際際滷

際際滷Share a Scribd company logo

Guida alla Strong Authentication via SMS

Download as PPSX, PDF
Skebby
Skebby

Guida completa ai sistemi di Strong Authentication via SMS. Come funzionano i sistemi di autenticazione forte via SMS, i campi applicativi della strong authentication via SMS e i principali casi d'uso nel settore bancario (CheBanca!, ING Direct) nella pubblica amministrazione/sanit (Lombardia Informatica e nelle app mobile (Whichapp).

1 of 31
Download to read offline
STRONG AUTHENTICATION VIA SMS Come aumentare sicurezza e privacy in modo semplice e a basso costo
Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 2
Strong Authentication La Strong Authentication Strong AuthenticationviaSMS E il sistema di autenticazione su pi湛 livelli (2FA) che serve per: Verificare lidentita degli utenti Garantire privacy Massimizzare sicurezza Diminuire i rischi di frodi 3
Come viene comunemente utilizzata la Strong Authentication Strong AuthenticationviaSMS Criterio statico (Username) Password Codice dinamico OTP (One Time Password) La Strong Authentication 4
OTP (One Time Password) Strong AuthenticationviaSMS LOTP, al contrario della password statica, non e vulnerabile dagli attacchi di replica. Inizialmente i mezzi piu diffusi per questo tipo di operazione erano: la chiavetta token e/o la chiamata telefonica. Recentemente un numero crescete di imprese ha iniziato ad utilizzare lSMS per la Strong Authentication degli utenti. La Strong Authentication 5
Perch竪 lSMS come strumento di Strong Authentication Il pianeta sta diventando sempre pi湛 mobile.. ed il mobile sta diventando linterfaccia primaria di interazione con il consumatore 6 miliardi di telefoni cellulari nel mondo 4,3 miliardi di utenti mobile attivi nel 2014 1 miliardo di utenti smartphone 65% degli utenti smartphone portano il telefono a letto 25% degli utenti iPhone pensano che il telefono sia un estensione del proprio corpo eMarketer January 2014 The New Research Center Strong AuthenticationviaSMS La Strong Authentication 6
LSMS 竪 uno strumento molto utilizzato dalle aziende in Italia Mercato Bulk SMS in Italia Miliardi di SMS, 2011-2013 Fonte: Osservatorio Mobile Marketing & Service di Politecnico di Milano 1.5 1.9 2.2 2011 2012 2013 +24% +15% Strong AuthenticationviaSMS La Strong Authentication 7
e nel mondo Fonte: Portio Research LTD Mercato mondiale Bulk SMS A2P e P2A, Miliardi di $, 2010-2017 33.6 39.8 44.3 48.2 50.4 2010 2011 2012 2013 2014 Strong AuthenticationviaSMS La Strong Authentication 8
Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 9
Come funziona la Strong Authentication via SMS LSMS come strumento di Strong Authentication Lutente inserisce il numero di cellulare allinterno dellinterfaccia web dellazienda I sistemi dellazienda generano una OTP che viene inoltrata allutente via SMS Lutente riceve la OTP via SMS e la inserisce sullinterfaccia web autenticandosi . . . Strong AuthenticationviaSMS 10
Generazione di password dispositive usa e getta LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS Lutente inserisce il proprio numero di cellulare sul portale della banca In quel momento sul telefono vera inviato un SMS con la password usa e getta (OTP) Lutente inserira lOTP ricevuta via SMS per autorizzare la disposizione . . . 11
Autenticazioneutenti peraccessoadatisensibilieperla sicurezza LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS CHAT APP Il tuo codice di validazione 竪 : 1234 SMS . . . Lutente inserisce il numero di cellulare allinterno dellApp mobile Riceve un SMS con il codice da inserire nellApp Inserisci il codice nellApp per confermare il numero di telefono 12
Validazione utenti e liste dei clienti (database) LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS Lutente inserisce il proprio numero di cellulare sul portale web In quel momento sul telefono vera inviato un SMS con il PIN di verifica Lutente inserira il PIN ricevuto via SMS per autorizzare lutente . . . 13
Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 14
Generazione di password dispositive usa e getta Esempi di utilizzo dellSMS come Strong Authentication CheBanca! ha creato il proprio sistema di Strong Authentication via SMS per confermare le operazioni attraverso il sistema di OTP (One Time Password). Strong AuthenticationviaSMS 15
Autenticazione utenti per accesso a dati sensibili Esempi di utilizzo dellSMS come Strong Authentication Regione Lombardia ha creato un portale web che permette al cittadino di consultare il proprio Fascicolo Sanitario Elettronico (FSE), la cartella sanitaria on line con le informazioni mediche e i documenti clinici . . . Strong AuthenticationviaSMS 16
Autenticazione utenti per sicurezza identita utenti Esempi di utilizzo dellSMS come Strong Authentication Come gli altri sistemi di messaggistica istantanea, anche Whichapp utilizza la Strong Authentication per identificare lutente associandolo alla SIM / telefono cellulare attraverso linvio di un SMS con codice di verifica. . . . Strong AuthenticationviaSMS 17
Validazione utenti e liste dei clienti (database) Esempi di utilizzo dellSMS come Strong Authentication . . . Strong AuthenticationviaSMS Il sistema di ING Direct associa un numero di cellulare per ogni account durante il processo di iscrizione dei clienti. Il sistema oltre a validare lutente, verifica che ogni utente possieda un numero di cellulare al fine di eliminare gli account duplicati. 18
Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 19
Immediatezza e garanzia della consegna Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS Limmediatezza e la garanzia di consegna dellSMS sono parametri fondamentali per poter garantire il corretto funzionamento dei sistemi di Strong Authentication via SMS. Elementi fondamentali: Tassi di consegna elevati Rapidita di consegna 20
Notifica di consegna dei messaggi Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS LSMS potrebbe non venire recapitato dalloperatore mobile. Il sistema deve consegnare lesito dellinvio (Delivery Report o DLR) ed il tipo di errore in modo che lazienda possa decidere come procedere con il processo di autenticazione Stato di consegna 21
Scadenza del messaggio Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS Il periodo di scadenza, solitamente standard (48 ore) deve poter essere essere configurato ad intervalli ridotti (3 minuti). Se lSMS con OTP non venisse consegnato, lazienda potra procedere con linoltro di un nuovo messaggio con una nuova OTP Cancellazionevecchiomessaggio GenerazionenuovaOTP InvionuovomessaggioconOTP 22
Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 23
Il Gateway di Skebby Il Gateway di Skebby Strong AuthenticationviaSMS SMS Gateway e la piattaforma che consente di inviare e ricevere SMS online direttamente dai sistemi aziendali tramite API e usando i principali linguaggi di programmazione. 24
Caratteristiche del servizio Il Gateway di Skebby Strong AuthenticationviaSMS Capacita inoltro SMS verso operatori, minima garantita: 200SMS/s Sicurezza: collegamenti cifrati a 128 bit SSL via HTTPS Invio multipli massivo fino 100.000 numeri con singola richiesta Personalizzazione del mittente con diverse opzioni Definizione del periodo di scadenza messaggio (da 3 min fino a 48 ore) Tracciabilita dello stato di consegna SMS e degli errori per messaggio Reportistica degli SMS inviati, consegnati e degli errori su web/mail SMS lunghi: fino 1530 caratteri (o 10 messaggi concatenati) Ricezione risposte agli SMS inviati Personalizzazione del testo per singolo destinatario con variabili dinamici Spedizioni programmate/ripetute Invio di SMS anche tramite client/server e-mail (SMTP) 25
PerformancedelGatewaySMS SkebbyneiprocessidiStrong Authentication Il Gateway di Skebby Strong AuthenticationviaSMS Lombardia Informatica (lIT della Regione Lombardia) ha valutato la piattaforma SMS Skebby rispetto a quella di Telecom Italia nellambito di una gara per la fornitura del servizio di invio SMS per Strong Authentication. Il Gateway SMS Skebby soddisfa i requisiti piu stringenti in termini di immediatezza e garanzia di consegna dei messaggi cosi come in termini di personalizzazione dei parametri es. validita del messaggio. 26
Piattaforma SMS Il Gateway di Skebby Strong AuthenticationviaSMS Sistemi avanzati di interfacciamento per sviluppo di automatismi (API) semplicita e rapidita di utilizzo pur con completezza di funzionalita Tutti i server, gli switch, e lo storage sono ridondati, nel caso di guasti ad un componente i rimanenti continuano ad erogare il servizio senza interruzione Presidio diretto dei sistemi 12 ore/giorno. Appositi applicativi di monitoraggi controllano 24 ore su 24 tutti i processi ed al verificarsi di qualsiasi anomali provvedono ad avvertire un tecnico che interverra entro unora Piu connessioni dirette in fibra ottica con i principali operatori (TIM, Vodafone e Wind) ed i maggiori aggregatori mobili in grado di offrire connessioni SMS ad alta capacita, potenti, rapidissime capaci di recapitare messaggi su qualsiasi apparato terminale di rete mobile in Italia ed in oltre 170 paesi SLA disponibilita servizio per punto di accesso: 99,7% SMS alta qualita, ricezione immediata e rapporto di consegna 27
Infrastruttura tecnologica Il Gateway di Skebby Strong AuthenticationviaSMS Linfrastruttura si basa su di una piattaforma tecnologica proprietaria Tutta linfrastruttura hardware di Skebby 竪 collocata presso la web Farm KPNQwest disposta su un totale di 1140mq. La struttura 竪 adiacente al MIX di Milano in via Caldera: i server in housing sono controllati 24 ore su 24. Elevata attenzione a procedure e controlli per garantire massima sicurezza Procedure di disaster recovery su infrastruttura virtuale garanzia di continuit Il servizio viene erogato in outsourcing con accesso via Webservice e VPN SLA disponibilita servizio per punto di accesso: 99,7% SMS alta qualita, ricezione immediata e rapporto di consegna 28
Integrazione facile e immediata Il Gateway di Skebby Strong AuthenticationviaSMS Documentazione SMS Gateway API Esempi di codice e SDK Moduli CMS/CRM Moduli Esterni Semplici API SMS Gateway che ti con- sentono di integrare il potente gateway SMS Skebby con la tua applicazione o server web in modo facile e immediato. Allinteno della pagina sviluppatori del nostro sito puoi trovare codici e SDK che puoi copiare e incollare nei tuoi sistemi per inviare SMS con Skebby Disponibili moduli per CMS e CRM facilmente integrabili per darti la possibilita di cominciare subito ad inviare SMS. Librerie sviluppate da nostri clienti per i loro sistemi. Accedendo alla pagina sviluppatri puoi scoprire numerosi codici gia pronti e integrabili. 29
Referenze di Skebby Il Gateway di Skebby Strong AuthenticationviaSMS 30
SCARICALAGUIDA COMPLETAsulla STRONG AUTHENTICATION VIASMS www.skebby.it/risorse- mobile-marketing/white- paper-sms/ 31

More Related Content

Guida alla Strong Authentication via SMS

  • 1. STRONG AUTHENTICATION VIA SMS Come aumentare sicurezza e privacy in modo semplice e a basso costo
  • 2. Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 2
  • 3. Strong Authentication La Strong Authentication Strong AuthenticationviaSMS E il sistema di autenticazione su pi湛 livelli (2FA) che serve per: Verificare lidentita degli utenti Garantire privacy Massimizzare sicurezza Diminuire i rischi di frodi 3
  • 4. Come viene comunemente utilizzata la Strong Authentication Strong AuthenticationviaSMS Criterio statico (Username) Password Codice dinamico OTP (One Time Password) La Strong Authentication 4
  • 5. OTP (One Time Password) Strong AuthenticationviaSMS LOTP, al contrario della password statica, non e vulnerabile dagli attacchi di replica. Inizialmente i mezzi piu diffusi per questo tipo di operazione erano: la chiavetta token e/o la chiamata telefonica. Recentemente un numero crescete di imprese ha iniziato ad utilizzare lSMS per la Strong Authentication degli utenti. La Strong Authentication 5
  • 6. Perch竪 lSMS come strumento di Strong Authentication Il pianeta sta diventando sempre pi湛 mobile.. ed il mobile sta diventando linterfaccia primaria di interazione con il consumatore 6 miliardi di telefoni cellulari nel mondo 4,3 miliardi di utenti mobile attivi nel 2014 1 miliardo di utenti smartphone 65% degli utenti smartphone portano il telefono a letto 25% degli utenti iPhone pensano che il telefono sia un estensione del proprio corpo eMarketer January 2014 The New Research Center Strong AuthenticationviaSMS La Strong Authentication 6
  • 7. LSMS 竪 uno strumento molto utilizzato dalle aziende in Italia Mercato Bulk SMS in Italia Miliardi di SMS, 2011-2013 Fonte: Osservatorio Mobile Marketing & Service di Politecnico di Milano 1.5 1.9 2.2 2011 2012 2013 +24% +15% Strong AuthenticationviaSMS La Strong Authentication 7
  • 8. e nel mondo Fonte: Portio Research LTD Mercato mondiale Bulk SMS A2P e P2A, Miliardi di $, 2010-2017 33.6 39.8 44.3 48.2 50.4 2010 2011 2012 2013 2014 Strong AuthenticationviaSMS La Strong Authentication 8
  • 9. Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 9
  • 10. Come funziona la Strong Authentication via SMS LSMS come strumento di Strong Authentication Lutente inserisce il numero di cellulare allinterno dellinterfaccia web dellazienda I sistemi dellazienda generano una OTP che viene inoltrata allutente via SMS Lutente riceve la OTP via SMS e la inserisce sullinterfaccia web autenticandosi . . . Strong AuthenticationviaSMS 10
  • 11. Generazione di password dispositive usa e getta LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS Lutente inserisce il proprio numero di cellulare sul portale della banca In quel momento sul telefono vera inviato un SMS con la password usa e getta (OTP) Lutente inserira lOTP ricevuta via SMS per autorizzare la disposizione . . . 11
  • 12. Autenticazioneutenti peraccessoadatisensibilieperla sicurezza LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS CHAT APP Il tuo codice di validazione 竪 : 1234 SMS . . . Lutente inserisce il numero di cellulare allinterno dellApp mobile Riceve un SMS con il codice da inserire nellApp Inserisci il codice nellApp per confermare il numero di telefono 12
  • 13. Validazione utenti e liste dei clienti (database) LSMS come strumento di Strong Authentication Strong AuthenticationviaSMS Lutente inserisce il proprio numero di cellulare sul portale web In quel momento sul telefono vera inviato un SMS con il PIN di verifica Lutente inserira il PIN ricevuto via SMS per autorizzare lutente . . . 13
  • 14. Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 14
  • 15. Generazione di password dispositive usa e getta Esempi di utilizzo dellSMS come Strong Authentication CheBanca! ha creato il proprio sistema di Strong Authentication via SMS per confermare le operazioni attraverso il sistema di OTP (One Time Password). Strong AuthenticationviaSMS 15
  • 16. Autenticazione utenti per accesso a dati sensibili Esempi di utilizzo dellSMS come Strong Authentication Regione Lombardia ha creato un portale web che permette al cittadino di consultare il proprio Fascicolo Sanitario Elettronico (FSE), la cartella sanitaria on line con le informazioni mediche e i documenti clinici . . . Strong AuthenticationviaSMS 16
  • 17. Autenticazione utenti per sicurezza identita utenti Esempi di utilizzo dellSMS come Strong Authentication Come gli altri sistemi di messaggistica istantanea, anche Whichapp utilizza la Strong Authentication per identificare lutente associandolo alla SIM / telefono cellulare attraverso linvio di un SMS con codice di verifica. . . . Strong AuthenticationviaSMS 17
  • 18. Validazione utenti e liste dei clienti (database) Esempi di utilizzo dellSMS come Strong Authentication . . . Strong AuthenticationviaSMS Il sistema di ING Direct associa un numero di cellulare per ogni account durante il processo di iscrizione dei clienti. Il sistema oltre a validare lutente, verifica che ogni utente possieda un numero di cellulare al fine di eliminare gli account duplicati. 18
  • 19. Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 19
  • 20. Immediatezza e garanzia della consegna Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS Limmediatezza e la garanzia di consegna dellSMS sono parametri fondamentali per poter garantire il corretto funzionamento dei sistemi di Strong Authentication via SMS. Elementi fondamentali: Tassi di consegna elevati Rapidita di consegna 20
  • 21. Notifica di consegna dei messaggi Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS LSMS potrebbe non venire recapitato dalloperatore mobile. Il sistema deve consegnare lesito dellinvio (Delivery Report o DLR) ed il tipo di errore in modo che lazienda possa decidere come procedere con il processo di autenticazione Stato di consegna 21
  • 22. Scadenza del messaggio Requisiti tecnici della Strong Authentication via SMS Strong AuthenticationviaSMS Il periodo di scadenza, solitamente standard (48 ore) deve poter essere essere configurato ad intervalli ridotti (3 minuti). Se lSMS con OTP non venisse consegnato, lazienda potra procedere con linoltro di un nuovo messaggio con una nuova OTP Cancellazionevecchiomessaggio GenerazionenuovaOTP InvionuovomessaggioconOTP 22
  • 23. Cos竪 la Strong Authentication LSMS come strumento di Strong Authentication Esempi di utilizzo dellSMS come Strong Authentication Requisiti tecnici della Strong Authentication via SMS Il Gateway di Skebby Agenda Strong AuthenticationviaSMS 23
  • 24. Il Gateway di Skebby Il Gateway di Skebby Strong AuthenticationviaSMS SMS Gateway e la piattaforma che consente di inviare e ricevere SMS online direttamente dai sistemi aziendali tramite API e usando i principali linguaggi di programmazione. 24
  • 25. Caratteristiche del servizio Il Gateway di Skebby Strong AuthenticationviaSMS Capacita inoltro SMS verso operatori, minima garantita: 200SMS/s Sicurezza: collegamenti cifrati a 128 bit SSL via HTTPS Invio multipli massivo fino 100.000 numeri con singola richiesta Personalizzazione del mittente con diverse opzioni Definizione del periodo di scadenza messaggio (da 3 min fino a 48 ore) Tracciabilita dello stato di consegna SMS e degli errori per messaggio Reportistica degli SMS inviati, consegnati e degli errori su web/mail SMS lunghi: fino 1530 caratteri (o 10 messaggi concatenati) Ricezione risposte agli SMS inviati Personalizzazione del testo per singolo destinatario con variabili dinamici Spedizioni programmate/ripetute Invio di SMS anche tramite client/server e-mail (SMTP) 25
  • 26. PerformancedelGatewaySMS SkebbyneiprocessidiStrong Authentication Il Gateway di Skebby Strong AuthenticationviaSMS Lombardia Informatica (lIT della Regione Lombardia) ha valutato la piattaforma SMS Skebby rispetto a quella di Telecom Italia nellambito di una gara per la fornitura del servizio di invio SMS per Strong Authentication. Il Gateway SMS Skebby soddisfa i requisiti piu stringenti in termini di immediatezza e garanzia di consegna dei messaggi cosi come in termini di personalizzazione dei parametri es. validita del messaggio. 26
  • 27. Piattaforma SMS Il Gateway di Skebby Strong AuthenticationviaSMS Sistemi avanzati di interfacciamento per sviluppo di automatismi (API) semplicita e rapidita di utilizzo pur con completezza di funzionalita Tutti i server, gli switch, e lo storage sono ridondati, nel caso di guasti ad un componente i rimanenti continuano ad erogare il servizio senza interruzione Presidio diretto dei sistemi 12 ore/giorno. Appositi applicativi di monitoraggi controllano 24 ore su 24 tutti i processi ed al verificarsi di qualsiasi anomali provvedono ad avvertire un tecnico che interverra entro unora Piu connessioni dirette in fibra ottica con i principali operatori (TIM, Vodafone e Wind) ed i maggiori aggregatori mobili in grado di offrire connessioni SMS ad alta capacita, potenti, rapidissime capaci di recapitare messaggi su qualsiasi apparato terminale di rete mobile in Italia ed in oltre 170 paesi SLA disponibilita servizio per punto di accesso: 99,7% SMS alta qualita, ricezione immediata e rapporto di consegna 27
  • 28. Infrastruttura tecnologica Il Gateway di Skebby Strong AuthenticationviaSMS Linfrastruttura si basa su di una piattaforma tecnologica proprietaria Tutta linfrastruttura hardware di Skebby 竪 collocata presso la web Farm KPNQwest disposta su un totale di 1140mq. La struttura 竪 adiacente al MIX di Milano in via Caldera: i server in housing sono controllati 24 ore su 24. Elevata attenzione a procedure e controlli per garantire massima sicurezza Procedure di disaster recovery su infrastruttura virtuale garanzia di continuit Il servizio viene erogato in outsourcing con accesso via Webservice e VPN SLA disponibilita servizio per punto di accesso: 99,7% SMS alta qualita, ricezione immediata e rapporto di consegna 28
  • 29. Integrazione facile e immediata Il Gateway di Skebby Strong AuthenticationviaSMS Documentazione SMS Gateway API Esempi di codice e SDK Moduli CMS/CRM Moduli Esterni Semplici API SMS Gateway che ti con- sentono di integrare il potente gateway SMS Skebby con la tua applicazione o server web in modo facile e immediato. Allinteno della pagina sviluppatori del nostro sito puoi trovare codici e SDK che puoi copiare e incollare nei tuoi sistemi per inviare SMS con Skebby Disponibili moduli per CMS e CRM facilmente integrabili per darti la possibilita di cominciare subito ad inviare SMS. Librerie sviluppate da nostri clienti per i loro sistemi. Accedendo alla pagina sviluppatri puoi scoprire numerosi codici gia pronti e integrabili. 29
  • 30. Referenze di Skebby Il Gateway di Skebby Strong AuthenticationviaSMS 30