sicurezza

Password e dati biometrici, siamo davvero al sicuro?

di |

Le password non piacciono a nessuno ma sappiamo che sono un male necessario man mano che le nostre attività private si spostano online.

Rubrica settimanale SosTech, frutto della collaborazione tra Key4biz e SosTariffe. Per consultare gli articoli precedenti, clicca qui.

Quando si parla di password ognuno ha la sua ricetta. Chi sceglie sempre la stessa, magari facilissima (nomi, iniziali, date di nascita), e poi si stupisce se al primo data breach deve cambiarla ovunque. Chi elabora algoritmi complicatissimi con formule che cambiano di sito in sito, poi se li scorda e non riesce più ad accedere nemmeno alla posta. Chi scrive tutto a penna su un foglietto di post-it che poi rimane visibile a tutti coloro che passano vicino a quel computer.

Chi sceglie di utilizzare quelle astruse suggerite dai browser, poi cambia il browser e si ritrova a sua volta a dover cliccare sui link “Ho perso la password” venti volte al giorno. Insomma, le password non piacciono a nessuno, ma sappiamo che sono un male necessario, tanto più ineludibile man mano che le nostre attività private si spostano online, in particolare grazie all’eliminazione del vincolo della postazione fissa tramite Internet mobile (le cui offerte più convenienti si trovano come sempre su SOSTariffe.it).

Pigrizia e poca fantasia, ecco come sbagliamo

Abbiamo accettato più o meno di buon grado anche l’autenticazione a due fattori, che ci costringe ad avere sempre lo smartphone sottomano anche se siamo su PC, perché se non ci pare un gran problema che qualcuno possa postare a nostro nome su Facebook, cominciamo a renderci conto che “123456” potrebbe non essere una barriera sufficiente per proteggere il nostro mutuo. Ma non le sopportiamo, c’è poco da fare. Ci sono i password manager, ma costano, ed è comprensibile che si scelga di non aggiungere l’ennesimo abbonamento alle decine che già abbiamo e che poco per volta erodono il nostro conto in banca. Così quasi sempre apparteniamo al primo tipo, quelli che usano la stessa password per tutto: l’ha mostrato anche un report della società di sicurezza informatica Rapid7, rendendo noto che gli attacchi a un network di honeypot – i sistemi “trappola” nati per attirare gli hacker – hanno utilizzato per il 99,997% password appartenenti alla più grande raccolta mai girata in rete, il file RockYou2021, che raccoglie la bellezza di 8,4 miliardi di chiavi d’accesso, considerate tutte le varie permutazioni. Ma è davvero possibile ipotizzare un mondo senza credenziali obbligatorie?

La rabbia per il reset e l’alternativa biometrica

Secondo un recente studio di Aware, la prostrazione derivata dalle password – che ormai vengono richieste da quasi ogni sito perché quasi ogni sito ha la sua brava area privata, anche se non serve assolutamente a nulla – sta raggiungendo livelli mai visti. Circa il 30% degli utenti si sente terribilmente frustrato quando deve resettare una password, e la percentuale sale quando si prende in esame la categoria d’età dove di norma si ha meno tempo da perdere, tra i 25 e i 45 anni, cioè all’inizio di una carriera e quando si sta formando una famiglia. Anche per questo, e non solo per una maggiore dimestichezza con i mezzi più moderni, i più giovani sono molto più propensi ad adottare l’innovazione che da qualche anno sta consentendo un approccio più immediato all’accesso riservato, ovvero le autenticazioni biometriche, che permettono di non inserire una password alfanumerica ma identificarsi attraverso l’impronta digitale, la scansione del volto o della retina, il riconoscimento vocale. Rispetto ai baby boomer, secondo lo studio le generazioni X e Z si dichiarano in una percentuale più che doppia a loro agio con l’uso dell’autenticazioni biometrica, e più scende l’età più aumenta la disponibilità a utilizzare questi metodi.

Dati sicuri, ma che non si possono cambiare

È la rivoluzione della passwordless authentication, che però a sua volta non è esattamente esente da rischi. Mentre in tanti cercano di capire che cosa sia esattamente il metaverso, e soprattutto in che cosa differisca da una versione riveduta e corretta di Second life – un articolo di Andrea Daniele Signorelli su Domani ha ben raccontato i numeri deludenti e il diffuso senso di sfiducia anche tra i dipendenti di Meta – dall’universo alternativo di Mark Zuckerberg arrivano nuovi allarmi che riguardano proprio i dati biometrici. Leggendo la ricerca di Trend Micro intitolata “Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect”, si capisce come i dati biometrici siano sì molto comodi e in buona parte molto più sicuri delle password alfanumeriche, ma abbiano un inevitabile e pericolosissimo svantaggio: a differenza di queste, infatti, non possono essere cambiati, visto che la nostra impronta digitale sarà sempre la stessa e, rughe permettendo, lo stesso discorso vale per la faccia. Questo significa che in caso di furto di questi dati sarebbe quasi impossibile rimediare per il derubato.

Il metaverso e il furto tramite 3D

Si dirà: ma come si fanno a rubare dati che sono intimamente legati a noi e al nostro corpo? È qui che entra in gioco il metaverso, che se davvero si imporrà e migliorerà anno per anno, permetterà di creare avatar perfettamente identici nelle loro caratteristiche fisiche ai relativi utenti, utilizzando dati che si trovano sempre più spesso in giro per la Rete: siamo infatti proprio noi a consegnare le nostre informazioni biometriche a società terze, facendoci selfie su selfie e primi piani di fila e usando i filtri più vari per proporci al meglio sui social, e contemporaneamente inviando centinaia di foto – con fotocamere sempre più precise e dettagliate – del nostro volto. Riuscire a prendere possesso di queste e altre informazioni, e rielaborarle in una figura in 3D, vorrebbe dire, nella peggiore delle ipotesi, avere a disposizione il “corpo” di un individuo da utilizzare per richiedere l’accesso alle sue aree riservate.

Del resto vediamo ogni giorno come tramite i deepfake sia relativamente semplice creare delle copie perfette di celebrità assortite per far dire e fare quello che vogliamo. Se l’allarme per l’ipotetico filmato (falso) di un dittatore o di un leader democratico che danno l’ordine per lo sgancio dell’atomica si è fortunatamente un po’ ridimensionato, l’utilizzo di simili approcci potrebbe meno catastrofico ma insidioso, e ci troveremmo da capo, a sperare che nessuno abbia buttato nel cestino quel foglietto volante a cui avevamo affidato le chiavi d’accesso per il nostro conto corrente o la posta elettronica.