Negli ultimi due articoli abbiamo visto i fattori di identificazione dell’utente che fanno riferimento a “qualcosa che conosciamo” e “qualcosa che siamo”; in questo vedremo alcuni aspetti dei sistemi basati su “qualcosa che abbiamo”, ad esempio la nostra carta di credito o il nostro cellulare, che funzionano, di fatto, come la chiave per una serratura.
Una chiave è ovviamente funzionale solo se ci troviamo fisicamente davanti alla sua serratura, cioè se siamo nello stesso luogo della porta di accesso allo spazio che mi interessa, indipendentemente se sia la mia casa, garage, auto o ufficio.
La rete, tuttavia, prevede accessi a spazi che non sono sempre fisicamente presenti davanti all’utente, quindi chi usa questa funzione di identificazione a 100 chilometri di distanza da quella attività o banca dati (accesso in “remoto”), dovrà poter provare al sistema che quel “qualcuno” che possiede la chiave fisica di accesso sia effettivamente chi dice di essere.
Questa considerazione conferma il fatto che nessuno dei tre fattori di identificazione può essere considerato, da solo, uno standard sufficiente di conferma: se limito la verifica di accesso al sistema a “qualcosa che abbiamo”, chiunque se ne impossessa (ad esempio rubandolo o clonandolo) potrà farsi passare per me e quindi impadronirsi, e anche modificare, di ogni mio dato o funzione.
Almeno due di questi fattori sono necessari al fine di definire un sistema “sicuro”, quindi abbinerò alla mia “chiave di casa” un’altra funzione di riconoscimento: una combinazione numerica (PIN), una telecamera per il riconoscimento facciale, un lettore di impronte, eccetera.
L’accesso in remoto, prima della nascita dei cellulari, era ovviamente più complicato: succedeva ad esempio che le banche consegnavano dei lettori di carte bancomat da collegare al proprio computer, un sistema che attualmente viene ancora sfruttato dalla sanità italiana per consentire da casa l’accesso alla propria cartella clinica e alle attività ad essa correlate.
Essenzialmente, inserendo la tessera in questo lettore, quest’ultimo legge il chip presente sulla carta e chiede all’utente un PIN: ricevuto il PIN, trasforma la lettura del chip in un codice che viene poi inviato al sistema che verifica la corrispondenza tra tessera e PIN prima di far accedere ai propri dati e funzioni.
Oggi, con la diffusione massiva dei cellulari (oggetti “fisici” che possono essere sfruttati come strumento di verifica semplicemente mandando una notifica sul telefono), non è più necessario ricorrere a questi sistemi complicati e poco intuibili.
A volte vengono ancora usati codici numerici che vengono mandati sul cellulare per messaggio (SMS), ma questa soluzione non rappresenta una scelta ideale, in quanto gli SMS non si sono dimostrati molto sicuri.
Ci sono stati infatti casi di attività criminali che sono riuscite ad ottenere fraudolentemente dalle compagnie telefoniche il trasferimento del numero telefonico di verifica su un altro dispositivo, così da ottenere quei codici e ingannare il sistema (ecco un altro buon motivo per non divulgare mai informazioni personali in rete…).
Questa attività banditesca ha fatto sviluppare altri sistemi molto più sicuri per la verifica dell’identità dell’utente, alcuni piuttosto raffinati, che non si sostituiscono ai precedenti, ma si affiancano ad essi.
Tra questi ricompare un argomento che abbiamo trattato di recente che riguarda la generazione di codici casuali, in una nuova veste e applicazione per i cellulari.
Esistono applicazioni (App) gestite direttamente dalle compagnie o dai fornitori stessi dei servizi di telefonia cellulare che permetto di generare continuamente codici unici e a uso del singolo device, aggiornati ogni 30/60 secondi, con i quali vengono “seguiti” i nostri cellulari per impedire che le loro funzioni vengano dirottate altrove.
Essenzialmente queste App si possono tradurre come delle “password” che noi non conosciamo, ma il nostro telefono sì: per quanto si tratti di codici corti e di conseguenza facili da scovare, il fatto che vengano rinnovati casualmente ogni pochi secondi non lascia il tempo per il loro hackeraggio e rende il meccanismo sicuro.
Ovviamente anche questo sistema, da solo, non è sufficiente a salvare il nostro device dal pericolo più antico (noi stessi): se, ad esempio, invece di accedere al sito della nostra banca con il nostro codice e con il protocollo corretto, operiamo in modo semplificato o superficiale (vedi “inserire link”, sicurezza dei wi-fi, il “phishing” nei precedenti articoli), rischiamo di regalare al criminale di turno proprio quel codice grazie al quale potrà convincere la compagnia o il fornitore di rete di essere il reale possessore del nostro telefono, bypassando così anche il meccanismo della App di generazione di codici casuali di sicurezza.
Oggi la quasi la totalità dei siti e degli strumenti che utilizziamo tutti i giorni hanno un sistema di autentificazione a più fattori, ed è buona norma sfruttarli sempre al massimo delle loro potenzialità, ma la prudenza è un atteggiamento dell’individuo, non una tecnica della macchina, quindi senza il buon senso dell’utente sono tutti inefficaci.
Nel caso sopra descritto (entrare in un sito che simula la mia banca o l’uso del link per collegarsi, magari anche da un wi-fi non sicuro), il nostro comportamento imprudente è riuscito ad annullare gli effetti di sicurezza di ben quattro sistemi di identificazione (password, lettore chip della tessera, codice assegnato in chiaro, codici casuali del device).
La conclusione è quindi sempre la stessa: si possono avere tutti i fattori di autenticazione e riduzione del rischio che vogliamo sui nostri conti in banca, mail o personal computer, ma se l’utente non si assicura che vengano usati in siti contraffatti o durante un attacco di phishing, potrà contare solo sulla sua fortuna.
I computer eseguono solo quello che gli “diciamo” di fare, non quello che “intendiamo” fare e di conseguenza non possono impedirci di chiedere o fare qualcosa che ci danneggerà.
Approfondiremo nei prossimi numeri i meccanismi che sono alla base delle più comuni strategie utilizzate dai criminali per farci commettere questi errori e le imprudenze più diffuse nell’uso delle carte di credito.