Sono
passati 23 anni da quando Peter Steiner ha pubblicato il famigerato
"Su Internet, nessuno sa che sei un cane" il
famoso cartone animato in “The New Yorker”, illustrando e, in
qualche misura, anticipando in maniera eloquente e semplice le sfide
legate all’identità online.
Oggi,
molte organizzazioni stanno ancora lottando per risolvere l’enigma
relativo al fatto se coloro che accedono alle informazioni in rete
siano il proverbiale "cane su Internet,"
ossia se “sono chi dicono di essere e non fingono di essere
qualcun altro”. Le conseguenze di questa che è diventata
una vera e propria guerra sono significative: anno dopo anno
l'identità continua ad essere il più sfruttato vettore di attacco
nel cyberspace. Il problema più grande? Semplice: la password,
violata in continuazione e che, nonostante tutto, continua ad essere
utilizzata da tutti in tutto il mondo, sia che si parli di aziende
sia che si tratti di individui ed il tutto condito dalla cronica
cocciutaggine o incoscienza di nessuna ulteriore protezione quale
potrebbe essere l’utilizzo di soluzioni di fattori di
autenticazione multipli. Quest’ultimo fenomeno straordinariamento
vero, ahimè, nelle aziende.
Il
mondo hacker segue tecniche e dinamiche simili all’industria, dove
domanda e offerta determinano il prezzo di un prodotto. È possibile
comprare il codice di un exploit non ancora noto, l’elenco di
username e password trafugati da non importa dove, singoli numeri di
carta di credito garantiti, validi ancora almeno per alcuni giorni,
ecc. Insomma, un fantastico mercato dove, semplicemente, oscurando la
propria identità si possono fare affaroni!!! Da tutto ciò derivano
fenomeni come il “Credential Stuffing” che si basa su due
dei nodi più deboli di una intera catena di sicurezza: le persone
e le loro password. Il concetto di “non usare la stessa
password su più siti” è arcinoto. Ce lo sentiamo ripetere
spesso ed ora, ancor di più, anche quando ci registriamo su un nuovo
sito. Ma quante persone realmente usano questa accortezza? Ovviamente
non stiamo parlando degli addetti ai lavori, che usano un gestore di
password o meccanismi simili. Dobbiamo pensare al grande pubblico non
così evoluto dal punto di vista informatico. In questo contesto è
molto probabile che venga usata la stessa password su ben più di due
siti.
Sfruttando
questa vulnerabilità intrinseca, ecco che un attaccante si
specializza nella ricerca di combinazioni di username e password
valide. Il primo passo è quello di comprare nel dark web un archivio
di username e password trafugate. Con questo database tra le mani si
iniziano a provare tutte le combinazioni su siti diversi alla ricerca
di persone che hanno usato più volte la stessa login, spesso un
indirizzo email, e la stessa password. Il risultato finale è un
distillato di username e password valide su social media, servizi
email, e-commerce il cui valore è molto alto oltre al fatto che
molto spesso, le credenziali utilizzate sono quelle aziendali. Ecco
quindi che l’uso della stessa password su più siti espone le
informazioni personali ben oltre il sito “bucato”.
La
sfida con le password, unita ad altri metodi di autenticazione
inadeguati, si è amplificata con l’avvento del cloud. La ragione?
Semplice: l'ascesa del cloud abbinata all’esplosione dei
dispositivi mobili che ne fanno un uso pesante, significa che, sempre
più, i dati vengono acceduti al di fuori di quella che era
considerata la rete di un'organizzazione per la quale, purtroppo,
continuano ad essere utilizzati controlli di sicurezza tradizionali.
E
qui torniamo al punto di partenza, ossia “nel cloud, la prima
domanda a cui un sistema deve rispondere è "sei chi dici di
essere?" Non dimentichiamocelo mai: “l'autenticazione
è la "chiave" per accedere alla porta di una qualsiasi
risorsa cloud e, come amo dire, l’autenticazione è il cuore di
qualsiasi infrastruttura e rappresenta i gioielli di famiglia da
difendere a tutti i costi e con qualsiasi mezzo.
Di
fronte a un fenomeno in costante crescita, l'identificazione
biometrica viene considerata da molti come il sistema più immediato
per avere una gestione degli accessi che sia, allo stesso tempo,
ragionevolmente sicura e abbastanza semplice per chi si deve
identificare.
Il
lancio di Apple del Touch ID nell’ormai lontano 2013, che offre
agli utenti la possibilità di sbloccare i loro telefoni con le loro
impronte digitali oppure con un PIN, ha, di fatto, definito il
riconoscimento delle impronte digitali come un nuovo fattore di
autenticazione, commercialmente distribuito tramite gli smartphone.
Oggi,
i sensori di impronte digitali sono un'offerta presente su smartphone
e laptop ed anche il riconoscimento facciale sta guadagnando terreno.
Oltre a viso e dito, oggi come oggi, iride, voce e battito cardiaco
sono altre tre modalità biometriche che si stanno affermando sul
mercato. Nel frattempo, Apple è stata affiancata da importanti
produttori tra cui Microsoft, Lenovo, Samsung, LG e Fujitsu
nell'incorporamento di sensori biometrici all’interno dei
dispositivi.
Dal
punto di vista dell'autenticazione, le implicazioni del fenomeno di
“consumerizzazione” della biometria sono significative: anziché
richiedere a un utente di inserire una password o inserire un token,
la biometria consente a un dispositivo di "riconoscere"
semplicemente un utente. Se configurato correttamente, questo sistema
può portare a esperienze di autenticazione senza password che sono
molto più facili da usare rispetto ad altre tecnologie.
Nel
cloud, in cui gli utenti si aspettano un accesso immediato e su
richiesta ad applicazioni e dati, la biometria offre la possibilità
di semplificare l'autenticazione, migliorando al contempo la privacy
e la sicurezza. Non è un caso che la biometria stia aiutando
l'industria a superare i limiti di usabilità che hanno ostacolato
l'adozione dell'autenticazione di prima generazione, favorendo una
maggiore adozione di strumenti di autenticazione sicuri in tutto il
mercato.
Tuttavia,
non tutte le biometrie sono uguali e alcune tecnologie e
configurazioni possono creare rischi significativi per la sicurezza e
la privacy nonché sfide normative e di conformità. Questi rischi
devono essere affrontati al fine di distribuire i fattori biometrici
in modo responsabile e sicuro.
Al
centro del problema c'è il fatto che le tecnologie biometriche
variano secondo due principi fondamentali:
- L’affidabilità dei dispositivi indipendentemente dalle diverse modalità di autenticazione, ossia viso, impronte digitali, iride, ecc. Il mercato è molto vario in questo contesto e ci sono soluzioni che sono altamente affidabili e altre che lo sono assai meno. Due fattori devono essere sempre tenuti in considerazioni:
- False Accept Rate (FAR) che indica con quale frequenza il sistema biometrico accetta la biometria della persona sbagliata;
- False Reject Rate (FRR) che indica con quale frequenza il sistema biometrico rifiuta la biometria della persona giusta.
- Le differenti modalità con cui i sistemi biometrici sono progettati e distribuiti possono avere un impatto significativo sul fatto che siano in grado di migliorare la sicurezza e la privacy oppure no.
Una
differenza importante tra le modalità di autenticazione basate sulla
biometria e altre soluzioni di autenticazione è che queste ultime,
come password e token, possono essere modificate o revocate. Ciò
significa che se vengono rubate o compromesse, c'è sempre un modo,
abbastanza semplice, per rilasciare una nuova soluzione e risolvere
il problema.
La
biometria, al contrario, è permanente e, pertanto, la divulgazione
involontaria di dati biometrici può avere conseguenze più difficili
da correggere di una semplice password violata. Per questo motivo,
qualsiasi implementazione della biometria deve essere fatta con
estrema attenzione al fine di mitigare la possibilità che l'impronta
digitale o il volto di qualcuno, ad esempio, possa essere
compromessa.
Per mitigare i rischi
informatici, soddisfare i requisiti normativi e garantire l’accesso
alle risorse in modo semplice e più sicuro è sempre più necessaria
un’autenticazione che protegga l’identità degli utenti contro le
minacce e che, indirettamente, ne protegga la loro privacy.
L’utilizzo
della biometria come meccanismo di autenticazione, se implementata
correttamente e in conformità con gli standard, può consentire alle
aziende di proteggere con un livello superiore l’identità rispetto
a quanto viene fatto ancora oggi con l’uso delle password.
Rimangono
ancora diverse domande e molti dubbi intorno all’utilizzo della
biometria come metodologia di autenticazione:
- dove sono memorizzati i dati biometrici?
- dove viene effettuato il match della biometria?
- la biometria è l’unico fattore richiesto per autenticarsi?
- Come vengono protette le informazioni biometriche?
Lasciamo
in sospeso le risposte, per il momento, con la promessa di
approfondirle prossimamente.
Carlo Mauceli
Nessun commento:
Posta un commento