Il banking biometrico è sicuro?

I bancomat useranno presto lettori delle impronte digitali e sensori dell’iride per identificare i clienti. Ma l’autenticazione biometrica è sicura come si dice?

Il sistema di riconoscimento biometrico (utilizzando caratteristiche fisiche uniche come le impronte digitali per identificare le persone) è stato considerato sicuro per tanto tempo. Per questo motivo, questa tecnologia interessa molto le banche e i loro utenti, che insieme costituiscono un bersaglio ambito per i cybercriminali.

Infatti, molte banche stanno ancora testando i nuovi bancomat con accesso biometrico (o pensano di farlo presto).

Dal punto di vista istituzionale, il grande vantaggio di metodi come la scansione dell’iride o il riconoscimento delle vene oculari è che questi diminuiscono il tasso d’errore dei falsi rifiuti (tipo I) e delle false accettazioni (tipo II). Agli utenti piace la biometria perché si tratta di una tecnologia che funziona in maniera rapida e che evita loro di digitare password e altri codici segreti.

Sfortunatamente, la tecnologia di scansione delle impronte digitali è molto diffusa e non è sicura come dovrebbe essere. Ad esempio, gli utenti dei dispositivi iOS e Android si lamentano spesso del fatto che i loro gadget non si sbloccano anche quando a farlo sono gli utenti autorizzati (o si lamentano del fatto che questi permettono l’accesso anche ad altra gente).

Che dire dei bancomat?

I bancomat biometrici non sono stati ancora installati ovunque, ma i nostri esperti di sicurezza Olga Kochetova e Alexey Osipov hanno già scoperto più di una dozzina di sviluppatori clandestini che vendono skimmer biometrici nel mercato nero. Questi dispositivi sono pensati per rubare la scansione delle impronte digitali.

Altri sviluppatori clandestini stanno cercando di creare dispositivi in grado di intercettare i risultati della scansione dell’iride e il riconoscimento delle vene oculari. Inoltre, utilizzare gli skimmer risulta essere l’unico modo per rubare i dati biometrici. Gli attacchi Man-in-the-Middle e altri metodi simili saranno efficaci con le credenziali biometriche, così come sono adesso i nomi utente e le password.

Ovviamente, i criminali hackerano anche i server con i dati degli utenti, indipendentemente dal tipo di dati. Pensate che quest’anno Dropbox ha perso i dati di oltre 60 milioni di account, e in seguito Yahoo ha comunicato la perdita di 500 milioni di dati (e questi sono solo due esempi tra tanti).

Adesso, immaginate se invece delle password queste aziende avessero perso i dati biometrici dei propri utenti. Cambiare le password può essere fastidioso, ma sostituire il vostro DNA è impossibile.

Inoltre, con l’aiuto degli skimmer biometrici, i criminali possono utilizzare i dati originali per creare un modello di login falso. Le banche hanno bisogno di elaborare in maniera molto approfondita le norme di sicurezza prima di lanciare i bancomat biometrici.

Il declino della sicurezza biometrica

L’uso della biometria è iniziato con i governi, le forze di polizia e il settore della difesa. La biometria si è rivelata essere affidabile in questi campi perché le istituzioni potevano permettersi attrezzatura costosa e di prima qualità.

Ad ogni modo, con l’adozione diffusa della biometria, abbiamo assistito al declino della sua fantastica sicurezza. La popolarità della tecnologia costituisce un fattore che contribuisce a questo crollo per due motivi. In primo luogo, le norme di sicurezza specifiche per i beni di consumo sono più basse di quelle delle attuazioni di importanza critica per un’attività. In secondo luogo, i gadget facilmente reperibili risultano essere un gran banco di prova per provare i dispositivi dei consumatori e trovare sempre più vulnerabilità (a loro vantaggio, ovvio). Inoltre, anche il rapido sviluppo della stampa 3D ha contribuito alla vulnerabilità della biometria.

L’anno scorso la gente ha installato circa 6 milioni di applicazioni mobili che supportavano l’autenticazione delle impronte digitali. Secondo Juniper Research, entro il 2019 si utilizzeranno circa 770 milioni di applicazioni simili. Entro quel periodo, l’autenticazione biometrica diventerà una cosa normale. Altri esperti sono più ottimisti: secondo Acuity Market Intelligence, entro il 2020, 2.5 miliardi di persone useranno 4.8 miliardi di dispositivi biometrici.

Speranze (e consigli) per il futuro

Fortunatamente, i dati biometrici non sono conservati così come sono: un server riceve solo i risultati scansionati con gli hash, facendo in modo che i semplici furti risultino essere un’opzione meno invitante. Tuttavia, i criminali possono continuare a utilizzare metodi come il suddetto attacco man-in-the-middle, inserendosi nel canale di trasferimento dei dati tra un bancomat e un centro di elaborazione dati per rubare il denaro degli utenti.

Infine, le banche e gli utenti hanno bisogno di continuare ad impiegare rigide misure di sicurezza contro le violazioni dei login tradizionali e di proteggersi sempre più dalla frode biometrica. Dal punto di vista commerciale, tutto questo implica un miglioramento del design dei bancomat per prevenire l’installazione di skimmer e per stabilire e mantenere il controllo sulla sicurezza dell’hardware e del software dei bancomat.

Per quanto riguarda la tecnologia di identificazione biometrica in generale, per adesso consigliamo a tutti di utilizzarla come un metodo di protezione secondaria che completa le altre misure di sicurezza ma che non le sostituisce del tutto.

Consigli