RSA Authentication Decision Tree: come scegliere la soluzione di ...

White paper 

RSA Authentication Decision Tree: 

come scegliere la soluzione di 

autenticazione più appropriata

“Qual è la soluzione di autenticazione migliore per 

la tua azienda?” 

La domanda circola con frequenza fra le 

organizzazioni di tutto il mondo. Di fronte alla 

grande quantità di prodotti per la sicurezza, nuovi o 

emergenti, salutati di volta in volta dagli analisti 

come la soluzione realmente risolutiva, è 

fondamentale fare chiarezza sulla varietà di opzioni 

di autenticazione disponibili sul mercato. Per 

arrivare a individuare la soluzione che garantirà 

risultati ottimali, le organizzazioni devono 

innanzitutto considerare le loro esigenze in fatto di 

autenticazione degli utenti, le minacce a cui è 

potenzialmente esposto il loro business, gli obiettivi 

aziendali e le normative che regolano il loro settore. 

Perché scegliere l'autenticazione forte 

La protezione dell'accesso alle informazioni e la verifica delle 

identità degli utenti che richiedono tale accesso sono 

elementi chiave di qualsiasi iniziativa di sicurezza. Se, in 

precedenza, era soprattutto l'esigenza di garantire accesso 

remoto sicuro alle informazioni a favorire l'adozione di 

tecnologie di autenticazione degli utenti, una serie di ulteriori 

motivi alimenta oggi una crescente domanda di 

autenticazione forte aziendale. 

Passaggio di nuove applicazioni aziendali al sistema 

online. Avendo ravvisato nuove opportunità di business e di 

riduzione dei costi con l’accesso online alle informazioni 

aziendali, molte organizzazioni hanno cominciato a offrire 

applicazioni di business Web-based. 

Incremento della richiesta di accesso aziendale da remoto. 

La natura globale del business e la mobilità della forza lavoro 

hanno spinto molte organizzazioni a fornire accesso 

ininterrotto da qualsiasi luogo per stimolare la produttività 

dei dipendenti. 

Privilegi di accesso a nuove comunità di utenti. I rapporti 

con collaboratori esterni, partner e fornitori esigono oggi 

accesso on-demand a informazioni proprietarie quali 

previsioni di vendita, dati sulla concorrenza, tabelle dei 

prezzi, inventario e dati sui clienti. 

2 White paper RSA 

RSA ha sviluppato Authentication Decision Tree, uno 

strumento completo che aiuta le aziende a 

comprendere, valutare e selezionare la soluzione di 

autenticazione più appropriata alle esigenze degli 

utenti e del business. RSA Authentication Decision 

Tree fornisce un framework che permette di 

restringere il panorama delle soluzioni di 

autenticazione in base a cinque fattori chiave. 

Questo white paper offre una panoramica dei cinque 

fattori chiave che dovrebbero essere considerati per 

l’individuazione della soluzione di autenticazione 

più appropriata ed equilibrata considerando il 

rischio, il costo e la praticità d'utilizzo. 

Diffusione dei portali per l’acenso clienti. Aumenta la 

domanda di accesso in tempo reale con possibilità da parte 

dei clienti di gestire online i propri account. 

Conformità normativa. Nel corso degli ultimi anni, si sono 

susseguiti interventi normativi che impongono alle 

organizzazioni di adottare misure idonee a impedire l'accesso 

non autorizzato alle informazioni. 

Minacce sofisticate. A seconda dell'utente e della natura 

delle informazioni, esistono varie minacce e rischi la cui 

prevenzione richiede l'adozione di sistemi di autenticazione 

forte. Per gli utenti aziendali, le organizzazioni devono fornire 

l'autenticazione forte per proteggersi dal rischio di accesso 

non autorizzato alle informazioni critiche e contrastare quello 

di minacce interne. Per i clienti, le organizzazioni devono 

fornire misure di protezione proattiva contro minacce quali 

phishing, Trojan horse e altre forme di malware. 

Lo stato attuale dell'autenticazione utente 

Nonostante l'autenticazione basata solo su password sia 

ampiamente riconosciuta come insufficiente a garantire la 

sicurezza, l'utilizzo di una semplice password come mezzo 

per verificare le identità degli utenti rimane dominante. 

Tuttavia questo metodo di autenticazione, un tempo 

considerato sostanzialmente a costo zero, è diventato 

progressivamente più dispendioso in termini di costi 

continuativi di gestione e di supporto. Stando ai dati raccolti 

da Forrester Research, il costo dell’help desk relativo 

all'intervento per una singola reimpostazione di password è 

di circa 55 euro.

A complicare la scelta della migliore strategia di 

autenticazione forte, continuano ad affacciarsi sul mercato 

sempre nuovi metodi di autenticazione. Se, nell'ambiente 

aziendale, gli autenticatori hardware continuano a 

rappresentare il metodo dominante per la protezione delle 

risorse societarie, la mobilità dei dipendenti e la diffusione 

dei cellulari e dei PDA hanno generato un aumento della 

domanda di autenticatori software. Nei portali orientati ai 

consumatori, l'autenticazione risk-based e quella knowledgebased 

sono diventati meccanismi di sicurezza comuni, grazie 

alla facilità d'uso e alla scalabilità a basi utenti molto estese. 

Di fronte alla profusione di soluzioni di autenticazione 

disponibili sul mercato, le organizzazioni hanno difficoltà a 

definire una strategia di autenticazione adeguata. Per molte 

di esse è peraltro possibile selezionare più opzioni di 

autenticazione, in base a fattori quali la base utenti, il valore 

delle informazioni da proteggere, la portabilità e l'esperienza 

utente. RSA ha sviluppato Authentication Decision Tree 

proprio allo scopo di aiutare le organizzazioni a compiere la 

scelta migliore, valutando obiettivamente le alternative e 

allineando le esigenze degli utenti con quelle di business. 

Fattori chiave da considerare per la definizione di 

una strategia di autenticazione 

Cinque sono i fattori chiave da considerare per definire una 

strategia di autenticazione adeguata: 

– Il valore delle informazioni da proteggere 

– La forza dell'autenticazione utente da implementare 

– L’utilizzo pianificato 

– Le esigenze degli utenti 

– L’ambiente tecnico 

Il valore delle informazioni da proteggere 

Il primo fattore da considerare è il valore delle informazioni 

da proteggere e il “costo” dell'accesso non autorizzato ad 

esse. Le informazioni aziendali proprietarie, i dati relativi ai 

conti bancari e alle carte di credito, le cartelle sanitarie o le 

Informazioni personali identificabili (PII) sono tutti tipi di 

informazioni che possono essere considerate di valore 

elevato. L'accesso non autorizzato a tali informazioni 

potrebbe essere costoso (si pensi a una banca che debba 

farsi carico dei costi di trasferimento di fondi dei clienti non 

autorizzati) e dannoso per il brand e la reputazione 

dell'azienda. Più alto è il valore delle informazioni, maggiore 

è il rischio corso dall'organizzazione in caso di accesso ai 

dati da parte di un utente non autorizzato e più forte è il tipo 

di autenticazione richiesto per proteggerle. 

La forza dell'autenticazione utente da implementare 

L'esame della base utenti e delle informazioni cui questa può 

accedere può aiutare le organizzazioni a determinare il livello 

di autenticazione da applicare. Ad esempio, le organizzazioni 

non possono imporre l'autenticazione ai propri clienti, la 

scelta della soluzione dovrebbe essere improntata alla 

praticità e alla disponibilità all'adozione da parte dei clienti 

stessi. Nel caso dei dipendenti e dei partner, invece, le 

organizzazioni hanno più controllo sui tipi di autenticazione 

da implementare e saranno più propense pertanto a 

considerare caratteristiche quali la portabilità, il Total Cost of 

Ownership (TCO) e la gestibilità complessiva. 

Utilizzo pianificato 

Quando le organizzazioni implementano una soluzione di 

autenticazione, gli obiettivi da rispettare sono in genere 

molteplici. In altri termini, a seconda dell'utente e del tipo di 

attività eseguite, un'organizzazione potrebbe ravvisare la 

necessità di aggiungere ulteriori livelli di autenticazione alla 

semplice verifica delle identità. Ad esempio, un istituto 

finanziario che intenda diminuire le perdite per frodi 

potrebbe implementare una soluzione di monitoraggio delle 

transazioni per controllare i trasferimenti di denaro a rischio 

elevato. Un altro caso da considerare è rappresentato dagli 

utenti aziendali. Un'organizzazione con gruppi di utenti che 

utilizzano e scambiano informazioni altamente riservate 

quali dati sul personale, di retribuzione o finanziari potrebbe 

richiedere una soluzione di autenticazione che supporti la 

crittografia dei file e della posta elettronica. 

Le esigenze degli utenti 

Quando si distribuisce una soluzione di autenticazione ad 

una base utenti, vi sono numerosi fattori da considerare a 

seconda della tipologia stessa di tale bacino di utenza. Dal 

punto di vista dell'utente, le organizzazioni devono tenere 

conto di elementi quali la facilità di utilizzo, la disponibilità 

all'adozione e le informazioni a cui l'utente dovrà accedere. 

Dal punto di vista dell'organizzazione stessa, si devono 

tenere conto di altri fattori, quali il Total Cost of Ownership 

(TCO), le esigenze di formazione, la scalabilità e la mobilità 

delle soluzioni. 

Ambiente tecnico 

Altro elemento importante è, infine, l'ambiente tecnico in cui 

la soluzione verrà distribuita, essenziale per stabilire, ad 

esempio, il livello di forza dell'autenticazione da applicare. In 

un ambiente in cui i desktop sono maggiormente controllati e 

il software antivirus è costantemente aggiornato, i requisiti di 

sicurezza possono essere meno rigorosi di quelli di scenari in 

cui l'ambiente non è soggetto allo stesso livello di controllo e 

una larga fetta della base utenti accede alla rete da varie 

parti del mondo. 

White paper RSA 

3

Un altro aspetto tecnico da considerare è la varietà dei 

dispositivi utilizzati dagli utenti per l'accesso. Tanto per le 

applicazioni aziendali quanto per quelle destinate ai clienti, 

la base utenti accederà probabilmente alle informazioni da 

dispositivi che vanno dai laptop e dai desktop ai PDA, ai 

cellulari e agli Internet point. I tipi di dispositivi utilizzati per 

accedere costituiscono un elemento importante per 

determinare i fattori di autenticazione offerti agli utenti. 

RSA Authentication Decision Tree 

Alla luce della grande quantità di nuovi metodi e tecnologie 

di autenticazione oggi disponibili, del valore crescente delle 

informazioni, delle nuove comunità di utenti che richiedono 

accesso alle reti e alle applicazioni, della proliferazione delle 

minacce avanzate e di un ambiente normativo complesso, le 

organizzazioni sono sollecitate a rivalutare la strategia di 

autenticazione esistente. 

La molteplicità delle soluzioni di autenticazione da valutare 

e i favori accordati dal mercato ora ad una, ora all'altra 

tecnologia di autenticazione, complicano la valutazione da 

parte delle organizzazioni. Le soluzioni biometriche, ad 

esempio, godono di un'attenzione mediatica eccessiva 

rispetto alla loro reale diffusione sul mercato. Queste 

soluzioni richiedono lettori costosi e complessi e risultano 

pertanto poco pratiche per l'accesso mobile o remoto o per 

l'adozione di massa. 

RSA Authentication Decision Tree è stato studiato per aiutare 

le organizzazioni a confrontare la rispondenza delle 

tecnologie di autenticazione disponibili sul mercato con le 

esigenze dei propri utenti e del business favorendo un 

processo decisionale semplificato. Mancando ancora una 

soluzione universalmente valida, in grado di rispondere alle 

esigenze di qualsiasi azienda e alla domanda di sicurezza di 

qualsiasi utente e scenario, RSA Authentication Decision Tree 

può essere un utile ausilio per selezionare la soluzione o la 

combinazione di soluzioni più appropriata ed equilibrata per 

rischio, costo e praticità d'utilizzo. 

4 


Come utilizzare RSA Authentication Decision Tree 

Per determinare la o le soluzioni più adatte a 

un'organizzazione, questo strumento considera i seguenti 

criteri: 

– Controllo sull'ambiente utente 

– Metodi di accesso da utilizzare 

– Esigenza di accesso da qualsiasi luogo e in qualsiasi 

momento 

– Esigenza di crittografia dei dischi, dei file o della posta 

elettronica 

– Prevenzione dalle frodi 

Controllo sull'ambiente utente 

Il controllo sull'ambiente utente è essenziale per determinare 

il metodo di autenticazione appropriato. Tra i fattori da 

considerare vi sono la possibilità o meno per l'organizzazione 

di installare il software nel sistema in uso dall’utente e di 

decidere il sistema operativo che l'utente dovrà utilizzare. 

Perché è così importante? Perché non tutte le soluzioni di 

autenticazione garantiscono la compatibilità con qualsiasi 

sistema operativo. In un azienda, l'organizzazione ha il 

controllo diretto sui sistemi operativi installati nei dispositivi 

degli utenti, mentre non ne ha alcuno in quelli degli utenti 

esterni come i clienti e i partner. Pertanto, i metodi di 

autenticazioni da offrire a queste due comunità di utenti 

potrebbero essere differenti. 

Metodi di accesso da utilizzare 

I metodi di accesso sono un elemento estremamente 

importante per la determinazione della strategia di 

autenticazione. Alcuni metodi di autenticazione sono 

applicabili solo all'accesso alle applicazioni Web, mentre altri 

possono essere impiegati per autenticare l'accesso a varie 

applicazioni non basate su Web. Pertanto, la scelta dipenderà 

da una valutazione del tipo utente, dei diritti di accesso di 

cui dispone e dell'utilizzo previsto. 

Il controllo dell'ambiente utente è 

essenziale per determinare il metodo 

di autenticazione appropriato.

Esigenza di accesso da qualsiasi luogo e in qualsiasi 

momento 

La natura globale del business e la crescente mobilità dei 

dipendenti hanno generato la domanda di accesso 

ininterrotto da qualsiasi luogo. Consentire agli utenti di 

accedere in modo sicuro alle informazioni è cruciale per 

garantire la continuità del business. Offrire questa opzione ai 

dipendenti e ai partner è fondamentale per supportarne la 

produttività; garantirla ai clienti è importante se si vuole 

alimentarne la fiducia. Questi i fattori da prendere in 

considerazione: 

– È necessario consentire agli utenti di accedere da 

postazioni remote variabili? 

– È necessario consentire agli utenti di accedere da sistemi 

sconosciuti quali Internet point, reti di hotel o postazioni 

condivise? 

– È necessario consentire agli utenti di accedere da 

dispositivi eterogenei quali PDA e cellulari? 

Crittografia dei dischi, dei file o della posta elettronica 

Nel valutare la strategia di autenticazione, le organizzazioni 

dovrebbero prendere in considerazione le altre finalità 

aziendali che il metodo dovrebbe aiutare a conseguire. Ad 

esempio, un'organizzazione sanitaria potrebbe essere tenuta, 

in virtù delle normative che regolano il settore, a tutelare le 

informazioni sanitarie protette (PHI) o altre informazioni 

personali identificabili (PII) di un paziente trasmesse da un 

reparto o da una struttura all'altra. In questo caso, potrebbe 

essere opportuno imporre agli utenti il possesso dei diritti di 

accesso appropriati per accedere alle informazioni PHI e PII 

da dispositivi affidabili. 

Prevenzione dalle frodi 

Per prevenire le frodi è necessario implementare alcuni 

metodi di autenticazione che permettano di monitorare le 

transazioni e le attività eseguite da un utente in fase di 

accesso. Anche se si tratta di uno scenario prevalentemente 

legato alle applicazioni dei servizi finanziari, altri settori 

stanno cominciando a subire attacchi mirati, come il phishing 

e il malware, da parte di soggetti il cui unico fine è la raccolta 

di informazioni personali volto al furto di identità. 

La gamma delle possibilità di autenticazione 

Password 

Le password offrono autenticazione a un solo fattore 

fornendo prova dell'identità degli utenti. Per quanto 

implementabili gratuitamente, comportano costi di gestione 

e di supporto continuativi (ad esempio, in occasione dei 

ripristini di password) che nel lungo periodo possono 

diventare proibitivi. Il livello di sicurezza fornito è molto 

basso e le password sono esposte agli attacchi degli hacker 

e ai rischi della promiscuità tra più utenti. 

Autenticazione knowledge-based 

L'autenticazione knowledge-based è un metodo utilizzato per 

autenticare un individuo in base alla conoscenza di 

informazioni personali, verificata tramite una procedura 

interattiva di domande e risposte. Le domande formulate 

all'utente sono raccolte da database di record pubblici, sono 

casuali e non sono note in precedenza o non sono mai state 

chieste all'utente. 

Autenticazione risk-based 

L'autenticazione risk-based è un sistema che consente di 

misurare in background una serie di indicatori di rischio, in 

modo da verificare le identità degli utenti e/o autenticare le 

attività online. Tra gli indicatori sono inclusi alcuni attributi 

dei dispositivi, i profili comportamentali degli utenti e la 

localizzazione geografica dell'IP. Più alto è il livello di rischio 

presentato, più alta è la probabilità che l'identità o l'attività 

sia fraudolenta. Se il Risk Engine stabilisce che la richiesta di 

autenticazione eccede i criteri di rischio accettabile, 

l'autenticazione risk-based offre l'opzione di fornire una 

prova più rigorosa dell'identità. In uno scenario di questo 

genere, all'utente potrà essere richiesto di rispondere a 

domande segrete o di inviare un codice di autorizzazione 

tramite un testo SMS o un messaggio di posta elettronica. 


5

Autenticazione mediante password monouso 

L'autenticazione mediante password monouso (OTP, One-Time 

Password) è una soluzione di autenticazione a due fattori 

molto diffusa: si basa su informazioni note all'utente (un PIN o 

una password) e su un dispositivo posseduto dall'utente (un 

autenticatore). L'autenticatore genera un nuovo codice OTP 

ogni 60 secondi, rendendo estremamente difficile per 

chiunque non sia l'utente legittimo fornire il codice corretto al 

momento opportuno. 

Per accedere alle informazioni o alle risorse protette dalla 

tecnologia delle password monouso, gli utenti devono 

semplicemente combinare il PIN segreto con il codice 

visualizzato volta per volta sul display dell'autenticatore 

(token). Il risultato è una password univoca monouso, 

utilizzata per verificare l'identità di un utente. 

La tecnologia delle password monouso è disponibile in varie 

forme: 

– Autenticatori hardware. Gli autenticatori hardware 

tradizionali (anche noti come "key fob") sono piccoli 

dispositivi portatili che è possibile tenere in un 

portachiavi, adatti agli utenti che preferiscono avere una 

soluzione tangibile o accedere a Internet da più 

postazioni. 

– Autenticatori software. Per i PC, le unità USB o i 

dispositivi mobili: gli autenticatori software vengono in 

genere offerti sotto forma di applicazione o di barra degli 

strumenti installata affidabilmente nel desktop, nel 

laptop o nel dispositivo mobile dell'utente. 

– On-demand. L'autenticazione on-demand comporta 

l'invio di una password monouso univoca, su richiesta, 

tramite SMS (messaggio di testo) a un dispositivo mobile 

o all'indirizzo di posta elettronica registrato di un utente. 

Una volta ricevuta la password monouso, l'utente la 

immette – se richiesto, insieme al PIN – per ottenere 

l'accesso alla rete aziendale o a un'applicazione online. 

L'autenticazione mediante password 

monouso è basata su informazioni note 

all'utente (un PIN o una password) e su 

un dispositivo posseduto dall'utente 

(un autenticatore). 

6 


Certificati digitali 

Un certificato digitale è un documento elettronico univoco 

contenente informazioni che identificano la persona o il 

dispositivo cui è associato. Può essere archiviato su un 

desktop, una smart card o un'unità USB. Per ottenere un 

metodo di autenticazione a due fattori più forte è possibile 

bloccare il certificato digitale su una smart card o un'unità 

USB, richiedendo all'utente di immettere un PIN per 

sbloccarlo e utilizzare le credenziali. Il certificato digitale può 

quindi essere utilizzato per autenticare un'utente per 

l'accesso a una rete o a un'applicazione. I certificati digitali 

possono anche essere impiegati per rafforzare l'immagine e 

la reputazione dell'azienda tramite l'uso di firme digitali o 

della posta elettronica crittografata. 

Inoltre, i certificati possono essere combinati con le password 

monouso tramite un autenticatore ibrido. In questi casi, 

l'autenticatore ibrido consente di memorizzare più 

credenziali semplificando l'esperienza utente. Uno scenario 

di utilizzo frequente della combinazione dei certificati e delle 

password monouso è rappresentato dall'impiego di un 

certificato digitale per sbloccare la crittografia del disco 

rigido, seguito dall'immissione di una password monouso per 

autenticare l'accesso a una VPN. 

Analisi degli attributi dell'autenticazione 

Quando un'organizzazione valuta le esigenze di business 

e quelle dei propri utenti, la scelta della strategia di 

autenticazione appropriata in base alle opzioni disponibili 

comporta in genere un compromesso tra una serie di 

variabili: 

– La "forza" della sicurezza 

– Il caso di utilizzo specifico 

– I requisiti lato client 

– La portabilità 

– La molteplicità di utilizzo 

– Le problematiche degli utenti 

– I requisiti di distribuzione 

– I requisiti di sistema 

– Il costo

RSA Authentication Decision Tree può aiutare le organizzazioni 

a raffrontare i metodi di autenticazione individuati come 

consoni a soddisfare le proprie esigenze. Con l'ausilio di un 

semplice framework le organizzazioni possono ottenere una 

valutazione obiettiva delle soluzioni di autenticazione più 

diffuse sul mercato. 

A questo scopo, oltre a un fattore innegabilmente importante 

come il costo, dovranno essere presi in considerazione altri 

elementi. Troppo spesso si tende a privilegiare l'elemento 

Scenari di utilizzo di RSA Authentication 

Decision Tree 

Profilo della società 

Grande organizzazione del settore sanitario, con vari 

ospedali locali e presidi specialistici, per un bacino di 

oltre 1,5 milioni di pazienti. 

Gruppi di utenti 

Medici, compagnie assicuratrici ed enti previdenziali, 

pazienti, amministratori sanitari 

Esigenze di business e degli utenti 

I medici si spostano di continuo tra una struttura e 

l'altra e si connettono ai file e alle cartelle sanitarie 

tramite Blackberry o altro dispositivo mobile. In 

questo modo possono accedere rapidamente alle 

informazioni mediche rilevanti e garantire livelli di 

assistenza ottimali ai pazienti. 

Compagnie assicuratrici ed enti previdenziali devono 

poter accedere alle cartelle cliniche, ai dati storici e ai 

servizi erogati per definire premi o indennizzi. 

Gli amministratori sanitari hanno costante esigenza di 

accedere alle informazioni mediche protette (PHI) e 

alle informazioni personali identificabili (PII) dei 

costo di acquisizione; eppure, basterebbe l'esempio 

dell'autenticazione basata solo su password per comprendere 

come tale fattore non sia di per sé sufficiente. Per quanto 

sostanzialmente "gratuite" in termini di costo di acquisizione, 

le password sono sorprendentemente dispendiose in termini 

di costi continuativi di gestione e di supporto. 

Il grafico alle pagine 8 e 9 offre un raffronto e una valutazione 

di ciascuna opzione di autenticazione in base ai nove attributi 

identificati. 

pazienti. Tale accesso è essenziale per la produttività 

di intere categorie di professionisti, dagli assistenti 

sociali al personale addetto alla contabilità. 

Ai pazienti è consentito accedere alle informazioni 

personali e alle proprie cartelle cliniche tramite un 

portale Web. Oltre a poter aggiornare le proprie 

informazioni si possono utilizzare una serie di altri 

servizi online quali la prenotazione degli 

appuntamenti, la richiesta di rinnovo delle ricette e il 

pagamento del ticket. 

Scelte di autenticazione 

In considerazione della base utenti diversificata, il cui 

comune denominatore è l'esigenza di accedere a vari 

sistemi per scopi differenti, questa organizzazione 

sanitaria dovrebbe prendere in esame una moltitudine 

di soluzioni di autenticazione: 

Medici: password monouso basata su software per 

dispositivi mobili 

Compagnie assicuratrici ed enti previdenziali: token 

hardware 

Amministratori sanitari: token hardware 

Pazienti: autenticazione risk-based 

Troppo spesso si tende a privilegiare l'elemento 

“costo di acquisizione”; eppure, basterebbe 

l'esempio dell'autenticazione basata solo su 

password per comprendere come tale fattore non 

sia di per sé sufficiente. 


7

Forza della 

sicurezza 

Caso di utilizzo 

specifico 

Requisiti lato 

client 

8 

Password Autenticazione 

Un solo fattore 

esposto ad attacco 

hacker e promiscuità 

Applicazioni non 

strategiche e non 

soggette a 

regolamentazione 

knowledge-based 

Un solo fattore, più 

forte; informazioni 

non comuni 

Interazione di nuovi 

utenti, accesso di 

emergenza, 

reimpostazione PIN 

Autenticazione 

risk-based 

Due o più fattori a 

seconda del rischio 

valutato 

Distribuzione o 

accesso a VPN SSL 

per basi utenti estese 

Password monouso: 

token hardware 

Due fattori, forte: 

PIN + token 

Accesso per i 

dipendenti mobili 

Ibrido: password 

monouso + certificato 

digitale 

Due fattori, forte: 

PIN + token o 

certificato 

Utenti interni e 

dipendenti in 

movimento 

Nessuno Nessuno Nessuno Nessuno Middleware per le 

funzionalità connesse 

Portabilità Ovunque Ovunque Applicazioni basate 

su browser 

Molteplicità di 

utilizzo 

Problematiche 

degli utenti 

Requisiti di 

distribuzione 

Requisiti di 

sistema 

Costo 

No No Piattaforma per 

monitoraggio delle 

transazioni e 

rilevamento delle 

frodi 

Facile da dimenticare 

e spesso annotata su 

documenti accessibili 

Ovunque Ovunque (password 

monouso) 

No Crittografia file/posta 

elettronica 

Firma digitale 

Accesso remoto 

Minime Da minime a serie Minime Minime 

Nessuno Nessuno Nessuno Assegnazione e 

recapito dei token 

Directory utenti Servizio di 

sottoscrizione 

Basso costo di 

acquisizione ma 

costo di supporto 

elevato 


Server di 

autenticazione 

Agenti personalizzati 

Applicazioni Web 

Opzioni di 

sottoscrizione 

Modesto Basso costo con 

alcuni requisiti di 

integrazione tra le 

applicazioni 



Agenti 

dell'applicazione 

Costo di 

acquisizione elevato 

ma basso costo di 

gestione 

Software client 

Certificato 

Token 

Autorità di 

certificazione 



Costi di infrastruttura e 

di gestione più elevati


token software su PC 

Due fattori, forte: PIN 

+ token 

Accesso per i 



token software su unità 

USB 

Due fattori, forte (con 

opzione di protezione 

biometrica) 

Accesso per i 


PC compatibile Dispositivo USB 

compatibile 

Solo sul sistema 

associato 

Ovunque ma richiede 

una porta USB 


token software su 

dispositivi mobili 

Due fattori, forte: PIN + 

token software 

Accesso per i 


Piattaforma 

compatibile 

Codice monouso inviato ondemand 

Due fattori, forte: PIN + 

codice inviato al cellulare 

Due fattori su IDA, accesso di 

emergenza occasionale o 

temporaneo dei dipendenti 

Qualsiasi dispositivo con 

funzionalità di posta 

elettronica o SMS 

Ovunque Ovunque vi sia copertura del 

servizio 

Certificati digitali 

Opzione a due fattori con 

blocco PIN 

Autenticazione utenti 

nell'azienda o 

autenticazione dispositivi 

Contenitore o dispositivo 

(USB, smart card o 

desktop) 

Dipende dal contenitore; 

richiede lettore o porta 

USB in caso di smart card 

No Storage dei file No No Sì: autenticazione, firma 

digitale e crittografia 

Minima Minima Minima Procedura a due passaggi Minima 

Assegnazione e 

distribuzione 

software e seed 



Agenti 


Minore dei token 

hardware 


distribuzione software 

e seed 



Agenti 


Elevato: dispositivo + 

token 


distribuzione software 

e seed 



Agenti 


Minore dei token 

hardware 

Nessuno Nessuno 

Server di autenticazione 

Agenti dell'applicazione 

Invio SMS 

Minore dei token hardware o 

software 

Interazione utenti o invio 

automatico dei certificati 

ai client 

Considerare il ciclo di vita 


9

Soluzioni RSA 

Da oltre vent'anni RSA è tra i principali produttori di soluzioni 

di autenticazione forte a due fattori per le aziende di 

qualsiasi dimensione. RSA offre un'ampia gamma di soluzioni 

che consentono alle organizzazioni di ottenere 

l'autenticazione forte, soddisfacendo in modo ottimale il 

rischio, il costo e la praticità d'utilizzo. 

RSA ® Identity Verification 

RSA Identity Verification consente di verificare le identità 

degli utenti in tempo reale mediante l'autenticazione 

knowledge-based. RSA Identity Verification formula all'utente 

una serie di domande sensibili, sulla base di informazioni 

personali ottenute analizzando decine di database pubblici. 

Nel giro di pochi secondi RSA Identity Verification conferma 

l'identità, senza che sia richiesta una relazione precedente 

con l'utente. 

RSA Identity Verification fornisce inoltre l'autenticazione 

accurata degli utenti tramite Identity Event Module. Identity 

Event Module rafforza la sicurezza misurando il livello di 

rischio associato a un'identità e consentendo di configurare il 

sistema in modo da adattare la difficoltà delle domande alla 

specifica natura del rischio durante il processo di 

autenticazione. Tra gli eventi misurati, relativi all'identità, vi 

sono i seguenti: 

– Ricerche nei database pubblici. Segnalazione 

dell'accesso sospetto ai record pubblici dell'utente. 

– Velocità dell'identità. Un volume elevato di attività 

associate all'individuo in servizi o aziende diverse. 

– Velocità dell'IP. Più richieste di autenticazione generate 

dal medesimo IP. 

RSA ® Authentication Manager Express 

RSA ® Authentication Manager Express è una piattaforma di 

autenticazione forte a più fattori che fornisce, a condizioni 

accessibili, protezione alle imprese di piccole e medie 

dimensioni. Authentication Manager Express supporta le VPN 

SSL e le applicazioni Web di maggiore diffusione, garantendo 

l'autenticazione forte e l'accesso sicuro alle applicazioni e ai 

dati protetti. 

È basato sulla tecnologia di autenticazione risk-based di RSA, 

un sofisticato sistema che misura in background una serie di 

indicatori di rischio in modo da verificare le identità degli 

utenti. Vari sono i fattori esaminati da RSA Authentication 

10 


Manager Express per determinare il rischio associato a una 

richiesta di accesso: 

– Informazioni note all'utente, quali il nome utente e la 

password esistenti 

– Dispositivi dell'utente, quale un laptop o un PC desktop 

– Azioni dell'utente, quale una recente attività associata 

all'account 

RSA Authentication Manager Express può inoltre attivare 

metodi di autenticazione ulteriori nel caso in cui la richiesta 

di accesso non offra i livelli di garanzia previsti. Uno scenario 

tipico è il tentativo di accesso da parte di un utente remoto 

con un dispositivo non riconosciuto e non ancora utilizzato 

per accedere alla rete. RSA Authentication Manager Express 

fornisce due metodi di autenticazione aggiuntivi: SMS fuori 

banda e domande segrete. 

RSA Authentication Manager Express viene fornito come 

soluzione plug-and-play e supporta fino a 2.500 utenti. 

RSA ® Adaptive Authentication 

RSA ® Adaptive Authentication è una piattaforma di 

autenticazione multicanale e rilevamento delle frodi che 

offre, a condizioni vantaggiose, protezione efficace per intere 

basi utenti. Adaptive Authentication introduce una serie di 

identificatori aggiuntivi con la semplice installazione di un 

cookie e/o di un oggetto flash condiviso (anche denominato 

"cookie flash") che funge da identificatore univoco del 

dispositivo di un utente. La soluzione offre un sistema di 

protezione forte e pratico, monitorando e autenticando le 

attività degli utenti sulla base dei livelli di rischio, dei criteri 

dell'organizzazione e della segmentazione degli utenti. 

Basato sulla tecnologia di autenticazione risk-based di RSA, 

Adaptive Authentication tiene traccia di più di un centinaio di 

indicatori per identificare le potenziali frodi, dalla 

identificazione del dispositivo alla localizzazione geografica 

dell'IP e ai profili comportamentali. A ogni attività viene 

assegnato un valore di rischio univoco: più alto è tale valore, 

più elevata è la probabilità che l'attività sia fraudolenta. 

Adaptive Authentication esegue il monitoraggio in 

background, in modo invisibile all'utente. Solo quando 

un'attività viene valutata come ad alto rischio, viene richiesto 

all'utente di fornire ulteriori prove per l'autenticazione, in 

genere tramite domande segrete o SMS fuori banda. Grazie al 

basso grado di complessità e al tasso elevato di successo, 

Adaptive Authentication garantisce una protezione forte e 

un'esperienza utente superiore, ideali per la distribuzione a 

basi utenti estese. 

RSA Adaptive Authentication è disponibile sia come servizio 

SaaS (software as a service) che come soluzione on premise . 

È altamente scalabile e può supportare milioni di utenti.

Autenticazione RSA SecurID ® 

La tecnologia a password monouso, RSA SecurID ® , fornisce 

una soluzione di autenticazione a due fattori avanzata: è 

basata su informazioni note all'utente (un PIN o una 

password) e su un dispositivo posseduto dall'utente (un 

autenticatore). Prevede la generazione di una password 

monouso ogni 60 secondi tramite la combinazione di una 

chiave simmetrica univoca (anche denominata "seed record") 

con un algoritmo collaudato. La tecnologia brevettata RSA 

sincronizza ciascun autenticatore con il server di protezione, 

assicurando un livello di sicurezza elevato. 

Per accedere alle risorse protette dal sistema RSA SecurID 

gli utenti devono semplicemente combinare il PIN segreto 

con il token visualizzato volta per volta sul display 

dell'autenticatore. Il risultato è una password univoca 

monouso, utilizzata per verificare l'identità di un utente. 

RSA SecurID viene distribuito in diverse forme, per soddisfare 

le esigenze specifiche delle organizzazioni e dei loro utenti: 

Autenticatori hardware 

Dal punto di vista della facilità di utilizzo, gli autenticatori 

hardware tradizionali (anche noti come "key fob") possono 

essere tenuti in un portachiavi e come tali sono adatti agli 

utenti che preferiscono avere una soluzione tangibile o 

accedere a Internet da più postazioni. 

Autenticatori ibridi con certificati digitali 

L'autenticatore RSA SecurID 800 è un dispositivo ibrido che 

combina la semplicità e la portabilità dell'autenticazione 

SecurID con l'efficacia e la flessibilità di una smart card nel 

pratico fattore di forma USB. RSA SecurID 800 offre il 

supporto dei certificati digitali standard per varie 

applicazioni, come la crittografia dei dischi e dei file, 

l'autenticazione e la firma, e rafforza l'autenticazione basata 

solo su password archiviando le credenziali del dominio di un 

utente in un dispositivo di alta sicurezza. Combinando più 

credenziali e applicazioni in un unico dispositivo, SecurID 

800 rappresenta una chiave master che garantisce, in modo 

semplice e discreto, l'autenticazione forte in un ambiente IT 

eterogeneo. 

Autenticatori software 

Gli autenticatori software RSA SecurID utilizzano lo stesso 

algoritmo degli autenticatori hardware RSA SecurID 

eliminando la necessità di portare con sé dispositivi 

hardware dedicati. Anziché essere archiviata nell'hardware 

SecurID, la chiave simmetrica viene protetta in modo sicuro 

nel PC, nello smart phone o nell'unità USB dell'utente. 

Dispositivi mobili 

Gli autenticatori software RSA SecurID sono disponibili per 

un'ampia gamma di piattaforme smart phone, tra cui 

dispositivi BlackBerry ® , Microsoft Windows ® Mobile, Java ME, Palm OS, Symbian OS e UIQ. 

Desktop Microsoft Windows ® 

RSA SecurID Token for Windows Desktops è un fattore di 

autenticazione pratico, installato su PC e integrabile 

automaticamente con i client di accesso remoto più diffusi. 

Token monouso come barra degli strumenti 

RSA SecurID Toolbar Token coniuga la praticità delle 

funzionalità di compilazione automatica per le applicazioni 

Web con la sicurezza dei meccanismi anti-phishing. 

On-demand (via SMS o posta elettronica) 

RSA On-demand Authentication comporta l'invio di una 

password monouso univoca, su richiesta, tramite SMS 

(messaggio di testo) a un dispositivo mobile o all'indirizzo di 

posta elettronica registrato di un utente. Una volta ricevuta la 

password monouso l'utente la immette – se richiesto 

insieme al PIN – per ottenere l'accesso alla rete aziendale o a 

un'applicazione online. 

Per ulteriori informazioni su come utilizzare lo strumento 

interattivo RSA Authentication Decision Tree per valutare le 

opzioni disponibili, contattate l'account manager o il partner di 

RSA oppure visitate il sito www.rsa.com. 


11

RSA ® Certificate Manager 

The RSA ® Certificate Manager è una soluzione Internet di 

certificazione che fornisce funzionalità di base per il rilascio, 

la gestione e la convalida dei certificati digitali. Include un 

Web server sicuro e un efficace modulo di gestione per la 

firma digitale dei certificati utente, nonché un repository di 

dati integrato per l'archiviazione dei certificati, dei dati di 

sistema e delle informazioni sullo stato dei certificati. RSA 

Certificate Manager è la prima soluzione di questo tipo ad 

avere ottenuto la certificazione Common Criteria ed è inoltre 

certificato Identrust. 

Basato su standard di settore, Certificate Manager è 

immediatamente utilizzabile con centinaia di applicazioni 

standard. Può pertanto essere impiegato con browser, client 

di posta elettronica e VPN per garantire il massimo ritorno 

sull'investimento. Inoltre, permette di archiviare le credenziali 

nei browser o su smart card e token USB. Ad esempio, i 

certificati digitali RSA possono essere combinati con 

l'autenticatore ibrido SecurID 800 per consolidare più 

credenziali su un unico dispositivo e semplificare così 

l'esperienza utente. Ulteriori componenti della soluzione dei 

certificati digitali RSA sono RSA Registration Manager, 

RSA Validation Manager, RSA Key Recovery Module e 

RSA Root Signing Services. 

Profilo RSA 

EMC2, EMC, RSA, SecurID e il logo RSA sono marchi e/o marchi registrati di EMC 

Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati 

sono marchi delle rispettive società. 

DECTR WP 1210 

RSA, la divisione EMC per la sicurezza, è fornitore leader di 

soluzioni di sicurezza per accelerare il business e 

consentire alle più grandi aziende a livello mondiale di 

risolvere problemi di sicurezza complessi e delicati. Grazie 

alle soluzioni RSA, i clienti possono superare sfide quali la 

gestione dei rischi organizzativi, la protezione dell'accesso 

e della collaborazione remota, la garanzia della conformità 

e la salvaguardia degli ambienti virtuali e cloud. 

La tecnologia, le soluzioni aziendali e per specifici settori 

offerte da RSA, unitamente ai servizi professionali e alle 

soluzioni di gestione del rischio e della conformità 

aziendale, offrono alle organizzazioni visibilità e protezione 

per milioni di identità utenti, per le transazioni eseguite e 

per i dati generati.

RSA Authentication Decision Tree: come scegliere la soluzione di ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?