UNO, NESSUNO O CENTOMILA (BIT)
SE NON LO SAI, SALLO!
10 Febbraio 2021
LA FORTUNA NON È UNA STRATEGIA
1 Marzo 2021
Dagli articoli precedenti sappiamo che i fattori di identificazione dell’utente fanno riferimento a qualcosa che conosciamo, siamo o possediamo.
Il “qualcosa che siamo” è un sistema che sfrutta la biometrica, ad esempio le nostre impronte digitali o il riconoscimento facciale o vocale per avere un riscontro il più oggettivo possibile di chi è la persona che “fisicamente” sta usando il terminale o che sta cercando di accedere a qualche sistema.
Il sistema offre un punto di forza particolare: non è possibile chiedere e ottenere un aggiornamento facendo finta di aver dimenticato o non conoscere la propria impronta o i tratti del proprio viso come se fossero una password.
Per quanto non siano infallibili, sono quindi fattori più difficili da aggirare rispetto al fattore “qualcosa che conosciamo”.
Hanno tuttavia una loro criticità: hanno bisogno di un elemento che per password, codici, pin e affini non è richiesto: la fiducia nel dispositivo di lettura.
Il nostro device si deve infatti “fidare” del fatto che il dispositivo che gli sta permettendo di leggere l’impronta o il viso non sia stato compromesso.
Se infatti i dati dell’elemento che identifica ciò che siamo viene “fatto trapelare” o comunque violato (roba da 007: l’impronta da un bicchiere da cui ho bevuto, la traccia somatica del viso da una adeguata documentazione fotografica, la voce da delle registrazioni, ecc.), non risulterà facile cambiarlo nel sistema e diverremmo vulnerabili.
Da qui l’ulteriore conferma della necessità di utilizzare sempre almeno 2 dei tre fattori di autenticazione per poter definire “sicuro” un qualunque accesso, o anche il miglior sistema di riconoscimento facciale potrebbe dire al suo utente “non sembri come ti descrivono…” (come Kevin Flynn in “Tron”).
Nel prossimo numero vedremo il terzo sistema di autenticazione (“quello che abbiamo”), ma è già evidente dai primi due che si possono anche avere tutti i fattori di autenticazione possibile sui nostri conti in banca come sulle nostre mail, ma il massimo che possiamo ottenere è sempre una riduzione del rischio, non l’eliminazione del pericolo.
Bisogna infatti sempre ricordarsi che i computer eseguono solo quello che gli diciamo di fare, non quello che intendiamo fare e, di conseguenza, non ci possono impedire di chiedere o fare qualcosa che ci danneggerà.
Nel mondo informatico ed elettronico il nostro peggior nemico non muore mai: il sistema più inviolabile del mondo è infatti quello che offre la sicurezza e garanzia che chi ci sta facendo il danno siamo proprio noi.
