STRONG AUTHENTICATION VIA SMS - come aumentare sicurezza e privacy in modo - PAPER - Skebby
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
PE TE
R
PA HI
W
STRONG AUTHENTICATION VIA SMS
come aumentare sicurezza e privacy in modo
semplice e a basso costo
Disclaimer Il contenuto del presente documento rappresenta il meglio dell’informazione a nostra disposizione. Abbiamo fatto del nostro meglio per assicurare accuratezza e correttezza delle informazioni in esso contenute. Tuttavia non garantiamo e non certifichiamo l’assenza di errori o omissioni e la correttezza esatta del materiale. Si prega di visionare le condizioni di utilizzo su: www.skebby.it/index/terms-of-service-business/ © 2015 Skebby. Tutti i diritti riservati.
Indice
Strong Authentication 3
L’SMS Come strumento di Strong Authentication 4
I vantaggi della Strong Authetentication via SMS 4
Come funziona la Strong Authetentication via SMS 5
Casi d’uso dell’SMS per Strong Authentication 6
Generazione di password dispositive “usa e getta” 6
Autenticazione utenti per accesso a dati sensibili e per la sicurezza 6
Validazione utenti e liste clienti (database) 6
Esempi di utilizzo dell’SMS come Strong Authentication 7
CheBanca!: Generazione di password dispositive “usa e getta” 7
Lombardia Informatica: Autenticazione utenti per accesso a dati sensibili 8
Whichapp: Autenticazione utenti per sicurezza identità utenti 9
ING Direct: Validazione utenti e liste dei clienti (database) 10
Requisiti tecnici per la Strong Authentication via SMS 11
Immediatezza e garanzia della consegna 11
Notifica di consegna dei messaggi 11
Scadenza del messaggio 11
Il Gateway di Skebby 12
Caratteristiche del servizio 12
Performance del Gateway SMS Skebby nei processi di Strong Authentication 13
Facilità ed immediatezza di integrazione con tutti i sistemi 14
Piattaforma SMS 15
Infrastruttura tecnologica 15
Strong Authentication
I sistemi di Strong Authentication (autenticazione forte) hanno assunto un ruolo
sempre più rilevante data l’esigenza da parte di imprese ed enti pubbilici di
verificare l’identità degli utenti che accedono ad aree riservate di interfacce web
garantendo privacy, sicurezza e minimizzando i rischi di frodi.
L’autenticazione degli utenti avviene solitamente usando un criterio statico
(Username) al quale si affianca un codice password. Grazie alle procedure di
Strong Authentication viene generato un codice “dinamico” come ad esempio una
OTP (One Time Password) ovvero una password valida solo per una singola
sessione di accesso o una transazione rendendo “più forte” l’autenticazione
dell’utente.
L’OTP, al contrario della password statica, non è vulnerabile dagli attacchi di
replica. Ciò significa che, se un potenziale intruso riesce ad intercettare una OTP
che è stata già utilizzata per accedere a un servizio o eseguire una transazione,
non sarà in grado di riutilizzarla, in quanto non sarà più valida.
Inizialmente i mezzi più diffusi per questo tipo di operazione erano: la chiavetta
token e/o la chiamata telefonica. Recentemente un numero crescete di imprese ha
iniziato ad utilizzare l’SMS per la Strong Authentication degli utenti.
3
L’SMS come strumento di
Strong Authentication
Numerosi enti pubblici, ospedali, istituti di credito e aziende di e-commerce hanno
deciso di rafforzare la loro sicurezza e quella dei loro clienti, introducendo la
Strong Authentication via SMS nei loro processi.
La Strong Authentication via SMS garantisce la sicurezza e la privacy per gli
utenti, ed aumenta e redditività delle aziende riducendo i rischi legati ai furti di
identitità e alle frodi. La procedura sfrutta il telefono di cellulare/la SIM in tasca
ormai di chiunque come strumento di autenticazione forte dell’utente. Infatti la SIM
e il numero di telefono cellulare ad essa associato sono elementi univoci e
personali associati ad un documento di identità. Tramite l’SMS è possibile quindi
identificare un utente associandolo al numero di telefono cellulare/SIM e quindi in
ultima analisi alla sua univoca identità.
Inoltre grazie alla diffusione crescente degli smartphone, l’utente ha inoltre la
possibilità di completa integrazione tra il processo di autenticazione via SMS-OTP
e l’accesso ai servizi o alle transazioni offerte rendendo le stesse più immediate e
sicure.
I vantaggi della Strong Authentication via SMS
• Chiunque, anche gli utenti meno esperti, possono usare l’SMS
• E’ sempre disponibile essendo abbinato al telefonino
• Non sono necessari hardware e software dedicati (token/smart card)
• Molto più economico da implementare rispetto ad altri sistemi
4
Come funziona la Strong Authentication via SMS
Il sistema è basato sul telefono cellulare e sull’SMS. Dopo aver comunicato il
proprio numero di cellulare, l’utente potrà ricevere una OTP tramite un SMS che
digitata online permetterà di certificare la propria utenza e quindi accedere ad un
sistema o autorizzare una transazione.
La Strong Authetication via SMS è facile ed immediata:
L’utente inserisce il proprio numero di cellulare all’interno dell’interfaccia web
1 dell’azienda
I sistemi dell’azienda generano una OTP che viene inoltrata all’utente via
2 SMS.
L’utente riceve la OTP via SMS e la inserisce sull’interfaccia web
3 autenticandosi
3
1
2
5
Casi d’uso dell’SMS per
Strong Authentication
Sono numerosi i campi applicativi della Strong Authentication via SMS. Tra i più utilizzati:
Generazione di password dispositive “usa e getta”
La OTP è una password con una scadenza temporale ed ha validità per una singola
sessione. A seguito di una richiesta generata dall’utente attraverso l’interfaccia web,
il sistema inoltra una password temporanea al numero di cellulare abilitato.
La tecnologia e la sicurezza degli SMS legati all’OTP offrono agli utenti un alto tasso
di sicurezza.
Questo sistema è il più diffuso è utilizzato soprattutto dagli istituti di credito e siti di
ecommerce per l’accesso ai portali e/o la conferma di ordini e transazioni.
Autenticazione utenti per accesso a dati sensibili
e per la sicurezza
E’ un semplice metodo attraverso il quale è possibile identificare l’utente mediante
l’utilizzo di una OTP inviata via SMS.
Il sistema viene generalmente utilizzato nella fase di accesso dell’utente online, per
l’utilizzo sicuro di app mobile evitando furti di identità oppure per l’accesso a reti
WiFi nel rispetto delle norme di sicurezza sul tracciamento degli accessi.
In base alla configurazione dei sistemi, l’utente riceverà sul suo numero di cellulare
un messaggio contenente la OTP da inserire nell’interfaccia online per
l’autenticazione.
Questo utilizzo è diffuso ad esempio tra gli enti pubblici e gli istituti socio-sanitari che
devono proteggere le informazioni dei cittadini e hanno implementato metodologie di
Strong Authentication
Validazione utenti e liste dei clienti (database)
E’ la possibilità di utilizzare l’SMS per l’identificazione univoca degli utenti online e la
costruzione di liste database verificati senza possibilità di account duplicati o fasulli
(possibile usando solo email per identificazione utente).
Questo utilizzo è diffuso tra aziende B2C con ampie basi di clienti.
6
Esempi di utilizzo dell’SMS
come Strong Authentication
Generazione di password dispositive “usa e getta”
Le nuove disposizione della BCE hanno sollecitato gli istituti di credito ad
aumentare il proprio tasso di sicurezza, così, anche CheBanca! ha creato il proprio
sistema di Strong Authentication via SMS per confermare le operazioni attraverso
il sistema di OTP (One Time Password).
Il servizio di Strong Authentication di CheBanca! via SMS si chiama BASIC SMS e
viene utilizzato nel seguente modo:
1 L’utente conferma il proprio numero di cellulare.
In quel momento sul telefono indicato verà inviato un SMS con la
2 password “usa e getta” (OTP).
3 L’utente inserirà l’OTP ricevuta via SMS per autorizzare la disposizione.
1 2 3
7
Autenticazione utenti per accesso a dati sensibili
Regione Lombardia ha creato un portale web che permette al cittadino di
consultare il proprio Fascicolo Sanitario Elettronico (FSE), la cartella sanitaria on
line con le informazioni mediche e i documenti clinici (referti, prescrizioni, lettere di
dimissioni ospedaliere ecc.). Per garantire la sicurezza e la tutela della privacy dei
cittadini utilizza la Strong Authentication via SMS con la generazione di una OTP
per l’accesso sicuro ai sistemi.
1 L’utente conferma il numero di cellulare a cui ricevere l’SMS
2 Il sistema genera una OTP che viene inoltrata al telefono dell’utente
3 L’utente inserisce il codice e accede al proprio FSE
1 2 3
8
Autenticazione utenti per sicurezza identità utenti
Come gli altri sistemi di messaggistica istantanea, anche Whichapp utilizza
la Strong Authentication per identificare l’utente associandolo alla SIM / telefono
cellulare attraverso l’invio di un SMS con codice di verifica. In questo modo
nessun utente potrà accedere all’App con le credenziali di un’altro utente o
pretendere di essere l’altro utente accedendo al sistema/furto di identità.
1 L’utente inserisce il numero di cellulare all’interno dell’App mobile
2 Riceve un SMS con il PINCODE di verifica da inserire nell’App
3 Inserisci il PINCODE nell’App per confermare il numero di telefono
1 2 3
9Validazione utenti e liste dei clienti (database)
Il sistema di ING Direct associa un numero di cellulare per ogni account durante il
processo di iscrizione dei clienti.
Il sistema oltre a validare l’utente, verifica che ogni utente possieda un numero di
cellulare al fine di eliminare gli account duplicati. L’SMS è il metodo più efficace
per verificare gli utenti, soprattutto per aziende B2C su larga scala, come nel caso
di un istituto di credito.
1 Al primo accesso l’utente inserisce Username e numero di telefono
2 Il sistema genera un PIN di verifica che viene inoltrato via SMS all’utente
3 L’utente iserisce il PIN ricevuto via SMS per accedere
1 2 3
10Requisiti tecnici per la
Strong Authentication via SMS
La Strong Authetication via SMS impone livelli di performarce elevati ai fornitori dei
servizi di invio SMS. Infatti la procedura di Strong Authentication via SMS richiede
che l’utente dopo aver digitato online il proprio numero di cellulare rimanga in
attesa dell’SMS con l’OTP per poter procedere oltre.
La garanzia di consegna, il tracciamento istantaneo dello stato di consegna
dell’SMS e la possibilità di impostare tempi di scadenza dei messaggi molto brevi
sono caratteristiche importanti per la Strong Authentication via SMS.
Immediatezza e garanzia della consegna
L’immediatezza e la garanzia di consegna dell’SMS sono parametri fondamentali
per poter garantire il corretto funzionamento dei sistemi di Strong Authentication
via SMS. Tassi di consegna elevati e rapidità della stessa sono alla base del
corretto funzionamento della soluzione, indice di livelli qualitativi elevati e
soddisfazione degli utenti.
Notifica di consegna dei messaggi
Dato che l’SMS potrebbe non venire recapitato dall’operatore mobile il sistema
deve consegnare l’esito dell’invio (Delivery Report o DLR) ed il tipo di errore in
modo che l’azienda possa decidere come procedere oltre con il processo di auten-
ticazione (es. reinvio di un nuovo SMS o chiamata dell call center etc)
Scadenza del messaggio
La possibilità di configurare un periodo di scadenza del singolo messaggio è molto
importante per chi usa l’SMS per comunicare OTP.
Il periodo di scadenza, solitamente standard (48 ore) deve poter essere essere
configurato ad intervalli ridotti (3 minuti). Trascorso questo intervallo temporale se
l’SMS con OTP per qualunqe motivo non venisse infatti consegnato e avesse
generato un errore, il messaggio verrebbe annullato dall’operatore mobile e
l’azienda potrà procedere con l’inoltro di un nuovo messaggio con una nuova OTP
senza possibilità di duplicazioni e confusioni per l’utente in attesa.
11Il Gateway di Skebby
SMS Gateway è la piattaforma che consente di inviare e ricevere SMS online
direttamente dai sistemi aziendali tramite API e usando i principali linguaggi di
programmazione.
Caratteristiche del servizio
• Capacita’ inoltro SMS verso operatori, minima garantita: 200SMS/s
• Sicurezza: collegamenti cifrati a 128 bit SSL via HTTPS
• Invio multipli massivo fino 100.000 numeri con singola richiesta
• Personalizzazione del mittente con diverse opzioni
• Definizione del periodo di scadenza messaggio (da 3 min fino a 48 ore)
• Tracciabilita’ dello stato di consegna SMS e degli errori per messaggio
• Reportistica degli SMS inviati, consegnati e degli errori su web/mail
• SMS lunghi: fino 1530 caratteri (o 10 messaggi concatenati)
• Ricezione risposte agli SMS inviati
• Personalizzazione del testo per singolo destinatario con variabili dinamici
• Spedizioni programmate/ripetute
• Invio di SMS anche tramite client/server e-mail (SMTP)
12Performance del Gateway SMS Skebby nei
processi di Strong Authentication
Il Gateway SMS Skebby soddisfa i requisiti più stringenti in termini di
immediatezza e garanzia di consegna dei messaggi cosi come in termini di
personalizzazione dei parametri es. validità del messaggio.
Ecco come Lombardia Informatica (l’IT della Regione Lombardia) ha valutato la
piattaforma SMS Skebby rispetto a quella di Telecom Italia nell’ambito di una gara
per la fornitura del servizio di invio SMS per Strong Authentication.
SKEBBY Telecom Italia
S 10.00 7.33
Questi risultati sono il frutto della capacità di progettare e realizzare una
piattaforma software e sistemi informatici oltre agli standard definiti dall’operatore
mobile.
13Facilità ed immediatezza di integrazione
con tutti i sistemi
Le nostre interfacce API SMS Gateway sono facili, potenti e rapidissime da
integrare. All’interno del nostro sito è disponibile gratuitamente tutta la
documentazione e le nostre API.
Per una facile integrazione abbiamo sviluppatto esempi di codice e SDK già
funzionanti e integrabili con un semplice “cut and paste”.
Abbiamo innoltre sviluppato dei moduli CMS/CRM per semplificarte l’integrazione
con i sistemi più diffusi sul mercato.
Documentazione SMS GatewayAPI Esempi di codice e SDK
Semplici API SMS All’inteno della
Gateway che ti con- pagina sviluppatori
sentono di integrare del nostro sito puoi
il potente gateway trovare codici e SDK
SMS Skebby con la che puoi copiare e
tua applicazione o incollare nei tuoi
server web in modo sistemi per inviare
facile e immediato. SMS con Skebby
Moduli CMS/CRM Moduli Esterni
Disponibili moduli Librerie sviluppate
per CMS e CRM da nostri clienti per i
facilmente loro sistemi.
integrabili per darti Accedendo alla
la possibilità di pagina sviluppatri
cominciare subito ad puoi scoprire
inviare SMS. numerosi codici già
pronti e integrabili.
www.skebby.it
14Piattaforma SMS
• Sistemi avanzati di interfacciamento per sviluppo di automatismi (API)
semplicità e rapidità di utilizzo pur con completezza di funzionalità.
• Tutti i server, gli switch, e lo storage sono ridondati, nel caso di guasti ad un
componente i rimanenti continuano ad erogare il servizio senza interruzione.
• Presidio diretto dei sistemi 12 ore/giorno. Appositi applicativi di monitoraggi
controllano 24 ore su 24 tutti i processi ed al verificarsi di qualsiasi anomali
provvedono ad avvertire un tecnico che interverrà entro un’ora.
• Più connessioni dirette in fibra ottica con i principali operatori (TIM, Vodafone e
Wind) ed i maggiori aggregatori mobili in grado di offrire connessioni SMS ad
alta capacità, potenti, rapidissime capaci di recapitare messaggi su qualsiasi
apparato terminale di rete mobile in Italia ed in oltre 170 paesi
SLA disponibilità servizio per punto di accesso: 99,7%
SMS alta qualità, ricezione immediata e rapporto di consegna
Infrastruttura tecnologica
L’infrastruttura di Skebby si basa su di una piattaforma tecnologica proprietaria.
Tutta l’infrastruttura hardware è collocata presso la web Farm KPNQwest Milano
disposta su un totale di 1140mq.
SLA Connettività IP: 99,99%
SLA corrente elettrica: 99,98%
15Skebby™ opera nell’innovativo settore dei servizi di messaggistica SMS tramite Internet. La società ha sviluppato un’innovativa piattaforma per la fornitura di soluzioni marketing e CRM accessibili sia direttamente da applicazioni / siti web di terzi tramite API sia da computer tramite un’applicazione web. Inoltre prima al mondo Skebby ha sviluppato l’app per l’invio di SMS a costo zero. Skebby offre servizi di ricezione ed invio SMS, singoli o multipli con cui comunicare offerte speciali e sconti, confermare eventi ed appuntamenti, trasmettere notifiche e alert o ancora raccogliere info, richieste o contributi via SMS. L’offerta commerciale è a consumo, senza costi fissi, canoni o vincoli di durata. Non è necessario scaricare o installare alcun software. E’ prevista la prova gratuita senza alcun obbligo di acquisto. Skebby è ai vertici del mondo di messaggistica SMS tramite Internet con svariati milioni di messaggi inviati ogni mese da oltre 29.000 aziende tra cui HSE24, QVC, Volagratis.it, Venere.it, Facile.it, Assicurazioni.it, ePrice, Saldi Privati, Uber, Prezzi Benzina, Madai, CheBanca!, IBL Banca, MutuiOnline.it, Allianz Bank, Lombardia Informatica, Dylog, Reply, PA Digitale, Cemit Mondadori, Jakala, IlSole24Ore, RAI, Focus, Meliconi, GLS, Philipp Morris, Boscolo, Manpower, Pricewaterhouse, Istituto Clinico Humanitas e tante altre realtà innovative.
Contattaci Visita il nostro sito per la Prova Gratuita www.Skebby.it Inviaci una mail a supporto@skebby.com Chiamaci al 02 4070 7240
Per altre informazioni Scarica i nostri whitepaper Scopri i 100 modi innovativi di usare l’SMS per far crescere il tuo business Scopri come il mobile marketing può aiutarti a far crescere il tuo business Scopri la soluzione e il Provider SMS più adatti per le tue esigenze 
Mobile Solution S.r.l.
Via P. Mascagni 14,
20122, Milano (MI)
P.IVA e C.F 03020690131
WWW.SKEBBY.ITPuoi anche leggere
