I controlli biometrici sono una cattiva idea, ecco perché
Lo scanner dell’iride sul Samsung Galaxy S8, il Face ID sull’iPhone X e il lettore d’impronte digitali su qualsiasi smartphone hanno tutti lo stesso difetto: la biometria non è sicura. Abbiamo un viso, due occhi e dieci impronte digitali che non possono essere cambiati se compromessi, almeno non così facilmente come una password.
Quando si parla di sicurezza degli smartphone bisogna sempre trovare un compromesso tra comodità e sicurezza. Per esempio, quando uno dei miei colleghi ha testato il riconoscimento facciale dell’LG Q6, è riuscito a sbloccare lo smartphone tramite una foto di se stesso su un altro smartphone. Ma, una volta attivata la funzione avanzata di riconoscimento facciale piuttosto lenta, il trucco del 2D non più ha funzionato.
Anche il più sofisticato Face ID dell’iPhone X può essere raggirato. In meno di una settimana e per meno di 150 dollari, i ricercatori di un centro di sicurezza cibernetica sono riusciti a creare una maschera (abbastanza spaventosa) capace di battere il Face ID. Anche senza volerlo, i membri di una famiglia a volte riescono a sbloccarsi gli smartphone a vicenda. Un bambino di 10 anni è riuscito a sbloccare l’iPhone X della madre per via della loro forte somiglianza. Inoltre il Face ID si fa prendere in giro dai gemelli omozigoti.
Le impronte digitali sono ancora più semplici da copiare perché le lasciamo ovunque: offline e, a volte, anche online. Se guardate la foto sottostante, potete vedere chiaramente un’impronta digitale. In teoria potreste copiarla. Una volta che la vostra impronta digitale è stata scansionata, se non custodita in modo sicuro, la rappresentazione digitale della vostra impronta potrebbe essere rubata.
Anche se le impronte digitali sono uniche e non possono essere indovinate come alcune tra le più semplici password, possono comunque essere compromesse facilmente. In fondo, ne abbiamo solo 10.
I produttori di smartphone fanno di tutto per mettere al sicuro le vostre impronte digitali. Ecco come: Il Touch ID di Apple memorizza una rappresentazione matematica delle vostre impronte digitali anziché l’immagine scannerizzata dell’impronta stessa. Poi la codifica e la salva sul dispositivo stesso senza eseguire il backup nel cloud. Quindi la vostra impronta digitale è accessibile solo tramite una chiave particolare, accessibile al chip che Apple chiama Secure Enclave, un co-processore basato su ARM usato per aumentare la sicurezza iOS.
Anche Android richiede una chiave particolare per manipolare i dati delle impronte digitali suddivisi in diverse sezioni per maggiore sicurezza. Vengono gestiti all’interno dell’«ambiente di esecuzione sicura» (Trusted Execution Environment) nel processore principale del dispositivo.
Nonostante gli sforzi fatti dai produttori per tenere al sicuro le impronte digitali e gli altri dati biometrici, le nostre impronte digitali sono praticamente ovunque e il nostro viso può sempre essere ripreso da videocamere e fotocamere. Visto che non si riescono a correggere i difetti della biometria relativi alla sicurezza, bisognerà trovare un altro modo. Nemmeno i PIN ed i segni di sblocco sono così sicuri perché si possono ricostruire in base ai segni che le nostre dita lasciano sugli schermi degli smartphone. L’alternativa migliore, a questo punto, è una password sicura. Cioè una combinazione di lettere, numeri, simboli e soprattutto non riutilizzare mai la stessa password.
Come rendete sicuro il vostro smartphone? Date più importanza alla la sicurezza o alla comodità?
Io ho sempre detto, quasi fin da quando sono iscritto, che l'idea di usare le impronte digitali per sbloccare un telefono è una scelta pericolosa e non perché le impronte possano essere copiate, può essere clonata una utenza telefonica, una carta di credito, un PIN. A volte un PIN o una password possono anche non essere necessarie per accedere ad un dispositivo. Ecco quello che voglio dire è che questa non è una tecnologia da evitare ma è ancora giovane e ci vuole ancora un miglioramento dei dispositivi prima di iniziare ad usarla. Il problema però è la "corsa agli armamenti", le case temono di essere superate l'una dall'altra e per offrire novità ai loro clienti mettono nei loro prodotti delle innovazioni non completamente rodate, mal collaudate e con un margine di miglioramento molto ampio ma che richiede tanto tempo. Io penso che se si continuerà a lavorare in questa direzione si potrebbe arrivare, nel giro di un paio di anni, a poter usare con maggiore indice di affidabilità queste tecnologie. Se Dio vorrà vederemo :)