Demisitificazioni 1

Schneier dice:

The thing I like a lot is the political activism of the hack

Approvo, particolarmente quando tali azioni denotano una gradevole ironia, come in questo caso.
Inutile parlare dei limiti delle tecnologie biometriche, tipicamente violate proprio in quei film di fantaqualchecosa che da anni ne precorrono l’uso ed hanno diffuso un senso di sicurezza generalmente eccessivo.
Il concetto è semplice: sostituire l’autenticazione “tradizionale” basata su password (segreta) con un dato biometrico nasconde insidie non banali.
In primis, come dice l’articolo, perchè l’impronta, per quanto difficile possa essere reperirla, è un dato pubblico. Certo non sarà facile andare a bere un caffè con un Primo Ministro, ma suppongo sia relativamente facile farsi assumere come cameriere...
Infatti, con la biometria, quella delle impronte in particolare, non si può parlare di segreto ma di un atto diversamente non ripetibile, ovvero la fase di acquisizione dell’impronta durante l’autenticazione.
Ma è proprio così irripetibile?
Dipende dai lettori biometrici. In generale, purtroppo, non così tanto.
Fortunatamente, esistono prodotti in grado di analizzare gli strati interni dell’epidermide, o la configurazione dei vasi sanguigni. La mia opinione, fatto salvo che la robustezza dei meccanismi deve essere commensurata agli asset da proteggere, è quella di unire comunque un codice segreto al sistema di autenticazione, poichè è innegabile che al raffinamento della tecnologia di acquisizione corrisponderanno protesi “fake” altrettanto evolute.
Inoltre, lettori “evoluti” non servono a molto se la tecnologia di match non è altrettanto sicura, per esempio basandola su soluzioni tipo “match on card”. Insomma: lungi dall’essere una soluzione di facile valutazione, tenuto conto la scarsità di criteri di valutazione e standard di sicurezza.