Password sicure? Il ruolo dell’autenticazione biometrica come salvezza

AutenticazioneBig DataData storageSicurezza

Per combattere il problema delle password, l’autenticazione biometrica è un’opzione più sicura e conveniente per la protezione di account e dati personali. Entro il 2020 Gartner prevede che le imprese investiranno in nuovi metodi di autenticazione

Poiché i dati continuano ad avere un ruolo sempre più importante nella nostra vita quotidiana, il modo in cui ci autentichiamo – da desktop e smartphone o attraverso app mobile e account online – sta subendo una rivoluzione.
Gli appelli per porre fine alle password tradizionali sono diventati diffusi, soprattutto perché ormai possediamo e gestiamo troppi dispositivi e account per poter ricordare password separate per ognuno di essi. Alcune ricerche recenti riportano che il numero medio di password registrate per un singolo indirizzo e-mail è 130, il che presenta problemi evidenti per gli utenti.
Di conseguenza, la maggior parte delle persone (59%) usa la stessa password, o minime variazioni di essa, su più account. Inoltre, il 62% riutilizza la stessa password per account personali e di lavoro, mentre il 53% ammette di non cambiare la propria password nonostante sia a conoscenza di una violazione dei dati che ne comporta la compromissione.
Tutti questi comportamenti giocano a favore di hacker e cyber-criminali, che sono diventati sempre più abili nello sfruttare le informazioni di identificazione personale (Personally Identifiable Information – PII) per effettuare transazioni fraudolente.

Per combattere il problema delle password, l’autenticazione biometrica viene salutata come un’opzione molto più sicura e conveniente per la protezione di account e dati personali. Entro il 2020, ad esempio, Gartner prevede che le imprese che investiranno in nuovi metodi di autenticazione, quali la biometria, sperimenteranno episodi di violazioni della sicurezza legate all’identità inferiori del 50% rispetto a quelle che non lo faranno.
Lo sviluppo della tecnologia ha fatto emergere due tipi di biometria: statica e comportamentale. Pertanto, quali sono le differenze fondamentali tra di essi, quali i potenziali punti deboli e, cosa più importante, qual è il futuro dell’autenticazione biometrica?
Qual è il sistema migliore?

Sebbene siano simili, esiste una differenza cruciale tra la biometria statica e quella comportamentale. La biometria statica è la modalità di autenticazione biometrica più consolidata e nota, generalmente considerata molto consumer-friendly e in grado di offrire un’esperienza utente positiva. Fa ricorso a caratteristiche fisiche quali le impronte digitali o il riconoscimento facciale e viene sempre più spesso utilizzata in tutti i tipi di situazioni, ad esempio per sbloccare dispositivi intelligenti, accedere a conti di mobile banking o per completare a tutti gli effetti delle transazioni.

Password complesse e autenticazione a due fattori non necessariamente significano maggiore complessità

Solo nel 2018, ci sono stati una serie di sviluppi regolamentativi e tecnologici per aprire la strada all’affermarsi della biometria come uno standard, inclusa l’autenticazione senza password prevista da Microsoft e Chrome nell’ambito di WebAuthn.
Tuttavia, nonostante la facilità d’uso, la biometria statica presenta lacune nella sicurezza. Il problema più ovvio è che, se rubati, i dati non possono essere ripristinati, offrendo un’opportunità ai truffatori qualora essi riescano a ingannare la tecnologia.
Nel 2013, ad esempio, un gruppo di hacker tedeschi manipolò con successo la procedura di login del ministro della Difesa della Germania usando una foto ad alta definizione, mentre i ricercatori dell’Istituto Nazionale di Informatica di Tokyo sono riusciti a ricostruire un’impronta digitale da una fotografia.

Ancora più preoccupante è che i truffatori non sempre hanno bisogno di accedere a una tecnologia sofisticata per superare la biometria statica. Proprio l’anno scorso, la società di sicurezza vietnamita Bkav ha affermato di aver violato la tecnologia FaceID sull’ultimo iPhone X costruendo una maschera dal costo di 150 Dollari utilizzando plastica stampata in 3D, silicone e del buon make-up.
Queste vulnerabilità hanno indotto molti a mettere in discussione l’efficacia e la sicurezza dell’uso esclusivo di metodi statici, contribuendo a spianare la strada a una maggiore adozione della biometria comportamentale. Questa tecnologia introduce un nuovo approccio dinamico all’autenticazione analizzando modelli complessi di comportamento.
In sostanza, la biometria comportamentale analizza caratteristiche interne piuttosto che semplici caratteristiche esterne. Essa tesse modelli di utilizzo ed esamina come un utente si comporta normalmente quando usa il proprio dispositivo, creando un profilo comportamentale unico costituito da un enorme numero di variabili: dal movimento all’interno di un sito o di un’app all’interazione dell’utente con un dispositivo, inclusi la pressione delle dita e la velocità di scorrimento sullo schermo.
La complessità e il livello di dettagli coinvolti significa che il profilo creato è praticamente impossibile da imitare, anche per i truffatori più sofisticati. Il sistema risulta anche pratico per gli utenti, in quanto funziona in modo discreto in background e in quanto essi vengono continuamente autenticati semplicemente attraverso il modo in cui utilizzano il loro dispositivo.
Naturalmente non è un sistema perfetto. Il comportamento degli utenti cambia frequentemente a seconda di dove essi si trovano, ad esempio alla scrivania di un ufficio o distesi sul letto, e inoltre le persone tendono ad agire in modo diverso quando sono stanche o hanno fretta. Ma grazie alla sempre maggiore capacità dei software di analizzare dati complessi in tempo reale, stanno emergendo alcuni casi di utilizzo estremamente interessanti.

password

Come sfruttare al meglio la behavioural security
Viste le crescenti preoccupazioni sulla presunta inattaccabilità della biometria statica, l’autenticazione comportamentale sta rapidamente emergendo come un’alternativa più sicura e alcuni settori industriali hanno iniziato a prenderne atto.
Ad esempio, il settore bancario sta adottando la biometria comportamentale come un modo per combattere l’imponente mercato dei crimini finanziari, dove si stima che la frode e il riciclaggio di denaro costino all’economia globale circa 2,1 trilioni di Dollari all’anno.
Nella sua forma più semplice, le banche possono utilizzare l’analisi comportamentale per rilevare rapidamente i tentativi di accesso potenzialmente sospetti esaminando l’ora e il luogo in cui gli utenti accedono alle loro app di mobile banking. In questo modo, le transazioni insolite – ad esempio quando qualcuno cerca di trasferire una grande somma di denaro nel cuore della notte dall’altra parte del mondo – possono essere immediatamente segnalate e bloccate fino a quando non sono state effettuate ulteriori verifiche.

E la potenza di questo tipo di autenticazione può estendersi ben oltre le sole variabili di tempo e luogo. La Royal Bank of Scotland, ad esempio, utilizza la biometria comportamentale per monitorare i visitatori dei propri siti web e delle proprie app. Quando i clienti accedono all’app mobile, il software avanzato inizia a registrare più di 2.000 movimenti e gesti, incluso il livello di pressione applicato, quali dita vengono utilizzate per scorrere e toccare e persino l’angolazione con cui gli utenti reggono il proprio dispositivo.
Su un laptop o su un computer desktop, lo stesso software raccoglie dati su fattori quali il modo in cui gli utenti spostano il mouse e il ritmo di digitazione sulla tastiera.
Ma la biometria comportamentale non è applicabile solo al settore bancario. Sebbene questi tipi di ambienti ad alto rischio presentino la necessità più ovvia, essa può essere utilizzata per autenticare gli utenti di qualsiasi servizio online che implichi la gestione di informazioni personali riservate, migliorando l’esperienza del cliente e riducendo i problemi di privacy.
In prospettiva, sta diventando sempre più evidente che la biometria comportamentale sarà fondamentale per aiutare le aziende a far fronte all’aumento dei livelli di frode e contrastare criminali informatici sempre più sofisticati. È l’approccio più all’avanguardia per rendere la biometria priva di complessità, raccogliendo dati dagli utenti in background per poi valutarli. Ma è anche importante notare che il giusto livello di sicurezza richiede tecnologie aggiuntive contro i più recenti vettori di minacce. La miglior sicurezza è una combinazione di tecnologie di autenticazione a più livelli. Ad esempio, il riconoscimento facciale può essere combinato con altri dati biometrici (come la biometria comportamentale e la scansione delle impronte digitali) o altre tecniche di sicurezza come pin o password, l’uso di dispositivi attendibili o l’analisi del contesto in base alla posizione, ai dati delle transazioni e alle caratteristiche del dispositivo.

a cura di David Vergara, Director of Security Product Marketing di OneSpan

Autore
Scopri di più 
Scopri di più