Il riconoscimento biometrico ci consente sicurezza e univocità nell’autenticazione e al contempo semplifica il processo di gestione delle credenziali, non coinvolgendo la nostra – fallibile – memoria, e velocizza l’autenticazione, rendendola pressoché immediata. Una soluzione davvero comoda. Forse troppo però, per essere davvero efficace come siamo portati a credere.
Esistono infatti diversi rischi connessi con il nostro progressivo e sempre maggiore affidamento a sistemi di autenticazione biometrica, che si stanno diffondendo sempre di più sui nostri smartphone, tablet e personal computer.
Perché facile non vuol dire sicuro
La comodità d’uso delle misure di sicurezza informatiche è spesso inversamente proporzionale alla loro effettiva sicurezza. Facciamo un paio di esempi per chiarire il concetto: se è vero che una password come “1234” è facile da memorizzare, è altrettanto vero che sarà facile per un soggetto non autorizzato forzare il sistema protetto da quella password. Allo stesso modo, se è vero che scrivere la password del pc su un appunto vicino al computer stesso è davvero comodo, è altrettanto vero che la presenza di quell’appunto compromette completamente la sicurezza del sistema stesso.
Ultimamente si sono però diffusi strumenti di autenticazione che promettono un elevato livello di sicurezza e lo coniugano con una straordinaria comodità di gestione, si tratta dei sistemi di autenticazione biometrica, quelli, cioè, che consentono di identificare una persona sulla base di una o più caratteristiche biologiche e/o comportamentali confrontandole con dati precedentemente immagazzinati.
Innanzitutto chi si affida ad un sistema di riconoscimento biometrico nella stragrande maggioranza dei casi non conosce né il dato inserito, né il dato immagazzinato per il confronto.
Nessuno si ferma, ad esempio, a domandarsi quanta parte dell’impronta digitale sia stata acquisita dal sistema di riconoscimento in sede di impostazione, né quanta parte dell’impronta che viene inserita ogni volta che ci si autentica sia sufficiente per ottenere un controllo positivo.
Biometria, la password siamo noi
Se percepiamo chiaramente i dati che inseriamo con una password, non percepiamo con altrettanta chiarezza i dati che inseriamo per un riconoscimento biometrico.
In questa seconda ipotesi la password siamo noi con la nostra caratteristica biometrica, ma solo una frazione di quell’attributo biologico preso a riferimento per l’autenticazione è realmente acquisita e necessaria per un’identificazione positiva.
Possiamo immaginare, ad esempio e per fare un parallelo, ad una password numerica di tipo “1111”: se ci viene chiesto di inserire la password sappiamo che il sistema accetterà unicamente il valore “1111”. Abbiamo quindi completo controllo sulla generazione della password e sul suo metodo di inserimento, gli unici dubbi che avremo sono quelli relativi alla sicurezza del sistema in cui inseriamo la password.
Nel caso dell impronta biometrica abbiamo invece un valore che non conosciamo pienamente. Per continuare con il parallelo avremo quindi una password che potrebbe essere “1111” ma anche “1121” o ancora “1211”.
La stessa password biometrica poi accetterà una serie di ulteriori dati in sede di autenticazione, per poter essere davvero efficiente ed immediata (pensiamo ancora a una password biometrica che porta i valori “1111”: per garantire il riconoscimento nella maggior parte delle condizioni di uso comune dovremo ammettere, nell’esempio, anche i valori “1121” o “1011” che ci consentono di autenticarci anche in presenza di lievi variazioni nel parametro biometrico considerato, ad esempio un piccolo taglio sul dito che deve fornire l’impronta).
Dobbiamo quindi avere assoluta fiducia non solo nel sistema in cui immettiamo i dati, ma anche (1) nel processo di acquisizione del dato biometrico da utilizzare per il confronto e (2) nel processo di confronto del dato biometrico immagazzinato con il dato inserito per l’accesso.
E non è detto che questi due processi siano davvero a prova di intrusione.
Le falle dei sistemi biometrici
Basta pensare al recente caso delle c.d. “DeepMasterPrints“, una sorta di passepartout per i sistemi di riconoscimento delle impronte digitali sviluppato da ricercatori delle Università di New York e del Michigan.
Queste impronte digitali artificiali possono, attraverso un c.d. “attacco a dizionario”, imitare in moltissimi casi le impronte autentiche (si parla del 23% delle impronte in sistemi progettati per essere sicuri nel 99,99% dei casi e del 77% delle impronte in sistemi progettati per essere sicuri nel 99% dei casi) e questo proprio perché i lettori di impronte che usiamo quotidianamente in realtà non immagazzinano né leggono l’intera impronta, ma piuttosto solamente quella parte che viene in contatto con lo scanner.
La diffusa convinzione per cui i lettori di impronte comunemente in uso leggano la nostra impronta digitale è quindi di fatto sbagliata. I lettori di impronte solitamente immagazzinano una parte della nostra impronta e la confrontano con un’ulteriore impronta parziale per consentirci l’accesso.
Ed è proprio per questo che sono, d’altro canto, comodi e veloci.
Allo stesso modo un sistema di scanning del volto come Windows Hello, che è stato presentato da Microsoft come “un livello di sicurezza aziendale senza dover digitare una password”, fino allo scorso Fall Update poteva essere bypassato semplicemente con una foto del proprietario del dispositivo appositamente modificata.
Questo perché simili sistemi, per funzionare con l’elevata dose di fluidità e immediatezza che richiede il mercato consumer, devono essere “generosi” nel tollerare imprecisioni o errori nei dati forniti.
Nell’esempio di un sistema che rileva le impronte digitali, una lieve umidità del dito, un piccolo taglio, una pressione non perfettamente centrata non possono ostacolare la lettura dell’impronta, altrimenti il lettore, pur essendo probabilmente più sicuro, perde al confronto con la concorrenza, che è sempre pronta a produrre dispositivi che in una frazione di secondo “identificano” il soggetto, pur a scapito della sicurezza.
Nell’esempio invece di un sistema di riconoscimento del volto, tutti i fenomeni legati alla crescita, a cicatrici, rughe, barba, baffi e capelli devono essere ignorati nel momento dell’identificazione, in questo modo però il sistema è meno sicuro.
I rischi dell’accentramento delle credenziali
Il riconoscimento biometrico, poi, va contro una delle regole fondamentali in tema di gestione delle credenziali, ovvero quello della differenziazione delle stesse, senza mai usare la stessa password per differenti servizi.
La diffusione di scanner di impronte digitali, dell’iride o del volto, comporta un accentramento delle chiavi di identificazione in questi pochi elementi.
Mentre in precedenza, se un malintenzionato scopriva la password della nostra carta di credito, verosimilmente, poteva accedere solamente a quella carta di credito, ora se un malintenzionato conosce la nostra impronta digitale o le caratteristiche dell’iride o del volto, può accedere a molti più servizi protetti da simili autenticazioni.
Allo stesso modo le credenziali biometriche sono molto più preziose delle password e per questo è essenziale riservarle a servizi o hardware di provata sicurezza e affidabilità. Se un malintenzionato scopre o diffonde la nostra password, al massimo avremo perso una buona password, ma se un malintenzionato scopre o diffonde la nostra impronta digitale, non potremo mai più utilizzare quell’impronta in sicurezza!
Questi sistemi poi possono creare problemi anche in sede di indagine giudiziale.
Se non c’è chiarezza sull’obbligo di consegna delle credenziali nell’ambito di un’indagine penale o in nel corso di un’istruttoria in un procedimento civile nell’ordinamento italiano, è però evidente che, mentre una password alfanumerica può essere dimenticata (o comunque è possibile affermare di averla dimenticata), è ben difficile affermare che si è “dimenticata” una caratteristica biometrica, come tale sempre disponibile.
Si tratta di una questione già dibattuta negli Stati Uniti, dove se è dubbio che le password debbano essere o meno consegnate alla luce del disposto del quinto emendamento, che protegge da dichiarazioni autoincriminanti (“nessuno potrà essere obbligato, in qualsiasi causa penale, a deporre contro sé medesimo”), è ben più difficile pensare che tale emendamento si applichi al caso delle credenziali biometriche.
Del resto quale “dichiarazione” autoincriminante è richiesta al soggetto che di solito accede ai propri dispositivi con credenziali biometriche?
Sistemi biometrici e attività d’indagine
Numerose pronunce statunitensi hanno già chiarito come un soggetto sia tenuto a produrre campioni di sangue, campioni vocali, campioni di scrittura su richiesta del giudice. Un’autenticazione biometrica sembra rientrare più in quest’ultima categoria che in quella delle “dichiarazioni” protette dal quinto emendamento.
Nel caso di accesso ad un dispositivo non crittografato tali problematiche sono in realtà superate dal semplice aggiramento delle misure di sicurezza da parte degli inquirenti, ma nel caso di accesso ad un dispositivo crittografato (ad esempio uno smartphone di ultima generazione, un pc Windows Pro con BitLocker attivo o un computer Mac con FileVault attivo) la scelta della tipologia di password può fare la differenza.
In un’indagine penale potrebbe infatti essere ben più agevole per gli inquirenti ottenere l’accesso ad uno strumento informatico protetto da credenziali biometriche piuttosto che da una password “tradizionale” sepolta nella mente dell’indagato, del resto non è nemmeno detto -per quanto sia un’ipotesi estrema- che sia necessaria la nostra collaborazione per l’accesso (pensiamo ad esempio ad un’autenticazione tramite il riconoscimento del volto “rubata” semplicemente collocando il computer davanti al proprietario).
Anche se non si vuole certo “incoraggiare” l’uso di sistemi di sicurezza non biometrici per ostacolare in qualche modo legittime attività di indagine, la consapevolezza degli strumenti che utilizziamo e del nostro effettivo livello di sicurezza passa anche da questo e dall’occasione di comprendere quali sono gli effetti delle nostre scelte in materia di sicurezza.
Le credenziali biometriche sono state una rivoluzione nel mondo della sicurezza informatica ed hanno massificato la protezione dei nostri dispositivi informatici. Questo fatto, unito alla progressiva diffusione di sistemi crittografati di default, ha aumentato, in sordina ma in maniera esponenziale la nostra sicurezza.
Ora dobbiamo ricordare che vale ancora la regola generale per cui se un sistema di sicurezza è comodo, è meno sicuro e quindi, se vogliamo maggiore sicurezza, dobbiamo rinunciare alla comodità di una credenziale biometrica “parziale” o a quella di una password semplice o appuntata vicino al pc.
