La biometrica sta diventando un livello avanzato per molti sistemi di sicurezza personali e aziendali. Con gli identificatori univoci biologici e comportamentali, può sembrare un metodo infallibile. Tuttavia, l’identità biometrica ha reso molti cauti riguardo al suo utilizzo come autenticazione autonoma.
La moderna sicurezza informatica si concentra sulla riduzione dei rischi di questa potente soluzione di sicurezza: le password tradizionali sono da tempo un punto debole dei sistemi di sicurezza. La biometria mira a rispondere a questo problema collegando la prova di identità ai nostri corpi e ai modelli di comportamento.
In questo articolo esploreremo le basi dell'utilizzo della biometrica nell'ambito della cybersecurity. Per aiutare a scomporre le cose, risponderemo ad alcune domande comuni sulla biometrica:
- Qual è il significato di dati biometrici?
- Quali sono i dati biometrici?
- Che cos'è uno scanner biometrico?
- Quali sono i rischi della sicurezza dei dati biometrici?
- Come possiamo rendere più sicuri i dati biometrici?
Per iniziare, partiamo dalle basi.
Che cosa sono i dati biometrici?
Per una breve definizione di dati biometrici: i dati biometrici sono misure biologiche o caratteristiche fisiche che possono essere utilizzate per identificare le persone. Ad esempio, mappatura delle impronte digitali, riconoscimento facciale e scansioni della retina sono tutte forme di tecnologia biometrica, ma queste sono solo le opzioni più note.
I ricercatori affermano che la forma dell’orecchio, il modo in cui qualcuno si siede e cammina, il particolare odore del corpo, le vene delle mani e persino le contorsioni facciali sono altri identificatori univoci. Questi tratti definiscono ulteriormente i dati biometrici.
Tre tipi di sicurezza dei dati biometrici
Sebbene possano avere altre applicazioni, i dati biometrici sono stati spesso utilizzati nella sicurezza e possiamo principalmente etichettarli in tre gruppi:
- Biometrica biologica
- Biometrica morfologica
- Biometrica comportamentale
La biometrica biologica utilizza tratti a livello genetico e molecolare. Possono essere incluse funzionalità quali DNA o sangue, che potrebbero essere valutati attraverso un campione di fluidi corporei.
La biometrica morfologica include la struttura del corpo. Tratti più fisici come occhi, impronte digitali o la forma del viso che possono essere mappati per l'utilizzo con gli scanner digitali.
La biometrica comportamentale si basa su modelli unici di ciascuna persona. Il modo in cui cammini, parli o addirittura scrivi su una tastiera può essere un'indicazione della tua identità se questi schemi vengono monitorati.
La sicurezza biometrica funziona
L’identificazione biometrica ha un ruolo crescente nella nostra sicurezza quotidiana. Le caratteristiche fisiche sono relativamente fisse e individualizzate, anche nel caso dei gemelli. L’identità biometrica unica di ogni persona può essere utilizzata per sostituire o almeno potenziare i sistemi di password per computer, telefoni e stanze ed edifici ad accesso limitato.
Una volta ottenuti e mappati i dati biometrici, vengono poi salvati per essere confrontati con futuri tentativi di accesso. Nella maggior parte dei casi, questi dati vengono crittografati e archiviati all'interno del dispositivo o in un server remoto.
Gli scanner biometrici sono hardware utilizzati per acquisire i dati biometrici per la verifica dell'identità. Queste scansioni corrispondono al database salvato per approvare o negare l'accesso al sistema.
In altre parole, la sicurezza biometrica significa che il tuo corpo diventa la "chiave" per sbloccare il tuo accesso.
I dati biometrici sono ampiamente utilizzati a causa di due vantaggi principali:
- Convenienza di utilizzo: i dati biometrici sono sempre con te e non possono essere persi o dimenticati.
- Difficile da rubare o da imitare: i dati biometrici non possono essere rubati come una password o una chiave.
Sebbene questi sistemi non siano perfetti, offrono molte promesse per il futuro della cybersecurity.
Esempi di sicurezza biometrica
Ecco alcuni esempi comuni di sicurezza biometrica:
- Riconoscimento vocale
- Scansione dell'impronta digitale
- Riconoscimento facciale
- Riconoscimento dell'iride
- Sensori del battito cardiaco
In pratica, la sicurezza biometrica ha già conosciuto un utilizzo efficace in diversi settori.
Tecnologie biometriche avanzate vengono utilizzate anche per proteggere i documenti importanti e riservati. La Citibank utilizza già il riconoscimento vocale e la banca britannica Halifax sta testando dispositivi che monitorano il battito cardiaco per verificare l’identità dei clienti. Anche Ford sta considerando di installare sensori biometrici nelle auto.
I dati biometrici sono integrati nei passaporti elettronici in tutto il mondo. Negli Stati Uniti, i passaporti elettronici hanno un chip che contiene una fotografia digitale del viso, le impronte digitali o l’iride della persona, nonché una tecnologia che impedisce la lettura del chip e dei dati da parte di lettori di dati non autorizzati.
Man mano che questi sistemi di sicurezza vengono implementati, vediamo i pro e i contro manifestarsi in tempo reale.
Gli scanner biometrici sono sicuri? - Miglioramenti e preoccupazioni
Gli scanner biometrici stanno diventando sempre più sofisticati. L'identificazione biometrica è presente anche nei sistemi di sicurezza dei telefoni. Ad esempio, la tecnologia di riconoscimento facciale sull'iPhone X di Apple proietta 30.000 punti a infrarossi sul volto dell'utente per autenticarlo mediante pattern matching. Secondo Apple, la probabilità di errore di identità con la biometria dell'iPhone X è una su un milione.
Il nuovo smartphone LG V30 combina il riconoscimento facciale e vocale con la scansione delle impronte digitali e mantiene i dati sul telefono per una maggiore sicurezza. CrucialTec, un produttore di sensori, collega un sensore del battito cardiaco ai suoi scanner di impronte digitali per un'autenticazione in due fasi. Questo contribuisce a garantire che non sia possibile utilizzare impronte digitali clonate per accedere ai suoi sistemi.
Il problema è che gli scanner biometrici possono essere ingannati, e i sistemi di riconoscimento facciale non fanno eccezione. Alcuni ricercatori presso l'università del North Carolina a Chapel Hill hanno scaricato da social media le foto di 20 volontari e le hanno utilizzate per costruire modelli 3D dei loro visi. I ricercatori sono riusciti a violare quattro dei cinque sistemi di sicurezza con cui hanno tentato.
Casi di clonazione delle impronte digitali sono ovunque. Un esempio presentato nella conferenza sulla sicurezza informatica Black Hat ha dimostrato che un’impronta digitale può essere clonata in modo affidabile in circa 40 minuti con 10 dollari di materiale, semplicemente ricreando le impronte digitali su plastica stampata o cera di candela.
Il Chaos Computer Club in Germania ha eseguito lo spoofing del lettore di impronte digitali TouchID dell'iPhone a due giorni dal suo rilascio. Ha semplicemente fotografato un’impronta digitale su una superficie di vetro e l’ha utilizzata per sbloccare l'iPhone 5s.
Biometrica: preoccupazioni relative all'identità e alla privacy
L'autenticazione biometrica è comoda, ma i difensori della privacy temono che la sicurezza basata su tecniche biometriche eroda la privacy personale. Il problema è che i dati personali possono essere raccolti in modo semplice e senza il consenso dell'utente.
Il riconoscimento facciale fa parte della vita di tutti i giorni nelle città cinesi, dove lo si usa per gli acquisti di routine, e Londra, come tutti sanno, è caratterizzata dall'uso di telecamere TVCC. Ora New York, Chicago e Mosca stanno per collegare le telecamere TVCC della città a database di riconoscimento facciale per aiutare la polizia locale a combattere la criminalità. Sfruttando questa tecnologia, la Carnegie Mellon University sta sviluppando una telecamera che può eseguire la scansione dell'iride delle persone nella folla da una distanza di dieci metri.
Nel 2018 il riconoscimento facciale è stato introdotto all'aeroporto di Dubai, dove i viaggiatori vengono fotografati da 80 telecamere mentre passano attraverso un tunnel in un acquario virtuale.
Telecamere con riconoscimento facciale sono attive anche in altri aeroporti in tutto il mondo, compresi quelli di Helsinki, Amsterdam, Minneapolis-St. Paul e Tampa. Tutti questi dati devono essere immagazzinati da qualche parte e questo alimenta i timori di una sorveglianza costante e di uso improprio dei dati...
Preoccupazioni legate alla sicurezza dei dati biometrici
Un problema più immediato è che i database di informazioni personali sono bersagli per gli hacker. Ad esempio, quando i sistemi dell'Ufficio per la gestione del personale degli Stati Uniti sono stati violati nel 2015, gli hacker hanno rubato le impronte digitali di 5,6 milioni di dipendenti del Governo, rendendoli vulnerabili al furto di identità.
La memorizzazione di dati biometrici su un dispositivo, come con TouchID o Face ID dell'iPhone, è considerata più sicura della memorizzazione presso un provider di servizi, anche quando i dati vengono criptati.
Tale rischio è simile a quello di un database di password, in cui gli hacker possano violare il sistema e rubare i dati che non sono protetti efficacemente. Le conseguenze, tuttavia, sono notevolmente diverse. In caso di violazione di una password, si può cambiarla. I dati biometrici, invece, rimangono sempre gli stessi.
Modi per proteggere l'identità biometrica
Considerati i rischi per la privacy e la sicurezza, è necessario utilizzare protezioni aggiuntive nei sistemi biometrici.
L’accesso non autorizzato diventa più difficile quando i sistemi richiedono molteplici mezzi di autenticazione, come il rilevamento di caratteristiche vitali (ad esempio il battito di ciglia) e corrispondenti campioni codificati per gli utenti all'interno di domini criptati.
Alcuni sistemi di sicurezza comprendono anche caratteristiche aggiuntive, ad esempio l'età, il sesso e l'altezza, in dati biometrici per contrastare gli hacker.
Il programma di identità digitale Aadhaar attivo in India ne è un buon esempio. Avviato nel 2009, il programma di autenticazione a più fasi integra scansioni dell'iris, impronte digitali di tutte le dieci dita e riconoscimento facciale.
Queste informazioni sono collegate a una carta d'identità univoca che viene rilasciata a ciascuno degli 1,2 miliardi di residenti dell'India. Presto questa carta d'identità sarà obbligatoria per chiunque abbia accesso ai servizi sociali in India.
La biometria rappresenta un buon sostituto dei nomi utente come parte di una strategia di autenticazione a due fattori. Include:
- Caratteristiche personali (biometriche)
- Qualcosa che si possiede (ad esempio un token hardware) o che si conosce (una password)
L'autenticazione a due fattori rappresenta una combinazione potente, soprattutto dal momento che i dispositivi IoT sono in aumento. Stratificando la protezione, i dispositivi Internet protetti diventano meno vulnerabili alle violazioni dei dati.
Inoltre, l'utilizzo di un gestore di password per archiviare le password tradizionali può offrire un'ulteriore protezione.
Punti fondamentali per la biometrica
In definitiva, la biometrica resta un modo crescente per verificare l'identità dei sistemi di cybersecurity.
La protezione combinata delle firme fisiche o comportamentali con altri tipi di autenticazione offre una delle misure di sicurezza più potenti note. Al momento, è almeno una soluzione migliore rispetto all'utilizzo di una password basata sui caratteri come verifica autonoma.
La tecnologia biometrica offre soluzioni molto efficaci per la sicurezza. Nonostante i rischi, questi sistemi sono pratici e difficili da duplicare. Inoltre, questi sistemi continueranno a svilupparsi per molto tempo in futuro.
Articoli correlati: