• Homepage
  • Articoli
  • Generale
  • Sicurezza biometrica: la chiave per l'autenticazione senza password o una moda passeggera?

Sicurezza biometrica: la chiave per l'autenticazione senza password o una moda passeggera?

Pubblicato: 2022-03-11

L'autenticazione senza password è stata per anni il Santo Graal della sicurezza, ma i progressi sono stati dolorosamente lenti. Ciò non significa che non siano stati fatti enormi passi avanti, ma sfortunatamente la maggior parte di questi sviluppi sono stati relegati a laboratori di ricerca o nicchie professionali. Fino a pochi anni fa, la tecnologia per implementare l'autenticazione senza password su larga scala semplicemente non era disponibile.

biometria e sicurezza biometrica

Tuttavia, il colosso del settore sta lentamente ma inesorabilmente cambiando questo. Ci sono alcune considerazioni tecniche, legali e persino etiche da tenere in considerazione, ma comunque sia, la sicurezza biometrica e l'autenticazione senza password sono qui per restare.

La biometria sta già cambiando il gioco e continueranno a farlo.

Perché andare senza password in primo luogo?

Poiché questo è un blog di ingegneria, non sento il bisogno di spiegare a un gruppo di sviluppatori attenti alla sicurezza i vantaggi degli accessi veloci. Non abbiamo bisogno di guardare il problema dal punto di vista del consumatore: tutti noi siamo costretti a utilizzare una miriade di servizi online e un numero sempre crescente di dispositivi. Questo non cambierà a breve e, semmai, il numero di servizi e dispositivi a cui dovremo accedere continuerà ad aumentare.

Naturalmente, ci sono molti modi in cui le password vengono eliminate, inclusa l'autenticazione biometrica. Dal punto di vista dell'utente, l'uso di account Google, Microsoft e Facebook per accedere a servizi di terze parti funziona, poiché l'utente può evitare il sovraccarico della password e non dover creare account per ogni servizio e dispositivo.

OAuth e OpenID sono stati utilizzati per anni per consolidare le identità digitali e gli standard sono impiegati da alcuni dei più grandi nomi del settore tecnologico.

Tecnicamente, questo non è davvero un approccio senza password, ma l'utente medio potrebbe non vedere la distinzione.

I pro e i contro dell'utilizzo di questo approccio sono:

Professionisti:

  • Convenienza
  • Facile da implementare
  • Buona sicurezza
  • Marchio di tranquillità

Contro:

  • Dipendenza da un servizio centralizzato
  • Tutte le uova in un paniere: compromettendo un account, un utente malintenzionato può accedere ad altri
  • Potenziali vulnerabilità della sicurezza, al di fuori del tuo controllo, possono essere utilizzate contro di te
  • Le persone potrebbero essere riluttanti a utilizzare tali servizi a causa di problemi di privacy

Gran parte di questo vale per le soluzioni alternative, sebbene non si applichi ai certificati di sicurezza che di solito sono relegati agli utenti aziendali piuttosto che ai consumatori. I pro superano i contro, quindi possiamo già accedere a innumerevoli servizi di terze parti utilizzando i nostri account esistenti.

In che modo la biometria e la sicurezza biometrica possono aiutare?

L'uso di sistemi di autenticazione biometrica risolve molti problemi; non si fa affidamento su servizi centralizzati, la privacy non è un problema e l'esperienza dell'utente non è compromessa, a condizione che sia eseguita correttamente. Quindi, diamo un'occhiata ai pro e ai contro.

Professionisti:

  • La scansione delle impronte digitali è rapida, economica e relativamente sicura
  • Il riconoscimento vocale è facile da usare e difficile da manipolare
  • Le scansioni dell'iride sono molto sicure e potenzialmente più convenienti della scansione delle impronte digitali
  • La tecnologia dell'elettrocardiogramma offre l'autenticazione "sempre attiva".
  • Tutti i metodi di sicurezza biometrica affrontano i problemi di privacy offrendo al contempo una buona sicurezza

Contro:

  • La biometria non è adatta a tutte le applicazioni
  • Il costo dell'implementazione della sicurezza biometrica è spesso proibitivo
  • Il supporto è limitato a determinate piattaforme e non è disponibile sulla maggior parte
  • Alcune tecnologie sono ancora immature
  • La biometria non è un proiettile d'argento: la sicurezza può ancora essere compromessa

La biometria non è un nuovo concetto o una nuova tecnologia. La sicurezza biometrica è stata utilizzata in molti settori per decenni ed è stata un punto fermo degli sceneggiatori di Hollywood ancora più a lungo. Sono sicuro che molti lettori hanno avuto la possibilità di giocare con il riconoscimento facciale e gli scanner di impronte digitali sui loro taccuini anni fa - so di averlo fatto e so anche di non essere rimasto colpito; la maggior parte di queste prime soluzioni erano espedienti economici.

Tuttavia, da allora abbiamo fatto molta strada. È disponibile una maggiore potenza di elaborazione, insieme a sensori di imaging di gran lunga superiori, e tutto è supportato da un software sempre più sofisticato. Questo è il motivo per cui alcune di queste tecnologie stanno tornando in auge, cosa che stanno facendo per vendetta.

L'industria rinuncia agli scanner di impronte digitali

Il Touch ID di Apple è probabilmente la soluzione di autenticazione delle impronte digitali più riconoscibile sul mercato, ma non è affatto l'unica. Apple ha aperto Touch ID a sviluppatori di terze parti in iOS 8 e ha proceduto all'integrazione della tecnologia nei nuovi iPhone e iPad, nonché nel suo servizio Apple Pay.

Questo è il motivo per cui iOS ha un chiaro vantaggio su Android e altre piattaforme; ogni nuovo iPhone e iPad verrà spedito con Touch ID fino a quando Cupertino non troverà qualcosa di meglio.

sicurezza biometrica delle impronte digitali

Ciò non significa che Android debba essere cancellato perché un numero crescente di telefoni Android viene spedito con scanner di impronte digitali. I primi dispositivi di autenticazione biometrica prevedevano piccoli scanner che richiedevano all'utente di passare il dito sullo scanner, ma le unità touch-scan, simili a quelle di Apple, stanno diventando sempre più comuni. È importante notare che questa funzione non è riservata a prodotti di punta costosi, anche alcuni telefoni da $ 200 commercializzati da fornitori cinesi dispongono di tali scanner.

Tuttavia, c'è ancora una considerazione; Google non ha integrato uno scanner di impronte digitali su nessuno dei suoi dispositivi Nexus, anche se si dice che originariamente intendesse includerlo sullo smartphone Nexus 6. In effetti, Android Open Source Project (AOSP) ha fornito la prova che il supporto per le impronte digitali è stato rimosso dal dispositivo. Questa non è una buona notizia per gli sviluppatori Android, poiché Google di solito mostra la nuova tecnologia sui dispositivi Nexus e segue la documentazione e le API, come nel caso del supporto NFC sul Nexus S o del sensore del barometro sul Galaxy Nexus.

Tuttavia, ciò non ha impedito ai fornitori di utilizzare il proprio codice, con alcuni tipi di scanner. Ma questa è una cattiva notizia per gli sviluppatori le cui mani sono legate poiché non esiste uno standard che elimini la frammentazione e assicuri l'interoperabilità. Samsung ha cercato di superare il problema consentendo agli sviluppatori di giocare con la sua Pass API, ma questa non è ancora una soluzione ideale. Motorola ha cercato di fare lo stesso quattro anni fa con i suoi vecchi dispositivi Atrix.

Numerosi produttori e sviluppatori hardware hanno anche rilasciato SDK che consentono agli sviluppatori di integrare il supporto per vari scanner di impronte digitali, ma la mancanza di un ambiente standardizzato che riduca o elimini la frammentazione è ancora un grosso problema.

Potrebbe volerci un po' prima di vedere gli scanner di impronte digitali sulla maggior parte dei telefoni, ma sono stati compiuti molti progressi. Siamo passati dall'assenza di scanner sui telefoni di punta a scanner relativamente affidabili su telefoni da $ 200 nell'arco di un paio d'anni.

scanner di impronte digitali

Ma quanto sono utili? Sono solo espedienti come gli scanner di impronte digitali di prima generazione sui vecchi notebook?

La tecnologia funziona, su questo non c'è dubbio, ma per ora le applicazioni sono limitate. Lo sviluppo del software deve recuperare il ritardo con l'hardware, abbiamo bisogno di più servizi in grado di utilizzare tale soluzione e abbiamo bisogno di più API, standard e linee guida dei leader del settore (ovvero, Google). A questo punto, gli scanner di impronte digitali su molti dispositivi Android sono espedienti, niente di più.

Nel complesso, gli scanner di impronte digitali sono convenienti, ma non sono la soluzione ideale. Sebbene ogni impronta sia unica, ci sono ancora alcuni problemi di sicurezza. Molti scanner possono essere ingannati, anche se sta diventando sempre più difficile ottenere questo risultato con una semplice immagine. Esistono tuttavia alternative, inclusa la stampa 3D e alcuni modi morbosi per farlo, come ha sottolineato un esperto di sicurezza un paio di anni fa.

Inutile dire che non è possibile utilizzare lettori di impronte digitali con guanti, pollice ferito o in altre situazioni estreme. Ma questi sono svantaggi relativamente minori.

Microsoft vuole guardarti negli occhi

Quindi, riassumiamo. Android e iOS possono già utilizzare scanner di impronte digitali per la sicurezza biometrica e attualmente sono sottoutilizzati. Ma per quanto riguarda gli ambienti desktop? Possiamo sbloccare i nostri telefoni e autenticare i pagamenti utilizzando la biometria, ma lavoriamo ancora sui desktop, quindi che ne dici di renderli veramente privi di password?

Microsoft ha recentemente annunciato Windows Hello e, nel caso te lo fossi perso, dai un'occhiata al blog ufficiale di Windows per una panoramica completa di questa iniziativa.

Ecco come Microsoft spiega la sua visione per Windows Hello:

Invece di utilizzare un segreto condiviso o condivisibile come una password, Windows 10 aiuta ad autenticare in modo sicuro applicazioni, siti Web e reti per tuo conto, senza inviare una password. Pertanto, non esiste una password condivisa memorizzata sui loro server che un hacker possa potenzialmente compromettere.

Windows 10 ti chiederà di verificare di essere in possesso del tuo dispositivo prima che si autentichi per tuo conto, con un PIN o Windows Hello su dispositivi con sensori biometrici. Una volta autenticato con "Passport", sarai in grado di accedere istantaneamente a una serie crescente di siti Web e servizi in una vasta gamma di settori: siti commerciali preferiti, servizi di posta elettronica e social network, istituzioni finanziarie, reti aziendali e altro ancora._

Windows Hello è un sistema di autenticazione biometrica che consentirà agli utenti di accedere istantaneamente ai propri dispositivi Windows 10, utilizzando la scansione delle impronte digitali, la scansione dell'iride o il riconoscimento facciale. Microsoft afferma che "molti" nuovi dispositivi Windows 10 supporteranno Windows Hello, ma, personalmente, trovo una tecnica particolarmente interessante.

La scansione dell'iride è uno dei metodi supportati da Microsoft e presenta alcuni vantaggi rispetto alle alternative. Dovrebbe essere più affidabile e potenzialmente più conveniente della scansione delle impronte digitali. Nel caso te lo stavi chiedendo, questo non sarà gestito dalle nostre webcam o fotocamere del telefono: Microsoft vuole utilizzare "una combinazione di hardware e software speciali" per assicurarsi che il sistema non possa essere battuto.

scansione dell'iride e biometria

Lo scanner dell'iride si baserà sulla tecnologia a infrarossi (potenzialmente nel vicino infrarosso). Ciò significa che sarà in grado di funzionare in tutte le condizioni di illuminazione e di vedere l'iride attraverso gli occhiali, anche colorati. I progettisti hardware non dovranno riservare molto spazio su un dispositivo per integrare lo scanner; potrebbe essere integrato proprio accanto alla selfie cam sui nostri cellulari o come aggiunta a una web camera standalone utilizzata oggi su molte macchine da ufficio. Ciò significa che potrebbe essere facilmente adattato a PC desktop esistenti.

Oltre agli scanner a infrarossi, Microsoft utilizzerà anche misure di sicurezza biometriche più tradizionali come il riconoscimento facciale, basandosi sulla tecnologia della fotocamera Intel RealSense. Ciò dovrebbe contribuire a rendere Windows Hello più prolifico, soprattutto quando gli utenti eseguono l'aggiornamento a nuovi notebook e ibridi basati su piattaforme Intel.

Sul fronte mobile, una scansione dell'iride offre numerosi vantaggi rispetto all'autenticazione tramite impronta digitale; può funzionare con i guanti, le lesioni all'iride sono molto meno comuni delle lesioni al pollice e dovrebbe essere molto più difficile battere uno scanner dell'iride di fascia consumer rispetto a uno scanner di impronte digitali.

C'è un altro punto di vista nell'approccio di Microsoft: il gigante del software non memorizzerà i dati biometrici degli utenti. La firma biometrica sarà protetta localmente sui dispositivi e condivisa solo con l'utente. La firma verrà utilizzata solo per sbloccare il dispositivo e Passport, quindi non verrà utilizzata per autenticare gli utenti in rete.

La giuria è ancora fuori dai piani biometrici di Microsoft e dovremo aspettare Windows 10 per vederlo in azione.

Che dire dell'autenticazione sempre attiva?

Mentre tutte queste tecnologie potrebbero fare un buon lavoro nel sostituire le password tradizionali, ci sono concetti emergenti che potrebbero dare agli ingegneri più libertà. E se potessimo rinunciare completamente al processo, niente password, niente scansioni delle impronte digitali, niente?

"Autenticazione sempre attiva" è la prossima frontiera e sono già state proposte diverse modalità per arrivarci. Tuttavia, è necessario fare una distinzione importante. L'autenticazione sempre attiva di solito si riferisce all'autenticazione da macchina a macchina, come un sistema di autenticazione SSL "always-on", connessioni SHH, credenziali NFC e varie tecnologie di rete. Questi sono solitamente sviluppati per monitorare e autenticare le transazioni finanziarie, riducendo così il rischio di frode online.

Esistono relativamente poche soluzioni per l'autenticazione utente sempre attiva. Uno di questi esempi è il braccialetto Nymi di Bionym. È un dispositivo indossabile che assomiglia molto al tuo fitness tracker medio, ma è più intelligente di così.

sempre su autenticazione

Nymi esegue la scansione dell'elettrocardiogramma (ECG) unico dell'utente. Ciò significa che devi solo avere il dispositivo al polso per fornire l'autenticazione sempre attiva. Finché il tuo cuore continua a battere, sarai loggato.

Se stai pensando di provare lo stesso trucco sugli orologi Apple Watch o Android Wear, tieni i cavalli, non ci siamo ancora. Il Nymi non si limita a monitorare la frequenza cardiaca dell'utente come uno smartwatch, ma analizza in realtà la forma dell'onda ECG dell'utente, che richiede un sensore più sensibile. Gli smartwatch suonano come la piattaforma hardware ideale per questa applicazione e, prima o poi, potranno fare la stessa cosa.

Immagina di sbloccare il telefono, l'auto, l'ufficio e il computer semplicemente essendo lì e avendo un polso? Accedere a qualsiasi account senza problemi, quindi pagare il pranzo, fare la spesa sulla strada di casa e magari prelevare contanti da un bancomat, il tutto senza dover destreggiarsi tra generi alimentari e carte di credito. Non ci siamo ancora, ma piano piano ci stiamo arrivando.

Cosa significa tutto questo per sviluppatori e utenti di software?

Per il momento, gli sviluppatori di software possono utilizzare middleware e tokenizzazione standard per distribuire soluzioni senza password. Uno di questi esempi è Passwordless, un framework open source basato su token per Node.js ed Express. Nel caso in cui sei interessato a come viene distribuito, Mozilla ha un post sul blog completo che lo spiega.

Ci vorrà del tempo, ma i blocchi biometrici stanno lentamente andando a posto. L'attuale raccolto di tecnologie senza password sarà potenziato e alla fine sostituito dall'autenticazione biometrica.

Molti scettici sulla sicurezza biometrica, inclusi molti dei miei colleghi, non credono che ciò accadrà presto, ma io sono un ottimista incorreggibile; Penso che la sicurezza senza password sarà standard entro la fine del decennio, ed è per questo: se osserviamo semplicemente un campo particolare, sia esso software o hardware, troveremo innumerevoli problemi con la biometria, molti dei quali ho già delineato. Tuttavia, se facciamo qualche passo indietro e guardiamo al quadro generale, se diamo uno sguardo alle nuove tendenze del settore e alla crescente enfasi sulla sicurezza personale e aziendale, violazioni della sicurezza altamente pubblicizzate, problemi di privacy, siamo destinati a vedere le cose da una prospettiva diversa.

Anche così, l'elefante nella stanza non è la privacy o la sicurezza B2B, sono i pagamenti mobili.

Il volume delle transazioni mobili negli Stati Uniti dovrebbe più che raddoppiare quest'anno a 10 miliardi di dollari. Entro il 2018, Bloomberg prevede che il volume raggiungerà i 110 miliardi di dollari. Su base pro capite, il consumatore americano medio realizzerà circa $ 30 in transazioni quest'anno, ma entro il 2018 il numero salirà a $ 330 pro capite, per ogni uomo, donna e bambino. Supponendo lo stesso tasso di crescita annuale composto nel 2019 e nel 2020, potremmo guardare a quattro cifre pro capite entro il 2021.

Con quel tipo di denaro in gioco, cosa ne pensi?