Le password hanno fallito, e non c’è soluzione (editing)
Affrontiamo la realtà dei fatti per quello che è. Le password hanno fallito il loro compito e non c’è soluzione (o almeno, non c'era qualcosa che vi somigliasse).
Affrontiamo la realtà dei fatti per quello che è. Le password hanno fallito il loro compito e non c’è soluzione. L’utente “medio” non è in grado di gestire il cambio password in alcun modo efficace, non parliamo dell’utenza sotto la media, che – per intenderci – non è indice di stupidità, bensì di predisposizione al cambiamento.
Quindi da anni continuiamo a menare il can per l’aia con il cercare di evangelizzare gli utenti a usare password complesse, lunghe, di cambiarle periodicamente. Tutto tempo perso, sono anni che lo dico, e mi viene quasi il nervoso a leggere gli “esperti” di sicurezza dare la colpa agli utenti del fatto che un account sia stato violato o altre amenità del genere. La verità è che il sistema non funziona e, oggettivamente, non c’è modo di impiantare alle persone la cultura del cambio password o della sua gestione. E se non c’è modo di farlo in modo bonario, ovvero spiegando la ragione e invitandoli a comprendere, il metodo impositivo di costringerli a farlo ha un effetto negativo… nel senso che proprio tornano sui loro passi.
Infatti qual è la reale situazione? Che nella stragrande maggioranza dei casi si può accedere ai PC di un’azienda entro i 10 tentativi senza strumenti fantascientifici o da film, non servono virus o aggeggi strani per forzare una password. Basta sedersi alla scrivania e guardarsi attorno, la password probabilmente è lì da qualche parte: attacca al monitor, sotto la tastiera, scritta su un post-it o su un blocco note. E se non è quello è possibile tranquillamente pensare all’utente, vedere se ha figli o animali domestici, la data di nascita. Forziamo la password? Se prima era “Peppino001”, diventa 002, 003, 004. Sfido chiunque a dire che non sia così. E parlo di SMB e microimpresa. Poi c’è l’opera sociale: “scusa mi dici la password?”. E ti rispondono, ma mica tanto per dire… ad alta voce, in mezzo ad un “openspace” bellamente perché tutti possano sentire. E tutto il pippone sulla sicurezza e gestione delle password se n’è andata a farsi benedire, perché prima o poi qualcuno che ci prova si trova, e la colpa andrà in cascata prima sul responsabile sistemi informativi (per incarico), poi sul legale rappresentante dell’azienda (per carica e responsabilità civile e penale) e infine sull’utente finale (per responsabilità civile e, in rari casi, penale).
Insomma, nel 2017 il massimo che siamo riusciti ad ottenere è l’autenticazione a due fattori? Che basta rubare il cellulare di qualcuno per tornare a quanto sopra?
Ah no… ci abbiamo provato con le smart card… e l’unica cosa che ricordo è quella grossa azienda (italiana) che con ben 90 mila dipendenti, è riuscita ad essere completamente ferma un giorno prima di tornare alle password perché tra chi si era dimenticato a casa la scheda, tra il lettore che non funzionava o altri imprevisti tipicamente umani, si è rivelato essere un fallimento colossale.
A mio parere, l’unica soluzione che abbiamo, è il biometrico.
Sfatiamo un mito
Sfatiamo immediatamente un mito sul dato biometrico. L’impronta digitale è un dato sensibile in quanto è una caratteristica biologica unica legata ad ogni singolo individuo. Persino gemelli omozigoti presentano impronte digitali differenti.
Quando si parla di autenticazione tramite impronte digitali comunemente c’è gente che si inalbera in difesa della Privacy degli individui, con gente che si alza subito con la vena chiusa a criticare ed enunciare leggi sul come ci si possa permettere di salvare le impronte digitali delle persone. Facciamo affluire un po’ di sangue al cervello e studiare prima di sparare a vuoto.
Ho partecipato ad un progetto di autenticazione biometrica più ormai più di 10 anni fa e già allora non c’era nemmeno traccia di un dato sensibile conservato sui sistemi. Davvero c’è chi pensa che sui sistemi venga salvata la “fotografia” dell’impronta digitale di un utente? (che è realmente un dato sensibile). Davvero credete che quando una persona appoggia il polpastrello sul vetro di un sistema biometrico ci sia un qualcosa o “qualcuno” che prende la foto e verifica in una banca dati di migliaia di foto che le impronte siano uguali?
Tecnicamente (ma non troppo) quando un utente “registra” la propria impronta digitale, di questa vengono presi i tratti caratteristici ovvero le minuzie, che possono essere biforcazioni e terminazioni. Il disegno univoco che questi tratti originano non varia tra una scansione e l’altra, ovvero quando il dito viene appoggiato sul vetro e viene fatta la scansione dell’impronta, non importa come viene posizionato il dito, lo schema riprodotto sarà sempre uguale. Un po’ come il gioco enigmistico di collegare i punti. Possiamo metterlo in qualsiasi modo, ma tirando la riga tra tutti i punti nell’ordine corretto, il risultato sarà sempre la stessa immagine.
Una volta ottenuto il grafico di questi tratti caratteristici, viene creata una rappresentazione digitale di questo grafico con un processo chiamato “crittografia irreversibile”. Questo processo essenzialmente non consente di ricostruire il “disegno” dei tratti caratteristici, meno ancora dell’intera impronta digitale. Consente tuttavia di verificare se due impronte sono uguali, poiché se facendo una nuova scansione, i tratti caratteristici danno origine allo stesso disegno, daranno origine anche alla stessa rappresentazione digitale. Ed ecco che la comparazione è stata fatta e non c’è nemmeno rischio di violazione della privacy, dal momento che non è conservata l’intera impronta (e realmente non è nemmeno trattata).
E per intenderci, è lo stesso sistema in uso sugli iPhone e altri dispositivi di acquisizione dell’impronta digitale dei PC in commercio.
La soluzione al problema delle credenziali
L’autenticazione biometrica con impronte digitali potrebbe davvero rappresentare una svolta concreta nell’autenticazione utente in azienda, ma non solo in azienda. L’efficacia di questo sistema è davvero solida. Esistono brand (come Crossmatch) che offrono sul mercato da anni lettori biometrici (o li forniscono agli OEM vendor da integrare nei prodotti come computer portatili o smartphone) facilmente integrabili all’interno dei sistemi esistenti a costi ormai largamente ridotti (circa 100 EUR a lettore su Amazon).
Da un punto di vista umano, fatta una premessa etica sul fatto che non sono raccolti dati biometrici delle persone (ovvero la loro impronta digitale), il paradigma diventa “metti dito”.
Voglio trovare un utente che si dimentica le dita a casa!!
Disclaimer
Questo articolo è frutto di esperienza diretta e non ha ricevuto “endorsment” da nessuna delle aziende menzionate nel testo. In caso di inesattezza dei dati tecnici riportati, sebbene li abbia verificati prima di scrivere, sono disponibile ad effettuare le opportune modifiche o ad aggiungere nomi di Vendor che potrebbero trattare soluzioni affini.
Photo by Paulius Dragunas on Unsplash
01/01/2017 12:55:00