Autenticazione Biometrica: dove siamo e quali gli impatti

(di Carlo Mauceli)
14/09/19

Sono passati 23 anni da quando Peter Steiner ha pubblicato la famigerata vignetta "Su Internet, nessuno sa che sei un cane" su The New Yorker, illustrando e, in qualche misura, anticipando in maniera eloquente e semplice le sfide legate all’identità online.

Oggi, molte organizzazioni stanno ancora lottando per risolvere l’enigma relativo al fatto se coloro che accedono alle informazioni in rete siano il proverbiale "cane su Internet", ossia se “sono chi dicono di essere e non fingono di essere qualcun altro”.

Le conseguenze di questa che è diventata una vera e propria guerra sono significative: anno dopo anno l'identità continua ad essere il più sfruttato vettore di attacco nel cyberspace.

Il problema più grande? Semplice: la password, violata in continuazione e che, nonostante tutto, continua ad essere utilizzata da tutti in tutto il mondo, sia che si parli di aziende sia che si tratti di individui ed il tutto condito dalla cronica cocciutaggine o incoscienza di nessuna ulteriore protezione quale potrebbe essere l’utilizzo di soluzioni di fattori di autenticazione multipli. Quest’ultimo fenomeno straordinariamento vero, ahimè, nelle aziende.

Il mondo hacker segue tecniche e dinamiche simili all’industria, dove domanda e offerta determinano il prezzo di un prodotto. È possibile comprare il codice di un exploit non ancora noto, l’elenco di username e password trafugati da non importa dove, singoli numeri di carta di credito garantiti, validi ancora almeno per alcuni giorni, ecc. Insomma, un fantastico mercato dove, semplicemente, oscurando la propria identità si possono fare affaroni!!!

Da tutto ciò derivano fenomeni come il “Credential Stuffing” che si basa su due dei nodi più deboli di una intera catena di sicurezza: le persone e le loro password.

Il concetto di “non usare la stessa password su più siti” è arcinoto. Ce lo sentiamo ripetere spesso ed ora, ancor di più, anche quando ci registriamo su un nuovo sito. Ma quante persone realmente usano questa accortezza?

Ovviamente non stiamo parlando degli addetti ai lavori, che usano un gestore di password o meccanismi simili. Dobbiamo pensare al grande pubblico non così evoluto dal punto di vista informatico. In questo contesto è molto probabile che venga usata la stessa password su ben più di due siti.

Sfruttando questa vulnerabilità intrinseca, ecco che un attaccante si specializza nella ricerca di combinazioni di username e password valide. Il primo passo è quello di comprare nel dark web un archivio di username e password trafugate. Con questo database tra le mani si iniziano a provare tutte le combinazioni su siti diversi alla ricerca di persone che hanno usato più volte la stessa login, spesso un indirizzo email, e la stessa password. Il risultato finale è un distillato di username e password valide su social media, servizi email, e-commerce il cui valore è molto alto oltre al fatto che molto spesso, le credenziali utilizzate sono quelle aziendali. Ecco quindi che l’uso della stessa password su più siti espone le informazioni personali ben oltre il sito “bucato”.

La sfida con le password, unita ad altri metodi di autenticazione inadeguati, si è amplificata con l’avvento del cloud. La ragione? Semplice: l'ascesa del cloud abbinata all’esplosione dei dispositivi mobili che ne fanno un uso pesante, significa che, sempre più, i dati vengono acceduti al di fuori di quella che era considerata la rete di un'organizzazione per la quale, purtroppo, continuano ad essere utilizzati controlli di sicurezza tradizionali.

E qui torniamo al punto di partenza, ossia “nel cloud, la prima domanda a cui un sistema deve rispondere è "sei chi dici di essere?" Non dimentichiamocelo mai: “l'autenticazione è la "chiave" per accedere alla porta di una qualsiasi risorsa cloud e, come amo dire, l’autenticazione è il cuore di qualsiasi infrastruttura e rappresenta i gioielli di famiglia da difendere a tutti i costi e con qualsiasi mezzo.
Di fronte a un fenomeno in costante crescita, l'identificazione biometrica viene considerata da molti come il sistema più immediato per avere una gestione degli accessi che sia, allo stesso tempo, ragionevolmente sicura e abbastanza semplice per chi si deve identificare.

Il lancio di Apple del Touch ID nell’ormai lontano 2013, che offre agli utenti la possibilità di sbloccare i loro telefoni con le loro impronte digitali oppure con un PIN, ha, di fatto, definito il riconoscimento delle impronte digitali come un nuovo fattore di autenticazione, commercialmente distribuito tramite gli smartphone.

Oggi, i sensori di impronte digitali sono un'offerta presente su smartphone e laptop ed anche il riconoscimento facciale sta guadagnando terreno. Oltre a viso e dito, oggi come oggi, iride, voce e battito cardiaco sono altre tre modalità biometriche che si stanno affermando sul mercato. Nel frattempo, Apple è stata affiancata da importanti produttori tra cui Microsoft, Lenovo, Samsung, LG e Fujitsu nell'incorporamento di sensori biometrici all’interno dei dispositivi.

Dal punto di vista dell'autenticazione, le implicazioni del fenomeno di “consumerizzazione” della biometria sono significative: anziché richiedere a un utente di inserire una password o inserire un token, la biometria consente a un dispositivo di "riconoscere" semplicemente un utente. Se configurato correttamente, questo sistema può portare a esperienze di autenticazione senza password che sono molto più facili da usare rispetto ad altre tecnologie.

Nel cloud, in cui gli utenti si aspettano un accesso immediato e su richiesta ad applicazioni e dati, la biometria offre la possibilità di semplificare l'autenticazione, migliorando al contempo la privacy e la sicurezza. Non è un caso che la biometria stia aiutando l'industria a superare i limiti di usabilità che hanno ostacolato l'adozione dell'autenticazione di prima generazione, favorendo una maggiore adozione di strumenti di autenticazione sicuri in tutto il mercato.

Tuttavia, non tutte le biometrie sono uguali e alcune tecnologie e configurazioni possono creare rischi significativi per la sicurezza e la privacy nonché sfide normative e di conformità. Questi rischi devono essere affrontati al fine di distribuire i fattori biometrici in modo responsabile e sicuro.

Al centro del problema c'è il fatto che le tecnologie biometriche variano secondo due principi fondamentali:

L’affidabilità dei dispositivi indipendentemente dalle diverse modalità di autenticazione, ossia viso, impronte digitali, iride, ecc. Il mercato è molto vario in questo contesto e ci sono soluzioni che sono altamente affidabili e altre che lo sono assai meno. Due fattori devono essere sempre tenuti in considerazione:

  • False Accept Rate (FAR) che indica con quale frequenza il sistema biometrico accetta la biometria della persona sbagliata;
  • False Reject Rate (FRR) che indica con quale frequenza il sistema biometrico rifiuta la biometria della persona giusta.

Le differenti modalità con cui i sistemi biometrici sono progettati e distribuiti possono avere un impatto significativo sul fatto che siano in grado di migliorare la sicurezza e la privacy oppure no.

Una differenza importante tra le modalità di autenticazione basate sulla biometria e altre soluzioni di autenticazione è che queste ultime, come password e token, possono essere modificate o revocate. Ciò significa che se vengono rubate o compromesse, c'è sempre un modo, abbastanza semplice, per rilasciare una nuova soluzione e risolvere il problema.

La biometria, al contrario, è permanente e, pertanto, la divulgazione involontaria di dati biometrici può avere conseguenze più difficili da correggere di una semplice password violata. Per questo motivo, qualsiasi implementazione della biometria deve essere fatta con estrema attenzione al fine di mitigare la possibilità che l'impronta digitale o il volto di qualcuno, ad esempio, possa essere compromessa.

Per mitigare i rischi informatici, soddisfare i requisiti normativi e garantire l’accesso alle risorse in modo semplice e più sicuro è sempre più necessaria un’autenticazione che protegga l’identità degli utenti contro le minacce e che, indirettamente, ne protegga la loro privacy.

L’utilizzo della biometria come meccanismo di autenticazione, se implementata correttamente e in conformità con gli standard, può consentire alle aziende di proteggere con un livello superiore l’identità rispetto a quanto viene fatto ancora oggi con l’uso delle password.

Rimangono ancora diverse domande e molti dubbi intorno all’utilizzo della biometria come metodologia di autenticazione:

 dove sono memorizzati i dati biometrici?

 dove viene effettuato il match della biometria?

 la biometria è l’unico fattore richiesto per autenticarsi?

 Come vengono protette le informazioni biometriche?

Lasciamo in sospeso le risposte, per il momento, con la promessa di approfondirle prossimamente.

Foto: web / U.S. Air Force / U.S. Air National Guard