Le password rappresentano da sempre croce e delizia (più croce in realtà) sia per gli utenti che per gli amministratori di sistema informatici.
Non stupisce quindi che i Big di Internet abbiano colto la palla al balzo per proporre sempre più insistentemente “soluzioni” tecnologiche che eliminino il più possibile la necessità di richiedere la password per accedere ai diversi servizi e funzionalità, titillando in questo modo la proverbiale pigrizia degli utenti.
Ultimo in ordine cronologico è lo standard FIDO (nome senza dubbio evocativo) frutto di un’iniziativa congiunta a firma di player del calibro di Apple, Google e Microsoft finalizzata a trasformare in realtà un futuro senza password, con l’intento di eliminare quanto più possibile la componente umana nelle procedure di autenticazione.
Ma davvero l’eliminazione delle password, oltre a rappresentare una comodità, costituisce un effettivo miglioramento della sicurezza e della Cybersecurity degli utenti, oppure la comodità delle soluzioni alternative di autenticazione biometrica non rischia di essere pagata a caro prezzo, sdoganando un futuro distopico e una minaccia per le libertà civili e democratiche dei cittadini?
Confondere la mappa con il territorio, ovvero evidenze biometriche versus identità personale
La verifica affidabile dell’identità personale dei titolari delle credenziali di autenticazione ha rappresentato fin dagli esordi della rete internet un problema sentito e di difficile realizzazione per i fornitori di servizi digitali.
Tali difficoltà sono essenzialmente ricondubicili alla natura “sovrabbondante” del concetto stesso di identità personale (appartenente al regno della realtà analogica) che difficilmente si presta al riduzionismo tipico dello sciovinismo tecnologico, per sua natura tendente a semplificare fenomeni complessi (come l’identificazione di una persona) riconducenduli ai modelli binari tipici delle procedure informatiche.
Il rischio è quello di confondere la mappa con il territorio, vale a dire far coincidere l’identità personale dell’utente con le evidenze biometriche ad esso associate.
Tale confusione è foriera delle comuni credenze relative alla presunta “infallibilità” e conseguente supposta maggiore affidabilità e sicurezza delle procedure di autenticazione biometrica.
Autenticazione biometrica – Comoda sì, ma per chi?
Che le password di autenticazione siano scomode e noiose è fuor di dubbio: il problema è che questo rappresenta il proprio ruolo specifico (come si dice in gergo informatico, la “scomodità” delle password costituisce una feature, non un bug).
In altri termini, la richiesta delle password all’utente ha lo scopo non soltanto di identificare il legittimo titolare delle credenziali di accesso, ma anche quello precipuo di rendere consapevole ed edotto l’utente che è necessaria la sua autorizzazione per espletare procedure “sensibili” (che possono essere la conferma di un pagamento digitale, o l’aggiornamento dei propri dati anagrafici, o ancora la sottoscrizione di un contratto digitale).
Le password costituiscono quindi una sorta di “frizione” (nella accezione più propria del termine, vale a dire di attrito) in salsa digitale che funga da contrappeso alla sempre più pervasiva attivazione ed esecuzione automatica delle funzionalità digitali.
Diventa pertanto lecito chiedersi a chi faccia comodo in realtà eliminare uno degli ultimi casi di coinvolgimento sostanziale dell’utente nell’interazione con la macchina…
Autenticazione passwordless? I cybercriminali ringraziano!
Alla domanda precedente è possibile rispondere in modi diversi, a seconda della prospettiva in cui ci si pone.
Da un lato, a beneficiare dall’introduzione di procedure passwordless sono tutti quei fornitori di servizi (a cominciare da quelli bancari e finanziari), i cui clienti lamentano una eccessiva farraginosità delle procedure, specie se rapportata alla percezione di “speditezza” che i fornitori stessi hanno inteso associare ai servizi da loro offerti, cui consegue una riduzione delle transazioni economiche (non a caso,
il miglioramento della “user experience” è uno dei principali vantaggi comunemente associati all’approccio passwordless).
Come abbiamo visto, le password in questo caso però “fanno il loro lavoro”, ovvero hanno il compito appunto di rendere consapevole l’utente che è necessaria la sua autorizzazione per completare la procedura in corso…
Dall’altro lato, si lamenta la difficoltà degli utenti di gestire correttamente le password di autenticazione, condizione imprescindibile per garantire la sicurezza delle transazioni.
Il problema però, anche in questo caso, ha poco a che vedere con la funzione svolta dalle password, quanto piuttosto con la loro adeguata gestione e amministrazione: non è certo eliminando le password che si incrementa la loro sicurezza, ma al contrario così facendo si rischia di fare un favore ai cybercriminali, che una volta realizzato con successo il furto di identità a danno dell’utente, possono beneficiare dei meccanismi automatici di autenticazione associati alla modalità passwordless!
Furto di identità, ovvero la peggiore iattura per l’utente
Già immagino le facce stupite dei non addetti ai lavori (e lo storcere dei nasi degli “esperti”) di fronte alla possibilità stessa di furto di identità nel caso di autenticazione biometrica.
Per molti commentatori questa rappresenta invero una possibilità inaudita, in quanto per definizione l’uso delle evidenze biometriche è volto proprio a garantire la verifica inoppugnabile dell’identità dell’utente.
Anche in questo caso, si confonde la mappa con il territorio e la realtà dei fatti (che hanno notoriamente la testa dura) sta a testimoniarlo.
Sono ormai innumerevoli i casi di furto delle evidenze biometriche a danno degli ignari titolari, perpetrate anche in modo “casareccio” (come nel recente caso di una gang indiana dedita alla clonazione delle impronte digitali ottenute mediante mezzi artigianali quali gelatina e carta copiativa; le evidenze biometriche clonate erano usate non solo per effettuare pagamenti non autorizzati, ma anche per realizzare intestazioni fittizie di carte e sim telefoniche).
Le procedure informatiche non vanno certo indenni da tali forme di attacco, che possono riguardare lo sfruttamento di vulnerabilità presenti nell’implementazione del protocollo di autenticazione stesso (come il caso della recente vulnerabilità rinvenuta nel protocollo FIDO 2), oppure sfruttare la natura essenzialmente indeterministica (probabilistica) delle procedure di autenticazione biometrica, se confrontate con le tradizionali procedure deterministiche di verifica delle password.
Falso senso di sicurezza e svantaggi delle credenziali biometriche
A differenza delle password tradizionali, in caso di furto delle credenziali biometriche, non è possibile per l’utente procedere alla loro sostituzione, proprio a causa della immodificabilità e non ripudiabilità delle stesse.
Pertanto, da un lato l’utente è indotto ad assumere comportamenti più lassisti nella gestione delle proprie credenziale, sulla base del falso senso di sicurezza determinato dall’adozione di procedure di autenticazione considerate maggiormente sicure, se non “inviolabili”.
Dall’altro, in caso di furto di credenziali biometriche l’utente si trova di fronte all’impossibilità di poter revocare (quantomeno in maniera pragmatica e spedita come nel caso delle password tradizionali) le proprie credenziali di accesso, restando impotente e in balìa delle attività illecite perpetrate dagli attaccanti, rischiando per di più di dover rispondere di misfatti compiuti a suo nome, rimanendo invischiato in una sorta di inversione dell’onere della prova, che assume i contorni di una probatio diabolica se non di un processo kafkiano…
Decidere all’insaputa e contro la volontà dell’utente
A prescindere dal furto di identità, l’autenticazione passwordless pone minacce ulteriori anche alla stessa convivenza democratica, minacce che sono per di più subdole e di non immediata percezione (specie in una sempre più prossima democrazia digitale…)
L’esercizio dei diritti civili in una democrazia esige che gli individui abbiano il diritto di non vedersi autenticare la propria identità in maniera automatica, ma solo in forma esplicita e consapevole, specie al momento della conferma delle proprie manifestazioni della volontà (in primis nelle decisioni di voto).
Questo esercizio esplicito della volontà in un contesto digitale può essere ottenuto solo mediante procedure di autenticazione dell’identità che facciano uso di secrets utilizzate come credenziali di autorizzazione, oltre che di accesso, dal legittimo titolare nelle fasi di esercizio dei propri diritti.
Chi l’ha detto che le password sono solo testuali?
Per concludere, possiamo dire che l’idea di eliminare alla radice l’utilizzo delle password rischia di gettare via il proverbiale fanciullo insieme all’acqua sporca, vale a dire di creare più problemi di quanti in realtà intenda risolverne.
Il vero problema delle password tradizionali consiste in realtà nella loro difficoltà di gestione: è su questo fronte quindi che occorre lavorare, ed è proprio quello che faremo in un prossimo intervento, in cui mostreremo una possibile soluzione a tali difficoltà.
Per non lasciare il Lettore in sospeso, giusto un indizio: chi l’ha detto che le password devono per forza assumere la forma di testo?
Alla prossima
Stay tuned!
© Alessandro Parisi - All rights reserved - Riproduzione Riservata
