L’autenticazione biometrica è una parte crescente del panorama tecnologico-è nelle nostre scuole, uffici, aeroporti, edifici governativi e, più recentemente, nei nostri smartphone. L’introduzione di Apple di Touch ID nel 2013 ha aperto la strada alla tecnologia di riconoscimento delle impronte digitali, del viso e dell’iride per lasciare il dominio quasi esclusivo delle forze dell’ordine ed emergere nel mainstream come un modo per autenticare la tua identità e accedere agli account e agli spazi fisici.
Ma mentre i dati biometrici e le sue applicazioni hanno preso la corsia di sorpasso verso il successo, il loro utilizzo solleva anche nuovi problemi di sicurezza e privacy che devono essere considerati e gestiti. Ci sono rischi importanti che sono unici per l’autenticazione biometrica che non sono presenti con altre forme di autenticazione, come le password. Vale a dire, si può sempre cambiare la password se perde — ma cosa succede se la password è il tuo volto? In questo articolo, parleremo di come comprendere tali rischi e mitigarli.
- Come l’autenticazione biometrica opere
- i Vantaggi di utilizzare l’autenticazione biometrica
- Rischi associati con l’autenticazione biometrica
- Come ProtonMail si applica biometria
- Come mantenere i vostri dati biometrici sicurezza
Come l’autenticazione biometrica opere
Biometria si riferisce alla misurazione e l’analisi di un individuo tratti fisici, come le impronte digitali, iride, modelli, o anche il modo in cui una persona cammina (come in “il riconoscimento dell’andatura”). Queste informazioni vengono digitalizzate convertendo le caratteristiche fisiche (le creste su un’impronta digitale, ad esempio) in modelli biometrici composti da punti dati basati su formule specifiche.
Quando un dispositivo o un servizio utilizza la biometria per l’autenticazione, lo scopo principale è verificare che una persona sia chi afferma di essere confrontando i propri dati biometrici con dati precedentemente raccolti e archiviati.
Esistono diversi modi in cui i dati biometrici possono essere archiviati ed elaborati, ad esempio tramite server di database, token crittografati o token fisici. In genere gli smartphone utilizzano l’archiviazione su dispositivo di modelli biometrici, che garantisce l’autenticazione senza che i dati vengano inviati a un server. Pertanto, i dati biometrici rimangono sicuri finché il dispositivo stesso non viene compromesso.
Vantaggi dell’utilizzo dell’autenticazione biometrica
Ci sono buone ragioni per cui l’autenticazione biometrica si è espansa così rapidamente. Ecco i principali:
Semplicità e convenienza per l’utente
La semplicità travolgente, almeno dal punto di vista del consumatore, è un fattore significativo nella crescente popolarità dell’autenticazione biometrica. Dopotutto, è molto più facile posizionare il dito su uno scanner piuttosto che digitare una password di 20 caratteri.
Maggiore autenticità
La biometria può fornire livelli maggiori di autenticità per gli utenti inclini a password e PIN deboli, che possono essere comuni a più utenti o facilmente condivisi. Impronte digitali e iride modelli, tuttavia, sono difficili da condividere o replicare (ma non impossibile). Gli identificatori univoci sono un elemento necessario per molte applicazioni, come i pagamenti o l’accesso a spazi sicuri, rendendo la biometria la scelta preferita.
Accessibilità
I progressi tecnologici hanno ridotto il costo dei componenti, rendendo ora possibile l’autenticazione biometrica in un’ampia gamma di implementazioni. Considera Delta Air Lines, che offre un processo di check-in biometrico opzionale ai loro volantini dal marciapiede al cancello, risparmiando ai passeggeri nove minuti per volo.
Shoulder surfing
Gli hacker possono provare a penetrare nel tuo dispositivo o account guardandoti mentre inserisci il tuo codice PIN o sblocca il modello. Questo è noto come un attacco di surf spalla. L’autenticazione biometrica può aiutarti a essere più resistente a questo tipo di attacco.
Rischi associati all’autenticazione biometrica
A volte la presentazione di dati biometrici a un titolare del trattamento è richiesta come condizione per ricevere servizi o benefici, il che pone la domanda: Qual è il costo di tale convenienza? L’uso dei dati biometrici in un mondo in cui la criminalità informatica è al massimo storico comporta naturalmente dei rischi. Ecco alcuni di essi:
Vulnerabilità alle violazioni dei dati
È ben noto che le organizzazioni che raccolgono e memorizzano i dati personali degli utenti sono costantemente minacciate dagli hacker. Anche se Delta raccoglie informazioni biometriche sui suoi passeggeri, il settore delle compagnie aeree è stato afflitto da violazioni dei dati.
Poiché i dati biometrici sono insostituibili, le aziende devono trattarli con la massima cautela. Se la password o il PIN di uno dovesse essere compromessa, c’è sempre la possibilità di ripristinarlo. Ma lo stesso non si può dire per il viso, le impronte digitali o le iridi.
Tracciamento e registrazioni digitali permanenti
L’autenticazione biometrica è ancora nelle sue fasi iniziali, ma pone già serie domande sulla privacy. Quando i dati biometrici vengono archiviati sul lato server, in particolare nelle giurisdizioni soggette a sorveglianza e warrant segreti, si rischia di lasciare un record digitale permanente o un potenziale monitoraggio da parte delle autorità governative.
Ad esempio, è noto che durante le recenti proteste di Hong Kong, il governo ha utilizzato il riconoscimento facciale per rintracciare i manifestanti. Come CCTV prolifera, i dati biometrici possono diventare un tag digitale permanente che le autorità possono utilizzare per identificare e tenere traccia di voi per il resto della tua vita.
Falsi positivi
I metodi di autenticazione biometrica spesso si basano su informazioni parziali, ovvero un numero finito di punti dati, per autenticare la propria identità. Ad esempio, nel 2018, un team della New York University ha addestrato una rete neurale AI a violare in modo fraudolento l’autenticazione delle impronte digitali con un tasso di successo del 20%. Si sono basati sul fatto che la maggior parte degli scanner di impronte digitali esegue la scansione solo di una parte del dito. Gli elementi comuni possono essere usati per ingannarli nell’autenticazione errata in un modo simile a un attacco di dizionario.
Per contrastare l’autenticazione falsa, come lo sblocco di Face ID quando l’utente è addormentato, Apple utilizza il rilevamento “liveness”. Mentre Face ID si alzò bene contro l’hack testa 3D-stampato che ha battuto diversi dispositivi Android, i ricercatori alla fine sono riusciti a trovare un modo per aggirarlo.
Bias e inesattezza
Non tutti i modelli di riconoscimento facciale sono uguali e anche i migliori di essi non sono perfetti. Ad esempio, la funzione OnePlus 6 face unlock si basa sulla fotocamera frontale e non è sicura come Oppo Find X o Huawei Mate 20 Pro, che utilizzano la mappatura della profondità a infrarossi 3D.
Anche Face ID di Apple, che costruisce una mappa di profondità 3D di tutto il tuo volto utilizzando una matrice di punti 30.000 punti, ha lasciato l’azienda dalla faccia rossa quando non è riuscito a distinguere una donna cinese dal suo collega, e successivamente un ragazzo cinese da sua madre, tra gli altri. Apple è stato sbattuto per pregiudizi razziali, indicando che hanno bisogno di includere più fattori per perfezionare tali caratteristiche.
Come ProtonMail applica la biometria
Poiché l’autenticazione biometrica è intrinsecamente rischiosa, Proton non la utilizza per l’accesso all’account. Per accedere al tuo account Proton, devi fornire la tua password.
Ti consigliamo anche di attivare l’autenticazione a due fattori (2FA), che richiede di inserire un’ulteriore informazione, una password monouso basata sul tempo generata da un’app su un dispositivo di tua proprietà, prima di accedere al tuo account. Con 2FA abilitato, anche se la password è compromessa, un hacker non può accedere al tuo account senza anche ottenere l’accesso al dispositivo.
Una volta effettuato l’accesso al tuo account, puoi scegliere di aggiungere un ulteriore livello di protezione all’app ProtonMail nelle impostazioni dell’app. Sia in iOS che in Android, puoi scegliere di bloccare l’app e richiedere un codice PIN o un’autenticazione biometrica dopo che l’app è stata inutilizzata per un determinato periodo di tempo. Ciò fornisce sia maggiore sicurezza che convenienza in uno scenario a rischio relativamente basso (ad esempio, hai già una sessione attiva sul tuo dispositivo). L’autenticazione avviene localmente, quindi nessun dato biometrico viene mai inviato ai nostri server.
In ProtonMail per iOS, l’abilitazione di Face ID, Touch ID o PIN protection attiva anche il sistema di protezione AppKey, che rappresenta un ulteriore livello di crittografia per i dati ProtonMail, in difesa da determinati tipi di malware e attacchi forensi.
Naturalmente, le decisioni di sicurezza che prendi dipendono dal tuo modello di minaccia. L’utilizzo dell’autenticazione biometrica non è così sicuro come l’utilizzo di un codice di accesso o la disconnessione ogni volta. Ma queste soluzioni sono peggiori dal punto di vista dell’usabilità. Gli utenti con modelli di minaccia più elevati dovrebbero anche considerare le implicazioni dell’abilitazione dell’autenticazione biometrica quando attraversano le frontiere o si impegnano con le forze dell’ordine.
bibliografia
Come scegliere una password sicura
Come proteggere il vostro dispositivo quando attraversano le frontiere
Come mantenere i vostri dati biometrici sicurezza
di seguito alcuni suggerimenti finali da tenere a mente quando si utilizza l’autenticazione biometrica:
- Utilizzare l’autenticazione a due fattori (2FA), per quanto possibile. Ecco come impostare 2FA in ProtonMail.
- Se un dispositivo o un servizio richiede informazioni biometriche, verificare che i dati siano memorizzati localmente sul dispositivo e non su un server basato su cloud o trasmessi in rete.
- Sii consapevole di situazioni come festival musicali o eventi sportivi in cui viene raccolta l’identificazione biometrica.
- Come pratica standard, evita di cliccare su link sospetti o installare app di terze parti non verificate sul tuo dispositivo.
La nostra missione è costruire un Internet più sicuro e essere informati su come i tuoi dati sono protetti può consentirti di prendere decisioni migliori sui servizi che utilizzi. Se avete domande o commenti sull’autenticazione biometrica, non esitate a partecipare alla discussione sui nostri canali di social media.
Cordiali saluti,
Il team ProtonMail
È possibile ottenere un account di posta elettronica sicuro gratuito da ProtonMail qui.
Forniamo anche un servizio VPN gratuito per proteggere la tua privacy.
ProtonMail e ProtonVPN sono finanziati con contributi comunitari. Se desideri sostenere i nostri sforzi di sviluppo, puoi passare a un piano a pagamento o donare. Grazie per il vostro sostegno.