­ti diversi sistemi di au­ten­ti­ca­zio­ne e au­to­riz­za­zio­ne:

Di­ver­sa­men­te da OpenID, OAuth2 è uno standard di au­ten­ti­ca­zio­ne e di au­to­riz­za­zio­ne. La dif­fe­ren­za prin­ci­pa­le è che invece di au­ten­ti­car­si da sé su un sito web, l’utente delega un co­sid­det­to client che accede al sito web con un token dell’Identity Provider. Il vantaggio consiste nel fatto che l’utente non deve tra­smet­te­re i propri dati al ri­spet­ti­vo sito web.

Qui la metafora ap­pro­pria­ta è “hou­se­sit­ting”: se come pro­prie­ta­rio della casa (come utente) con­se­gna­te le chiavi di casa a un amico (il client), questi è au­to­riz­za­to a entrare in casa (il sito web). OAuth2 è impiegato per esempio quando si desidera importare degli amici dal proprio account Facebook a un altro servizio senza tra­sfe­ri­re i propri dati.

SAML è il più vecchio dei tre sistemi citati e serve come standard aperto per l’au­ten­ti­ca­zio­ne e l’au­to­riz­za­zio­ne in un sistema SSO. Anche in questo caso si dif­fe­ren­zia­no so­prat­tut­to tre parti: l’utente (de­no­mi­na­to principal), il sito web (de­no­mi­na­to service provider) e l’Identity Provider che effettua la verifica. Il fun­zio­na­men­to è molto simile a quello dell’OpenID, per cui la relativa metafora del pas­sa­por­to è fruibile anche in questo caso.

Il sito web con SAML fa comunque una richiesta di iden­ti­fi­ca­zio­ne attiva, che viene inviata all’Identity Provider sotto forma di messaggio XML e che fornisce dati sulle in­for­ma­zio­ni richieste. L’Identity Provider risponde con una co­sid­det­ta as­ser­zio­ne, che contiene le in­for­ma­zio­ni di au­ten­ti­ca­zio­ne e di au­to­riz­za­zio­ne richieste e specifici attributi come indirizzi e-mail e numeri di telefono dell’utente. SAML può pertanto essere definita anche come il rilascio di documenti go­ver­na­ti­vi personali su richiesta del paese di de­sti­na­zio­ne.

Nella prassi in­for­ma­ti­ca si dif­fe­ren­zia prin­ci­pal­men­te fra tre soluzioni per la rea­liz­za­zio­ne del sistema SSO:

Come sug­ge­ri­sce il nome, con questa soluzione SSO l’utente accede a un portale, quindi a un sistema in cui sono integrate diverse ap­pli­ca­zio­ni, processi e servizi. Se l’au­ten­ti­ca­zio­ne avviene con successo, il portale fornisce all’utente un iden­ti­fi­ca­ti­vo variabile (ad es. un cookie) con il quale ha accesso a tutte le funzioni ivi integrate. Un buon esempio al riguardo ce lo fornisce l’account di Google: una volta re­gi­stra­ti e loggati, si ha accesso immediato ad altri servizi dell’azienda in­for­ma­ti­ca come Play Store o Google Mail.

Anche con i ticket il si­gni­fi­ca­to è già nel nome: una rete di servizi tra loro noti co­sti­tui­sce il fulcro di questa soluzione SSO. Quando l’utente accede a uno di questi servizi gli viene assegnato un ticket virtuale di iden­ti­fi­ca­zio­ne nei confronti di tutti gli altri par­te­ci­pan­ti a questo “circolo della fiducia”. Ne sono un esempio il servizio di au­ten­ti­ca­zio­ne Kerberos e il co­sid­det­to Liberty Alliance Project.

Con l’ausilio del sistema SSO è possibile accedere a molti servizi e ap­pli­ca­zio­ni senza dover ef­fet­tua­re il login per tutti se­pa­ra­ta­men­te.

Per gli utenti significa in­nan­zi­tut­to non dover più me­mo­riz­za­re decine di password e anzi essere to­tal­men­te esonerati dalla re­spon­sa­bi­li­tà della loro gestione, motivo per cui i sistemi Single sign-on sono con­si­de­ra­ti anche un’al­ter­na­ti­va ai password manager. Grazie a questa comodità e al con­se­guen­te risparmio di tempo ri­scuo­to­no il consenso degli utenti sia in ambito privato che pro­fes­sio­na­le.

Le imprese che in­tro­du­co­no l’SSO in azienda si aspettano so­prat­tut­to più pro­dut­ti­vi­tà dai propri di­pen­den­ti e meno richieste help desk per password di­men­ti­ca­te. L’IT ha quindi meno carico di lavoro e un costo più basso. Allo stesso tempo diventa più semplice per gli spe­cia­li­sti IT assegnare gli account ai nuovi di­pen­den­ti o rimuovere gli accessi di ex impiegati.

Si dice anche che procedure ap­pro­pria­te com­por­ti­no notevoli vantaggi per la sicurezza interna dei dati. Perché se i di­pen­den­ti devono me­mo­riz­za­re una sola password, questa potrà essere molto più complessa. In questo modo si evitano errori tipici nella scelta della password, spesso alla base di attacchi hacker riusciti. Inoltre dato che i codici di accesso devono essere inseriti in un’unica in­ter­fac­cia, si riduce la su­per­fi­cie d’attacco per il phishing e gli attacchi man-in-the-browser. In tali cir­co­stan­ze l’impresa può per­met­ter­si di con­cen­tra­re su un singolo aspetto tutte le misure di sicurezza come i cer­ti­fi­ca­ti SSL.

Sul lato opposto un de­ter­mi­na­to costo di im­ple­men­ta­zio­ne e le carenze in­trin­se­che del Single sign-on: in linea generale è possibile uti­liz­za­re soltanto quei servizi che sono sup­por­ta­ti dal ri­spet­ti­vo sistema SSO. Se il sistema SSO smette di fun­zio­na­re, vien meno anche l’accesso alle ap­pli­ca­zio­ni ivi integrate. Questo avviene anche quando per es. sono implicati gli account dei social media, che vengono bloccati dalla rete nelle bi­blio­te­che e nelle isti­tu­zio­ni sco­la­sti­che, in de­ter­mi­na­ti posti di lavoro, per motivi di pro­du­zio­ne, o in paesi con una censura attiva (per es. la Re­pub­bli­ca Popolare Cinese).

È da con­si­de­ra­re con cautela anche la decantata sicurezza del Single sign-on: se un utente lascia la sua po­sta­zio­ne, teo­ri­ca­men­te un terzo potrebbe sfruttare il periodo di tempo rimasto fino al Single sign-out au­to­ma­ti­co per con­ti­nua­re a uti­liz­za­re gli accessi già accordati. È un problema anche quando il password master per l’in­ter­fac­cia SSO finisce in mani sbagliate, poiché l’ag­gres­so­re ha immediato accesso a tutti i servizi associati. Anche i migliori sistemi SSO, no­no­stan­te la loro buona fama, non sono al riparo dal phishing.

Suscita pre­oc­cu­pa­zio­ne in molti anche la normativa sulla privacy attuale, nella quale sono re­go­la­men­ta­te a livello europeo, dal 25 maggio 2018, le di­spo­si­zio­ni in materia di pro­te­zio­ne dei dati personali. In ogni caso è ne­ces­sa­rio ottenere dagli utenti un esplicito consenso informato per im­ple­men­ta­re e attuare il Single sign-on a norma di legge. Per questo motivo uno dei problemi più im­por­tan­ti per il momento è la massiccia raccolta di dati da parte di società Internet come Google e Facebook, che rende le fughe di dati una vera ca­ta­stro­fe per la privacy e i dati interni dell’azienda.

In con­si­de­ra­zio­ne di questi rischi evidenti è ne­ces­sa­rio prestare par­ti­co­la­re at­ten­zio­ne alla sicurezza dei dati salvati sul server. Sistemi Single sign-on sicuri do­vreb­be­ro pertanto, nel migliore dei casi, essere ul­te­rior­men­te po­ten­zia­ti con validi mezzi di au­ten­ti­ca­zio­ne a due fattori, tra questi figurano in­di­ca­ti­va­men­te le smart card e i token in grado di generare TAN.

È possibile il­lu­stra­re vantaggi e svantaggi di Single sign-on at­tra­ver­so Facebook. La piat­ta­for­ma di social media consente all’utente di re­gi­strar­si e accedere ad altri siti web con l’ausilio del suo account Facebook. A tale scopo è integrato un co­sid­det­to plug-in social sotto forma del pulsante “Accedi con Facebook” sulla relativa pagina di re­gi­stra­zio­ne e login. Per l’utente è comodo ma ha lo svan­tag­gio che vengono raccolti più dati personali su Facebook e di con­se­guen­za vengono collegati più servizi e ap­pli­ca­zio­ni all’account Facebook. Un solo attacco in­for­ma­ti­co riuscito è quindi suf­fi­cien­te per avere accesso a tutti i dati.

Facebook si prende inoltre la libertà di tra­smet­te­re ai servizi in­te­res­sa­ti quei dati, che in realtà erano destinati esclu­si­va­men­te alla piat­ta­for­ma di social media. Sono compresi i dati pubblici come il nome e l’immagine del profilo, ma anche quelli non pubblici come l’età, il domicilio o la si­tua­zio­ne sen­ti­men­ta­le di una persona. È vero che Facebook comunica con grande tra­spa­ren­za i dati che saranno trasmessi uti­liz­zan­do de­ter­mi­na­ti servizi, ma spesso l’utente non ha altra scelta che ac­con­sen­ti­re all’inoltro.

D’altro canto Facebook riceve a sua volta dati dai ri­spet­ti­vi servizi associati, grazie ai quali la piat­ta­for­ma può com­ple­ta­re ul­te­rior­men­te i profili dei suoi utenti e in­di­riz­za­re così una pub­bli­ci­tà per­so­na­liz­za­ta ancor più mirata. Queste in­for­ma­zio­ni su Facebook sono tra­sfe­ri­bi­li in una certa misura ad altri fornitori di servizi online, come Google o Amazon.

A causa di questa pro­ble­ma­ti­ca molte imprese tedesche (tra cui Allianz, Deutsche Bank, Telekom e Axel Springer) si sono associate e hanno lanciato nell’aprile 2018 un prodotto con­cor­ren­zia­le per il mercato europeo: Verimi. Il nuovo Identity Provider SSO mira a fornire un più elevato livello di pro­te­zio­ne dati e tra­spa­ren­za e sarà uti­liz­za­to a lungo termine anche per il settore bancario e l’am­mi­ni­stra­zio­ne. Ne co­sti­tui­sce la base, la normativa sulla privacy e il sal­va­tag­gio criptato dei dati personali in centri di calcolo esclu­si­va­men­te europei. Fino a che punto il progetto prevarrà dipende tuttavia dal numero di partner che in futuro saranno integrati in siti web e app.

Eventuali ricerche su Internet sul Single sign-on ri­ve­le­ran­no pochi aspetti negativi su questo comodo sistema di au­ten­ti­ca­zio­ne multipla. Anzi da anni è con­si­de­ra­to una vera e propria ri­ve­la­zio­ne per la po­sta­zio­ne di lavoro digitale per quanto riguarda comfort e sicurezza dei dati. Lo sta­tu­ni­ten­se Cloud-Access-Security-Broker (CASB) Bitglass elogia cer­ta­men­te l’impiego intensivo in tutto il mondo dei servizi cloud nelle imprese, ma con­tem­po­ra­nea­men­te critica l’uso so­stan­zial­men­te limitato del sistema Single sign-on. A suo parere non è possibile sfruttare com­ple­ta­men­te il po­ten­zia­le della di­gi­ta­liz­za­zio­ne at­tra­ver­so l’utilizzo di soluzioni di accesso a servizi ed ap­pli­ca­zio­ni, in­vo­lon­ta­ria­men­te con­cor­ren­zia­li.