La diffusione dell’utilizzo degli smartphone ha portato negli ultimi anni ad una evoluzione radicale negli strumenti di autenticazione, tanto da far sostenere a molti che sia finalmente possibile e opportuno liberarsi delle password, che per mezzo secolo sono state la base dell’autenticazione informatica. Potrebbe essere invece utile vedere le password da una diversa prospettiva.
Indice degli argomenti
Le fonti di autenticazione
Consideriamo prima di tutto quelle che sono considerate le tre fonti di autenticazione:
- “qualcosa che si sa”;
- “qualcosa che si ha”;
- “qualcosa che si è”.
“Qualcosa che si sa” è un’informazione che solo la persona che si vuole autenticare conosce: dimostrando di possedere questa informazione, si dimostra di essere effettivamente chi si dichiara di essere. Le password sono naturalmente il caso più noto, insieme a PIN e passphrase.
In questi casi, l’informazione viene fornita direttamente, esponendola all’intercettazione, al phishing e ad altri attacchi, con il grosso problema che non è detto che chi subisce il furto della password se ne possa accorgere.
Vale la pena di chiedersi però: perché per un PIN di una carta di credito bastano cinque cifre, e per una password abbiamo bisogno di una cosa lunga, complicata e da cambiare spesso? È una domanda su cui torniamo più avanti. Un altro limite delle password è che possono essere cedute, quando si vuole permettere ad altri di utilizzare dei servizi a nostro nome.
“Qualcosa che si ha” è un oggetto fisico in possesso di chi si vuole autenticare. L’ipotesi è che questo oggetto sia unico e non duplicabile, che il proprietario non lo ceda (o se lo fa, rimanga senza) e si accorga se gli viene sottratto. I vecchi Bancomat con banda magnetica in realtà erano facili da duplicare, mente le moderne tessere con chip, se realizzate in conformità alle certificazioni di settore, in sostanza non lo sono.
Anche quando si parla di “clonazione delle SIM”, in realtà nessuno mette le mani sulla nostra SIM per farne una copia: più semplicemente, il nostro numero di telefono viene associato ad un’altra SIM, diversa.
Questo mostra come il processo di autenticazione sia quanto e più critico dell’informazione di autenticazione in sé. Anche su questo torniamo più avanti. Un altro esempio di qualcosa che si ha è il riconoscimento dello smartphone, che viene identificato per alcune sue caratteristiche difficili da duplicare: un’app che dimostri di essere su uno smartphone con quelle caratteristiche viene considerata in questo senso autenticata.
Infine, c’è “qualcosa che si è”: in sostanza, la biometria. Si tratta di misurare alcune caratteristiche del nostro corpo (impronte digitali, voce, iride o altro) che presumibilmente sono uniche da individuo a individuo, permettendo di riconoscerlo.
Una volta relegata al controllo degli accessi ai siti più sicuri, e associata ai film di spie, negli ultimi anni la biometria è diventata di uso comune almeno sugli smartphone di fascia media.
Questa evoluzione è quella che fa pensare che, finalmente, ci si possa liberare delle password: la biometria sembra facile da usare ed affidabile.
Un punto importante però è che le nostre misure biometriche non sono in generale segrete: lasciamo impronte digitali dappertutto, chiunque in generale le può raccogliere con relativamente poco sforzo.
Inoltre, a differenza delle password, non possono essere cambiate: le nostre impronte digitali rimarranno sostanzialmente invariate per tutta la nostra vita. In effetti, il segreto della biometria è nel sensore: ci si aspetta che solo il legittimo utente sia in grado di presentare al sensore una copia “viva” della misura biometrica.
Le difficoltà, quindi, sono due:
- la prima è realizzare sensori che non si facciano ingannare da finte dita di gelatina, foto del viso o dal più classico e cinematografico dito tagliato;
- la seconda è che se si può aggirare il sensore, in effetti l’autenticazione biometrica perde tutta la sua sicurezza.
Per questo, quando si parla di autenticazione biometrica da remoto bisogna essere molto cauti e sapere bene di cosa ci si sta fidando. Nel caso più comune, ovvero quello dello smartphone, ci si fida assolutamente dell’efficacia del sensore, e della capacità del servizio remoto di riconoscere lo smartphone da cui avviene l’autenticazione (qualcosa che si ha).
Il processo di autenticazione e la adaptive authentication
Questo ci porta ad un uso più evoluto dell’autenticazione, ovvero l’autenticazione multifattore (Multi Factor Autentication, MFA) che nel caso più comune è indicata anche come autenticazione a due fattori, 2FA.
Combinando più fattori di autenticazione, si cercano di superare i limiti di ciascuno. Il caso più semplice è il PIN di una carta di credito: il furto della carta di credito, relativamente probabile nel corso della nostra vita, diventa inutile senza il PIN, che conosciamo solo noi. Viceversa, scoprire il nostro PIN è di poca utilità se non si possiede anche la carta di credito fisica. Naturalmente, se scriviamo il PIN su un foglietto che sta insieme alla carta di credito, abbiamo ridotto quel “qualcosa che si sa” a “qualcosa che si ha”, dello stesso tipo e con le stesse vulnerabilità della tessera.
Un altro caso di autenticazione a due fattori è quella che si ha quando accediamo al nostro conto bancario attraverso un’app, che permette di riconoscere che stiamo utilizzando proprio lo smartphone registrato alla banca (qualcosa che si ha) sbloccandola con la nostra impronta (qualcosa che si è) o con un PIN (qualcosa che si sa). In effetti questo meccanismo è sempre più comune: nel giro di pochissimo tempo, le due tipologie di autenticazione finora considerate più complesse e costose (oggetto e biometria) sono diventate alla portata di tutti.
Proprio per questo, si discute della possibilità di dimenticarsi finalmente delle password. Questa almeno la teoria. Ma prima di discutere questa ipotesi, è utile considerare un altro passaggio fondamentale: il processo di autenticazione, e con questo anche la cosiddetta “autenticazione adattiva” (adaptive authentication).
È importante prima di tutto considerare che l’autenticazione di un utente ad un servizio è sempre mediato da un’interfaccia tecnologica: la tastiera dello sportello ATM, il lettore di impronta del cellulare, la pagina del sito web al quale inseriamo la password.
Anche quando si verifica qualcosa che si ha, in realtà c’è un momento di passaggio di informazioni fra la tessera e il lettore, e quando si verifica qualcosa che si è, il lettore biometrico trasforma la nostra caratteristica biometrica in dati che confronta con quelli che ha memorizzati.
Questa interfaccia è un passaggio importante di esposizione, più o meno alta, della nostra informazione di autenticazione. Basti pensare ai finti sportelli Bancomat che registrano il PIN che digitiamo sulla tastiera e nello stesso tempo ci sottraggono o utilizzano la nostra tessera, o i siti di phishing nei quali inseriamo la password pensando di essere sul sito della nostra banca o azienda.
Il tipo di protezioni che il fornitore del servizio riesce a mettere su questo tipo di interfacciamento è importante almeno quanto la protezione che noi possiamo dare alla nostra informazione di autenticazione.
E questo ci porta di nuovo alla domanda: come mai per una carta di credito basta un PIN numerico di quattro o cinque cifre, mentre per la password ci vengono richiesti una complessità e un numero di caratteri che sono l’incubo di tanti utenti?
Sono proprio le condizioni del processo di autenticazione che fanno la differenza. Per provare il PIN di una carta di credito, bisogna già essere in possesso della carta di credito, e le condizioni di utilizzo sono circoscritte, quindi è ragionevole stabilire che se si sbaglia il PIN per tre o quattro volte di seguito, la carta venga bloccata.
In pratica, è molto improbabile che il PIN venga indovinato per caso prima che la carta si blocchi, e in un’ottica di gestione del rischio, la soluzione è accettabile. Viceversa, quando si tratta di un servizio online, chiunque può provare password per accedere al mio account, e quindi è abbastanza facile provare le 10.000 combinazioni permesse da un PIN di quattro cifre, o meglio ancora, provare pochi PIN ma su migliaia di account diversi, fino a trovarne uno in cui entrare: in questa situazione non è possibile bloccare l’account, perché sarebbe banale per un attaccante indurre continuamente il blocco di account, causando un disservizio difficile da gestire.
La soluzione, quindi, è che la password presenti un numero di combinazioni abbastanza alto da rendere inefficaci i tentativi casuali di un attaccante. Questo, almeno, se l’unico parametro che viene valutato è la nostra informazione di autenticazione.
Negli ultimi anni, però, c’è stata un’altra evoluzione nell’autenticazione, magari meno evidente ma forse anche più importante, ovvero l’autenticazione adattiva: si tratta sostanzialmente di valutare una serie di condizioni in cui avviene l’autenticazione, e in funzione di una valutazione di rischio, decidere o meno se dare l’accesso al servizio.
Per capire questo meccanismo consideriamo due casi diversi in cui un utente italiano, che opera abitualmente da casa propria, ordina un bonifico alla propria banca.
Nel primo caso, opera da un indirizzo riconducibile all’Italia e al fornitore di connettività da cui ha operato altre volte, e ordina un bonifico di qualche centinaio di euro verso un conto corrente sul quale ha già fatto versamenti in altre occasioni.
Nel secondo caso, opera da un indirizzo riconducibile ad un operatore di un paese asiatico o africano, per ordinare un bonifico di molte migliaia di euro verso un IBAN a sua volta in un paese straniero.
Seppure entrambe possano essere o non essere operazioni legittime, è molto probabile che la prima lo sia, e la seconda no. Autenticazione adattiva vuole dire che, nel primo caso, all’utente basta un’autenticazione semplice e comoda, mente nel secondo caso, anche se l’operazione non viene bloccata, viene richiesta un’autenticazione più forte, anche se più scomoda, come ad esempio inserire un ulteriore codice che viene inviato all’utente, o addirittura una conferma telefonica ad un numero concordato al quale viene chiamato.
In questo modo, l’autenticazione si adatta per essere semplice e comoda nelle situazioni più tranquille, e più robusta anche se scomoda in quelle più a rischio.
Possiamo dimenticarci delle password
Tutti questi meccanismi possono rendere l’autenticazione estremamente robusta, se bene implementati: lo smartphone registrato, l’impronta digitale e l’autenticazione adattiva permettono di avere garanzie molto forti sulla correttezza dell’operazione.
E ce n’è bisogno: i servizi online, particolarmente quelli in cloud, sono accessibili da tutto il mondo, cosa che è senz’altro uno dei loro vantaggi ma rappresenta un’esposizione molto più alta dei tradizionali servizi interni aziendali.
Oggi come oggi, non è ragionevole continuare ad utilizzare l’autenticazione con sola password per servizi critici come Office 365, specialmente considerando la facilità con cui ormai si può attivare l’autenticazione multifattore. Le App che vengono utilizzate per l’autenticazione multifattore a Office 365, o a SPID, su smartphone registrato e sbloccate con impronta digitale, ci liberano dalla necessità di ricordarci password, per di più diverse da servizio a servizio e che cambiano periodicamente.
Quindi davvero possiamo dimenticarci delle password? Facciamo un passo indietro e riconsideriamo i meccanismi.
Quando si parla di sicurezza, dobbiamo partire dall’assunto che le vulnerabilità esistono sempre, e si tratta solo di capire dove sono, quanto sia complesso sfruttarle e cosa si rischia nel caso siano sfruttate.
Torniamo quindi al nostro smartphone con impronta digitale, e ad un servizio di autenticazione adattiva che preveda l’invio di un codice all’app, o di un SMS alla mia SIM, o anche una verifica telefonica.
La prima cosa da considerare è che chi controlla lo smartphone in realtà controlla anche quello che c’è sopra.
Naturalmente, il livello di controllo necessario è diverso per i diversi meccanismi. Gli SMS sono un meccanismo debole (molte app in realtà sono configurate per leggerli), mentre per avere il controllo del lettore di impronte, o meglio della sua interfaccia con le app, serve un accesso molto più profondo. Chi potrebbe averlo? Se consideriamo per semplicità uno smartphone Android, abbiamo ad esempio Google, in quanto produttore del sistema operativo e gestore del Play Store, abbiamo il produttore dello smartphone (a questo problema si riferiscono le preoccupazioni più o meno legittime legate ai produttori cinesi), e abbiamo il nostro operatore di telefonia, che in molti casi ha come minimo personalizzato lo smartphone.
Ma soprattutto, anche i sistemi Android hanno le loro vulnerabilità, che vengono anche scambiate in un mercato spesso opaco in cui non sempre è chiaro se finiscano in mano a governi legittimi che le utilizzano per intercettazioni legali (ma potrebbero usarle anche per spionaggio), o a gruppi di delinquenza organizzata.
Il punto è che lo smartphone diventa in realtà il presupposto di tutti gli altri meccanismi di autenticazione, compresa la telefonata che molto probabilmente arriverà alla SIM in quello stesso smartphone.
L’autenticazione multifattore, quindi, che in teoria prevede più fattori indipendenti, diventa in realtà molto dipendente da quell’unico oggetto fisico. Si tratta naturalmente di attacchi che al momento sembrano molto sofisticati, ma gli attacchi evolvono proprio quando quelli praticati finora diventano inefficaci.
Forse è meglio rivedere l’uso delle password
Cosa rischiamo? Il nostro smartphone sta diventando la nostra interfaccia con il mondo: con la banca, con la pubblica amministrazione, con il lavoro. Se è vero che un attacco sofisticato è meno probabile, è anche vero che le conseguenze diventano sempre più gravi, dallo spionaggio della nostra corrispondenza di lavoro fino allo svuotamento del nostro conto corrente.
Conseguenze che, in molti casi, possono valer bene un attacco complesso.
Ebbene, per attacchi eccezionali potrebbe essere utile un meccanismo di autenticazione eccezionale, non perché complesso ma perché sarebbe utilizzato solo in situazioni particolari.
Forse, invece di dimenticarci delle password, dovremmo ribaltare l’ordine di utilizzo: se prima le password erano usate per i servizi di basso profilo, riservando l’autenticazione biometrica per quelli critici, adesso potremmo usare l’autenticazione biometrica come strumento comodo e abituale, riservando uno strumento scomodo come una password per le situazioni eccezionali.
In un mondo di servizi sempre più online, a fronte alla possibilità di eventi estremi come lo svuotamento del proprio conto corrente, potrebbe essere utile che ci fosse un’ultima autenticazione, diversa da quelle usate abitualmente, ovvero una password offline, anche se magari scritta in un luogo sicuro dove andarla a cercare solo in caso di estrema necessità.
