Sicurezza online: quale futuro attende le password?

 

Una familiare schermata di inserimento username e password

Una familiare schermata di inserimento username e password

Le password sono un elemento che caratterizza “l’esistenza digitale” di imprese e privati: che si tratti di una maschera per accedere all’archivio aziendale o alla banca multicanale, le sequenze di numeri e lettere (generate casualmente o, meglio, ragionate) sono una consuetudine che ci accompagna da tempo. Tra i trend più diffusi vi è purtroppo l’utilizzo di combinazioni semplici e prevedibili, che vanno ad innalzare ogni anno il numero di account compromessi e furti non autorizzati di dati sensibili. Nonostante questo, gli utenti sembrano continuare a preferire la “comodità” alla salvaguardia dei propri account – lo dimostra la presenza costante di “123456” (prima posizione) nella periodica top10 delle password più utilizzate su Internet.

Al problema di non secondaria importanza stanno tentanto (per ora con risultati modesti) di porre rimedio varie aziende ed esperti. Le procedure di identificazione dell’utente in grado di mandare definitivamente in pensione le vecchie password sono, sulla carta, innumerevoli e già note al grande pubblico perchè implementate in svariati gadget tecnologici (smartphone e non solo): si va dal riconoscimento facciale fino alle impronte digitali o al riconoscimento vocale, in sintesi le “password biometriche”, che si affidano a caratteristiche uniche (teoricamente) di ciascun essere umano.

Le sfide che gli esperti di sicurezza dovranno superare sono essenzialmente due: convincere gli utenti ad utilizzare le nuove modalità di autenticazione in quanto più sicure delle vecchie combinazioni alfanumeriche; accertare l’effettiva inattaccabilità (o quasi, non esistono infatti sistemi di protezione invalicabili) delle nuove soluzioni proposte ad aziende e privati.

Impronte digitali

Tra le modalità di identificazione più note troviamo le impronte digitali. Ad aumentarne la popolarità nel settore consumer Apple, che ha deciso qualche anno fa di implementarla nella celebre gamma di smartphone (iPhone) e personal computer (MacBook). Microsoft ha messo a disposizione di 800 milioni di utenti la possibilità di effettuare il login ai servizi offerti da Outlook, Skype, Xbox, mediante un servizio cloud che scansiona l’impronta del presunto intestatario dell’account – inoltrata dal cellulare di turno. E per fine anno si prevede una modalità di accesso simile anche per chi utilizza il più recente sistema operativo Windows 10.

Riconoscimento vocale

In questo campo i pionieri indiscussi sono le banche; HSBC, Citi, Santander e Barclays sono alcune delle compagnie che hanno portato avanti interessanti soluzioni. Ad esempio Barclays ha avviato una fase di testing nel 2014 (indirizzata in un primo momento ai clienti più facoltosi) che nel 2016 ha portato all’estensione dell’autenticazione vocale (via telefono) anche agli altri clienti. Sul medio termine la compagnia prevede anche di inserire tale modalità di accesso per il mobile banking. In base a quanto dichiarato da un portavoce il sistema di identificazione, che naturalmente ha a propria disposizione un archivio di voci registrate, analizza in modo accurato le variazioni di tono, la velocità e la cadenza della parlata.

Riconoscimento facciale

Alcuni device (es: l’ultimo smartphone presentato da Samsung) hanno riproposto l’autenticazione facciale in ambito consumer, con risultati discreti ma non ancora all’altezza dei più alti standard di sicurezza. Ritornando un attimo al settore bancario, istituti come Lloyds Banking Group hanno iniziato a sperimentare invece la tecnologia Windows Hello, grazie alla quale i tester sono in grado di accedere ai servizi online (banca multicanale) mediante identificazione del volto via webcam. 

A prova di hacker?

Una delle condizioni necessarie a mandare in pensione le “vecchie” password è quella di dimostrarne la minore efficacia rispetto alle soluzioni più recenti. Due delle tre alternative menzionate sono state criticate da addetti ai lavori ed esperti di sicurezza informatica.

Per quanto riguarda il riconoscimento vocale, il supporto di IA e software appositi potrebbe consentire a malintenzionati di copiare la voce dell’obiettivo designato. Non si tratta solo di speculazioni: tre ricercatori della startup Montreal AI hanno rilasciato ad esempio alcuni demo audio elaborati dal loro software Lyrebird che è riuscito ad imitare le voci di famosi personaggi statunitensi come Trump ed Obama. L’unico “limite” del software è la necessità di ascoltare per almeno 60 secondi la voce da copiare, niente di complicato per eventuali malintenzionati.

Una problematica simile può riguardare anche l’autenticazione via riconoscimento facciale: un volto può essere riprodotto fedelmente da un software e mostrato all’obiettivo della telecamera incaricata di verificarne l’autenticità. Il sensore dell’ultimo top di gamma Samsung è stato ad esempio raggirato da una semplice fotografia inquadrata dalla smartphone. Microsoft assicura invece che Hello offre un elevato grado di affidabilità: i raggi infrarossi utilizzati durante la procedura d’identificazione sono infatti in grado di “ricostruire” fedelmente il volto di una persona.

“Il nostro obiettivo è quello di eliminare per sempre le password. […] In futuro, guardando indietro a questo periodo, ci metteremo a ridere pensando al fatto che dovessimo creare dei codici di 10 caratteri con maiuscole e minuscole, numeri, e caratteri speciali così come al giorno d’oggi i giovani trovano divertente l’idea [che in passato] si comprassero album su supporto fisico” ha affermato il vice presidente della sezione product management Yahoo! Sarà veramente così?

Fonte: 1