I sistemi di autenticazione avanzata

Digest e Advanced Digest authentication

Questo sistema di autenticazione richiede la presenza di Active Directory e funziona nel seguente modo:

1. Il server invia al browser (protocollo http 1.1) la richiesta di credenziali mediante MD5 inviando un apposito hash

2. Il client invia al server la password e username codificata in MD5 mediante la hash inviata dal server

3. Il server controlla mediante un domain controller che i dati siano corretti

La differenza tra Digest e Advanced Digest è che nel secondo metodo la password nel DC (Domain Controller) è già codificata in MD5 e non è inviata come testo in chiaro. Questo comporta naturalmente un maggiore livello di sicurezza.

Integrated Windows authentication

Esistono due metodi di autenticazione integrata in Windows e sono Kerberos (open source) oppure NTLM (proprietario di Microsoft). In entrambi i metodi i dati sono passati in forma criptata mediante hash della password ed il controllo avviene su un DC, necessario perciò l’indicazione del dominio di riferimento. Kerberos è un po più complesso e anche sicuro perchè l’autenticità di server e client viene fatta mediante un terzo server, il Key Distribution Center (KDC), il quale rilascia un TGT (Ticket granting ticket) a ciascun utente che lo può usare per accedere alle risorse.

.NET Passport authentication

Permette di utilizzare il sistema .Net Passport per l’autenticazione dell’utente. Richiede la preregistrazione e la sottoposizione del sito all’approvazione di Microsoft, le richieste dalle proprie pagine devono seguire le specifiche indicate nel Passport SDK. Una trattazione più dettagliata di questo metodo esula dagli obiettivo di questo articolo.

Questi ultimi 3 sistemi sono molto sicuri, anche se richiedono una configurazione anche di instrastrutture, molto più complessa. In pratica la scelta di quale sistema adottare si deve basare sulle richieste di sicurezza, sulla complessità di implementazione, sulle risorse a cui si vuole accedere.