La rete eduroam nasce sulla base del concetto di autenticazione federata, cioè un sistema con il quale l’utente si autentica (cioè invia il proprio username e password) solo ed esclusivamente con la propria organizzazione di appartenenza, garantendo sicurezza e privacy (l’ente dove fisicamente ci si trova, non può vedere username e password dell’utente). Un’opportuna configurazione dei sistemi di autenticazione, basata appunto su una struttura federata (ovvero configurando opportune catene di autenticazione tra le diverse organizzazioni), rende tecnicamente possibile ciò.
La conseguenza è appunto quella di poter accedere alla rete ovunque, con sicurezza e privacy, senza modificare la configurazione del proprio dispositivo.
Purtroppo però, l’enorme varietà di dispositivi, sistemi operativi e diverse interpretazioni e implementazioni da parte dei diversi produttori, rendono vero questo scenario solo se si seguono le corrette operazioni di configurazione (e talvolta comunque i produttori mettono dei paletti o hanno dei bug di implementazione che limitano l’utente*).
In particolare, il “cuore” del funzionamento consiste nel far capire al proprio dispositivo quale siano realmente gli autentici server di autenticazione autorizzati del proprio ente a cui mandare il proprio username e password. Ciò deve essere fatto preventivamente, altrimenti ci si espone ad esempio alla possibilità che una figura malevola esponga la rete Wi-Fi con nome eduroam ma inserisca un suo server di autenticazione carpendo così le credenziali.
È questo il motivo per cui è indispensabile utilizzare il configuratore CAT per configurare correttamente e preventivamente i propri dispositivi. Non fare ciò espone (con diversi gradi di rischio a seconda del proprio specifico sistema) al facile furto delle proprie credenziali, con tutte le conseguenze del caso.
* ad esempio su Android, Google richiede di impostare un metodo di sblocco ritenuto “sicuro”, altrimenti non è possibile configurare correttamente il dispositivo; un altro esempio è Samsung che per qualche tempo su alcuni suoi dispositivi con Android 11 ha messo dei limiti sull’utilizzo dell’identità anonima, togliendo quindi questa garanzia all’utente.