Biometria, la password siamo noi

Negli ultimi anni, la diffusione sempre più capillare di sistemi di autenticazione biometrica sui nostri dispositivi ha semplificato la gestione delle credenziali e aumentato la sicurezza. Spesso però utilizziamo questi strumenti senza conoscerli bene attribuendogli un’attendibilità che in realtà non possiedono. Vediamo come stanno davvero le cose.

Il Regolamento GDPR definisce i dati biometrici quei “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca”.*

Gli utenti che si affidano ad un sistema di riconoscimento biometrico nella quasi totalità dei casi non conoscono né il dato inserito, né il dato immagazzinato per il confronto.

Una domanda da porsi è: quanta parte dell’impronta digitale è stata acquista dal sistema in sede di impostazione e quanta parte è sufficiente per ottenere un controllo positivo?

Solo una piccola frazione di quell’attributo biologico è realmente immagazzinato e necessario per un’identificazione positiva.

Proviamo a fare un parallelismo tra un dato biometrico e una password che porta i valori “0011”: per garantire il riconoscimento nella maggior parte delle condizioni di uso comune dovremmo ammettere, nell’esempio, anche i valori “0110” o “1100” che ci consentono di ottenere un confronto positivo anche in presenza di lievi variazioni nel parametro biometrico valutato, ad esempio un piccolo taglio sul dito che deve fornire l’impronta.

Questo è necessario affinché venga mantenuta un’elevata dose di fluidità e velocità come richiede il mercato consumer, di conseguenza i device devono essere “generosi” nel tollerare imprecisioni o errori nei dati forniti.

Abbiamo quindi 2 punti principali che richiedono elevate garanzie:

  1. acquisizione del dato biometrico da utilizzare per il confronto;
  2. processo di confronto del dato biometrico immagazzinato con il dato inserito per l’autenticazione.

Una delle regole fondamentali in tema di gestione delle credenziali è la differenziazione delle stesse, ovvero quella di non usare mai la stessa password per diversi servizi.

Scanner di impronte digitali, dell’iride o del volto, sono ormai di ampia diffusione sui nostri PC e Smartphone, ciò comporta un accentramento delle chiavi di identificazione in questi pochi elementi.

Maggiore sicurezza o maggiori rischi?

Le credenziali biometriche sono molto più preziose delle password e per questo è assolutamente necessario riservarle a servizi o hardware di provata sicurezza e affidabilità. Se un malintenzionato scopre o diffonde la nostra password, al massimo avremo perso una buona password, ma se un malintenzionato scopre o diffonde la nostra impronta digitale, non potremo mai più utilizzare quell’impronta in sicurezza!

È buona norma ricordare che vale ancora la regola generale per cui se un sistema di sicurezza è comodo, è meno sicuro e quindi, se vogliamo maggiore sicurezza, dobbiamo rinunciare alla comodità di una credenziale biometrica “parziale” o a quella di una password semplice o appuntata vicino al pc.

Fonti:

*Regolamento UE 2016/679: ex art. 4(14) https://www.agendadigitale.eu/

Information Security Systems Auditor & Consultant

Korecon italia

per maggiori informazioni: