Indietro

ⓘ Account




Account
                                     

ⓘ Account

Un account, in informatica, indica quellinsieme di funzionalità, strumenti e contenuti attribuiti ad un nome utente che, in determinati contesti operativi, il sistema mette a disposizione dellutente un ambiente con contenuti e funzionalità personalizzabili, oltre ad un conveniente grado di isolamento dalle altre utenze parallele. Il termine deriva dal gergo bancario, ed infatti in molte lingue la stessa parola indica un conto corrente ed un conto in banca, ad esempio in lingua inglese o polacco, quasi ad evidenziare la possibilità di usufruire di servizi che ha un utente registrato ed identificato presso un sito web.

Infatti, il sistema informatico è in grado di riconoscere lidentità del titolare di un account, ne memorizza e conserva un insieme di dati ed informazioni attribuite ad esso, spesso da esso unicamente gestibili ed accessibili per un utilizzo futuro. In questo si differenzia da altre modalità di accesso a sistemi di servizio interattivi che non presuppongono la ripetizione del rapporto con lutente. Linsieme di dati e informazioni che individuano il titolare dellaccount nonché le preferenze di utilizzo, rappresentano il profilo associato allaccount.

                                     

1. Procedura daccesso o login

Laccesso a un account è un processo chiamato login o logon ed associato ad una procedura di riconoscimento, detta autenticazione.

Durante lautenticazione, sono richieste le credenziali daccesso, cioè il nome utente e la relativa password parola dordine o chiave daccesso. Tali credenziali possono essere definite manualmente da un amministratore o generate automaticamente attraverso un processo di registrazione denominata signup.

Il nome utente dovrebbe essere tale da consentire un riconoscimento univoco dellutenza. Non è impossibile, tuttavia, che ad una singola utenza sia associata una pluralità di nomi utenti.

Il nome utente, frequentemente, è conoscibile in forma pubblica, ed è sempre noto allamministratore del sistema. La password, invece, è uninformazione rigorosamente attribuita al possesso dellutente, che ne è unico responsabile. Allo scopo, viene conservata dal sistema in forma criptata non reversibile funzione di hash. Può essere sovrascritta in qualunque momento dallamministratore con una nuova password, senza che questa azione permetta allo stesso amministratore di risalire alla password originale. Questo ha significato se si pensa che lutente per ricordare le password a memoria avrà delle preferenze nella scelta delle sue chiavi che per questioni di sicurezza è bene non siano individuate da persone estranee anche se si tratta di un amministratore.

La complessità delle funzionalità richieste al processo di accesso impone di affidarne la gestione a veri programmi autonomi. Quelli con interfaccia grafica sono chiamati desktop manager. Tra i principali si possono citare kdm e gdm, che implementano, tra le altre cose, degli strumenti di configurazione molto flessibili, basati su tecnologie xml, lautologin, un menu con la lista degli utenti, un menu con la lista degli ambienti desktop e dei gestori graficidisponibili, uno strumento per laccesso remoto a servizi remoti in ascolto, come lXDMCP e via dicendo.

                                     

2. Implementazioni e cenni storici

In campo informatico, esistono numerose tipologie di account, associate a servizi di ogni genere e tipo. Vedi ad esempio funzioni bancarie, basi di dati, wiki come il presente, forum, e via dicendo. Per ciascuna di esse laccount è regolata con tecniche e modalità differenti, come ad esempio le acl access control list.

Storicamente, laccount nasce come tecnologia per regolare le utenze di un sistema operativo. La prima implementazione di tale forma di account è stata definita dai cosiddetti sistemi unix. Risale al 1969 ed è utilizzata con modalità pressoché inalterate ancora oggi.

Grazie allaccount diversi utenti possono utilizzare il medesimo dispositivo, personalizzando lesperienza duso in maniera sicura e autonoma. Preferenze, impostazioni, automazione di servizi possono essere così attuati attraverso il ricorso indipendente e separato di un account.

                                     

2.1. Implementazioni e cenni storici I sistemi Unix

Nei sistemi Unix e Unix-like, ciascuna utenza è associata ad un numero che la identifica UID e ad uno o più numeri GID che identificano i gruppi di cui essa fa parte, di cui uno è detto gruppo principale e gli altri sono detti gruppi supplementari. Ciascun numero viene associato ad almeno un nome utente e ad almeno un nome di gruppo. I diversi nomi eventualmente attributi allo stesso numero identificativo sono considerati del tutto equivalenti dal sistema.

Ad ogni utenza sono inoltre assegnate:

  • una password per effettuare lautenticazione alcune utenze di sistema possono non averla, ed in tal caso non è possibile effettuare direttamente il login con tali utenze;
  • una data di scadenza facoltativa della password;
  • una shell da eseguire allatto del login;
  • una quantità massima di spazio occupato nel file system dai file dellutente, detta quota facoltativa.
  • una breve descrizione testuale facoltativa dellutente;
  • una home directory per i suoi dati;

Lassegnamento di tali informazioni deve essere effettuata dallamministratore di sistema prima del primo utilizzo effettivo da parte dellutenza. Lassegnamento di home directory e shell comporta anche la creazione automatica, nellarea dellutente, di file di preferenze di default che lutente può poi personalizzare.

A loro volta, ciascuna risorsa presente nei file system è associata ad uno UID che ne identifica il proprietario e ad un GID che ne identifica il gruppo di appartenenza.

Ciascun processo è associato:

  • ad uno UID usato ai fini dei permessi, detto effective UID, che solitamente coincide col precedente, ma che può essere diverso in caso di programmi che usano il permesso setuid;
  • ad un GID detto saved effective GID, che inizialmente coincide con lo effective GID, ma che in seguito può cambiare in caso di programmi che usano il permesso setgid;
  • ad uno UID principale, detto real UID, che ne identifica il proprietario e che inizialmente è quello associato allutente che ha avviato il processo;
  • ad un GID detto effective GID, che solitamente coincide con il GID principale associato al processo, ma che può essere diverso in caso di programmi che usano il permesso setgid;
  • ad una serie di GID, di cui uno è detto principale e gli altri supplementari, che sono quelli associati allutente che ha avviato il processo;
  • ad uno UID detto saved effective UID, che è inizializzato con il valore dello effective UID ma che in seguito può variare in caso di programmi che usano il permesso setuid;

Gli UID ed i GID assegnati agli utenti sono usati per inizializzare i vari UID e GID dei processi che essi avviano. Questi ultimi sono di volta in volta confrontati dal sistema con gli UID e GID assegnati ai file, unitamente ai loro permessi, per implementare una stretta attività di controllo sui contenuti e operazioni. Questo insieme di informazioni costituisce il profilo di sicurezza dellutente.

Un utente molto particolare è quello associato allo UID 0, normalmente denominato con lo username root. Lutente root è lamministratore del sistema e possiede un controllo pressoché totale di esso. Al contrario gli altri utenti possiedono funzionalità limitate secondo modalità e criteri complessi. Esistono infatti, utenti di sistema, associati generalmente a singole funzionalità di controllo della macchina ed utenti semplici, associati a vere e proprie account.

Nel maggior numero di sistemi Unix, le informazioni su nome utente, nome gruppo, password, etc., sono mantenuti nei file /etc/passwd, /etc/group ed /etc/shadow, ma possono anche essere mantenuti in un server NIS+, o in un servizio di directory accessibile via LDAP.



                                     

2.2. Implementazioni e cenni storici Linteroperabilità

In sistemi di rete eterogenei, sorge frequentemente la necessità di centralizzare in un unico servizio la gestione degli utenti e dei dati ad essi correlati. In questi casi, le tecnologie adottate devono ad un tempo sostenere le dimensioni di scala del sistema e supportare la compatibilità tra i servizi le unità esistenti. Ad esempio, può accadere che in un sistema coesistano macchine che eseguono sistemi operativi differenti ed offrano una molteplicità di servizi e.g.: condivisione della memoria di massa, telefonia e servizio mail. Un meccanismo di autenticazione centralizzata garantisce linteroperabilità e la fruibilità piena del sistema agli utenti.

Si utilizzano in questi casi tecnologie articolate, composte da basi di dati e protocolli di autenticazione e crittografia. Limpiego congiunto di database LDAP, del protocollo di autenticazione kerberos e del sistema di crittografia SSL/TLS ne offre un modello significativo.

                                     

2.3. Implementazioni e cenni storici Altri modelli

Ladozione rigorosa del meccanismo account-username definito nei sistemi Unix ha vissuto un parziale abbandono con la diffusione dei personal computer, votati inizialmente allutilizzo in modalità standalone. Negli anni novanta, con lavvento della grafica nei sistemi Apple prima e Windows successivamente, ha avuto vita unimplementazione del tutto anomala del concetto di account, in cui lutente si vedeva conferita una identità limitata ad alcune funzioni, ma che non garantiva assolutamente alcuna salvaguardia della riservatezza dei propri contenuti. Nei sistemi operativi Windows 98 e precedenti, infatti, la forzatura delle password costituiva operazione elementare tale da non richiedere alcuna competenza tecnica particolare ed era consentita senza discriminazione a chiunque.

Lo sviluppo dilagante delle forme di interazione in rete dei sistemi informatici ha determinato successivamente un completo abbandono di tali modelli. Già intorno al 1999, infatti, Apple adottava il sistema operativo MacOS, totalmente conforme al modello unix, mentre Microsoft si disponeva finalmente, alla fine del 2001, al rilascio del sistema operativo Windows XP, con il quale è introdotta una distinzione più articolata tra i ruoli dellutente amministratore da quello dellutente semplice. Windows Vista ha offerto allora unevoluzione ulteriore dei modelli Microsoft di account, associato alla sigla UAC, che corrispondeva ai criteri di qualità universalmente assicurati dagli altri soggetti sul mercato. Da Windows 8 in poi laccount del sistema operativo si è integrato, a tutti gli effetti, con quello Microsoft per gli altri servizi.

Altri sistemi operativi come Linux o Mac dispongono della funzionalità account. Anche su qualsiasi dispositivo mobile il sistema operativo iOS, Android o Windows opera attraverso un account, rispettivamente Apple, Google o Microsoft. Infine, portali, applicazioni, strumenti web permettono a volte obbligano a operare attraverso un account.

Con lo sviluppo della modalità cloud e il concetto chiave di sincronizzazione lattivazione di un account è fondamentale ed è parte integrante della logica.

                                     

2.4. Implementazioni e cenni storici Applicazioni

In pratica, limpiego di un account permette di personalizzare utente lesperienza di fruizione di un programma informatico, servizio digitale, piattaforma operativa, strumento applicativo o, banalmente, un sito web. La specifica personalizzazione di un account si chiama configurazione: i vari utenti, eseguendo il login con la propria credenziale, si ritrovano ambienti di utilizzo graditi e collaudati.

A parte il contesto dei sistemi operativi, il concetto di account è fondamentale anche per lutilizzo di applicazioni e siti web. Uno degli utilizzi principali è quello dei programmi client di Posta elettronica. Mediante laccount, lutente può personalizzare lesperienza di utilizzo dellapplicazione nonché, sfruttando la sincronizzazione, ritrovare il proprio ambiente di lavoro su diversi dispositivi. In generale, limpiego di un account è diventato pressoché scontato nellesperienza di utilizzo della maggior parte dei servizi informatici.

Un altro ambito di utilizzo del concetto di account è quello della connessione a reti wireless per e/o la navigazione internet: in pratica, si tratta di conseguire mediante linserimento di dati di riconoscimento e codici laccesso a utilizzare internet, specie per utenti ospiti.