A volte indicata come autenticazione bidirezionale, l’autenticazione reciproca è un approccio all’interno del processo di comunicazione elettronica che consente sia al punto di origine che al punto di terminazione di un collegamento di comunicazione di verificarsi o autenticarsi a vicenda. Questo è un processo comune che fa parte della funzione di base di molti diversi sistemi di comunicazione, sia privati che pubblici. Il motivo essenziale per l’autenticazione reciproca è garantire che entrambe le parti comunichino con entità legittime e non con una parte che cerca di sembrare qualcun altro.
All’interno di un ambiente di rete privato, ad esempio all’interno dei confini di un’azienda, l’autenticazione reciproca funziona come mezzo per consentire al client di verificare o autenticare il server. Questo aiuta il cliente o l’utente finale a sapere che si sta connettendo con il server aziendale e sarà in grado di accedere a tutti i dati sul server che è consentito con le sue credenziali di accesso. Allo stesso tempo, il server autenticherà il client, verificando le credenziali e le autorizzazioni inserite rispetto al profilo creato per il client. Se tutto sembra essere in ordine, la comunicazione continuerà. Tuttavia, se il client o il server rilevano qualcosa di sospetto, il collegamento di comunicazione di solito si interrompe come misura di sicurezza.
Sempre più aziende utilizzano l’autenticazione reciproca per proteggere sia l’azienda che i clienti da frodi online, furto di identità e altri problemi. Ad esempio, molte istituzioni finanziarie richiedono non solo un nome utente e una password per accedere agli account in un ambiente online, ma anche un ulteriore livello di identificazione, come la capacità di identificare il computer che l’utente finale normalmente utilizza per accedere al sito. Se il computer non viene riconosciuto, le misure di sicurezza possono richiedere la cosiddetta autenticazione a due fattori. Questo livello aggiuntivo può essere un’immagine associata al profilo del cliente o un meccanismo aggiuntivo simile a cui l’utente finale deve rispondere prima che venga concesso l’accesso.
Il metodo di base per impegnarsi nell’autenticazione reciproca prevede l’utilizzo del cosiddetto protocollo Transport Layer Security. In sostanza, questo tipo di protocollo funziona per consentire al server di identificare il timestamp più recente e altri dati associati al client. Se il presunto client è in realtà un sito di phishing, TLS rileverà che qualcosa non va e interromperà la connessione.