Il compromesso tra accessibilità dei dati e loro sicurezza è sicuramente uno dei problemi attualmente più sentiti da parte dell’IT.
Oramai quasi tutte le PMI operanti nel mondo dei servizi hanno un loro database server con un apparecchio di networking che permette di accedere ai dati sia da rete locale che, eventualmente, da remoto. Per ottenere questi risultati è possibile utilizzare differenti sistemi che presentano caratteristiche, costi, e performance differenti.
In questo articolo metteremo a confronto tre di questi metodi: l’utilizzo di VPN con autenticazione di nome utente e password, l’utilizzo delle smart card e l’utilizzo di un certificato elettronico o firma digitale.
L’utilizzo delle VPN (virtual private network) è forse il metodo più diffuso nei piccoli contesti. Si tratta di connessioni sicure (private per l’appunto) che vengono instaurate attraverso l’utilizzo di appositi client, sia con che senza autenticazione del client remoto. Permettono un passaggio di dati ed una visualizzazione di contenuti criptata nettamente più sicura rispetto a passaggi in chiaro, quali, per esempio, su server FTP o tramite autenticazione semplice (come quella di Windows per intenderci).
Il motivo della loro diffusione è dovuto in gran parte al fatto che esistono numerosi client e server open ed il loro costo, una volta posseduto un apparecchio di networking compatibile, è alquanto irrisorio.
L’utilizzo delle smart-card viene utilizzato a livello di pubblica amministrazione e dei grossi contesti: se l’algoritmo di criptazione della card è sufficientemente robusto il livello di sicurezza è davvero eccellente e l’unico difetto in un simile tipo di autenticazione sta nel dover possedere per ogni client un lettore di smart card (anche se oramai hanno raggiunto prezzi davvero accessibili).
Il vero punto debole delle smart-card è nel costo delle licenze dei software e degli algoritmi di criptazione, oltre alla necessità di dedicare una macchina alla gestione delle smart card (accessi, creazione, etc…).
I certificati, infine, sono un metodo di protezione dei dati relativamente nuovo (hanno preso veramente piede da 5-7 anni) che permettono di garantire l’identità del client attraverso un complesso sistema di algoritmi che spesso opera a 64-128 bit.
Come per le smart card il livello di sicurezza è eccellente, ma il costo di un certificato è abbastanza alto: occorre richiederne uno ad un ente di certificazione oltre al fatto che l’implementazione delle firme digitali sulla propria applicazione potrebbe non essere semplice (soprattutto in alcuni ambienti UNIX).
Il mio personale consiglio è di utilizzare una buona VPN con autenticazione dell’utente accettando il compromesso fra sicurezza-costo. Chiaramente per risk-data è sempre possibile ricorrere agli altri due metodi di autenticazione: dipende se il gioco vale la candela.