Le
radici storiche della difesa dei messaggi attraverso varie
forme di criptazione. Fino alla credenziale di accesso
ai sistemi informatici chiamata password: ma funziona
soltanto se non è unica nè facilmente prevedibile.
Ma il futuro è nella biometria
La
necessità di proteggere i propri dati e informazioni
ha radici remote ed i campi di applicazione sono riconducibili
essenzialmente ad ambienti militari. Basti pensare alla
scitala spartana, un ingegnoso metodo utilizzato dagli efori
per inviare messaggi criptati ai generali e ai navarchi
impegnati sui campi di battaglia. Oppure al più noto
cifrario di Cesare a sostituzione monoalfabetica, idea successivamente
migliorata dal disco cifrato di Leon Battista Alberti nella
seconda metà del XV secolo. Ciò ispirò
Arthur Scherbius nella realizzazione, e siamo nel 1918,
della macchina Enigma che grande impiego ebbe, da parte
dell’esercito tedesco, durante la seconda guerra mondiale,
a cui Alan Turing rispose con la MTU (Macchina di Turing
universale).
Anche
in questo settore l’utilizzo sempre più diffuso
delle tecnologie informatiche e di internet ha richiesto
l’adozione di accorgimenti difensivi sempre più
sofisticati ed elaborati. Uno degli strumenti più
diffusi per ottenere un accesso univoco ad un sistema o
ad una risorsa informatica è costituito dalla password.
Inventata nel 1964 da Fernando Corbatò, ingegnere
del MIT (Massachusetts Institute of Technology), è
entrata a far parte del nostro agire quotidiano permettendo:
accesso al computer, casella di posta elettronica, rete
wi-fi, sportello bancomat, SPID, registro elettronico, etc.
Ma proprio perché sono sempre più numerosi
gli ambiti del mondo vissuto ad essere gestiti dalla tecnologia,
la gestione delle password inizia ad essere vissuta come
un problema necessitando di livelli di sicurezza via via
più complessi. Le strategie finora adottate sono
state: stringhe alfanumeriche sempre più complesse
e cifrate, autenticazione a due fattori, OTP (one- time
password) o password dinamiche.
La
scarsa attenzione ai temi della sicurezza informatica, legata
alla gestione e alla conservazione della propria identità
digitale, ha portato ad una banalizzazione o, quantomeno,
prevedibilità nella scelta delle credenziali d’accesso:
sequenze numeriche semplici, 123456, o il nome della madre,
la propria data di nascita, etc. Inutile meravigliarsi,
a questo punto, se le ultime ricerche abbiano rilevato nel
furto delle password una delle frodi privilegiate dai cybercriminali,
basti pensare che si registra una media di 579 tentativi
di furti di credenziali di accesso al secondo e di quasi
20 miliardi l’anno.
Uno
degli ultimi metodi adottati dai malintenzionati è
quello del credential stuffing che fa perno sull’abitudine
di molti utenti di utilizzare le stesse credenziali per
accedere a più applicazioni, siti e servizi.
Al
fine di fronteggiare la debolezza delle strategie adottate
e di semplificare la vita ai propri consumer sollevandoli
dall’obbligo di ricordare, gestire e preservare un
sempre più crescente numero di password, la società
di Redmond ha recentemente rilasciato gratuitamente quella
che finora era una funzione esclusiva dei clienti business,
Microsoft Authenticator. Si tratta di un’applicazione
disponibile sia su iOS che su Play Store che consente di
entrare nel proprio profilo senza dover ricordare e utilizzare
alcuna password. Questo perché una volta scaricata,
seguendo un procedimento di installazione e configurazione
molto semplice, permette di cancellare automaticamente tutte
le password salvate sul proprio account. A questo punto
per accedere alle diverse applicazioni basterà inserire,
in fase di autenticazione, un codice temporaneo ricevuto
via SMS sul numero di smartphone o all’indirizzo mail
forniti in fase di registrazione.
Anche
in questo caso i rischi non sono del tutto eliminati, in
quanto si potrebbe a sua volta essere vittime di SIM Swapping
(furto fisico del device della vittima) che vanifica l’autenticazione
a due fattori perché anche il codice di verifica
potrebbe a sua volta essere compromesso.
Da
quanto su esposto sembra chiaro che il metodo più
sicuro ed efficace sembra risiedere nella biometria, ossia
sull’unicità delle caratteristiche biologiche
del singolo utente: iride, impronte digitali, riconoscimento
facciale (face detection).
Inutile
ricordare che, oggi come allora, ci si trova su di un campo
di battaglia in cui è assolutamente vietato abbassare
la guardia.
Clemente
Porreca
|
