biometrica

Perché il riconoscimento facciale è una pessima idea

Quasi tutti gli smartphone di ultima generazione permettono lo sblocco del telefono tramite il riconoscimento facciale: in quanto a sicurezza, è un pessima idea.

Alex Perekalin
21 Mar 2018

Autenticarsi con il proprio volto sembra la scelta più ovvia quando si vuole sbloccare il proprio smartphone. Sembra conveniente: tanto avreste comunque rivolto lo sguardo verso il vostro smartphone, giusto?

L’intera industria degli smartphone sembra essere d’accordo. Apple non è stata la prima azienda ad aver pensato all’idea di sbloccare lo smartphone con il volto, ma dopo che la casa di Cupertino l’ha introdotto nell’iPhone X, tutta l’industria della telefonia mobile ha deciso di seguire il suo esempio, come sempre succede. Quasi qualsiasi smartphone esposto presso il Mobile World Congress 2018 disponeva di questa funzione. Si tratta, però, di una pessima tendenza, e ora vi spieghiamo perché.

Non credo che il riconoscimento facciale sia un sistema pessimo di per sé. Anzi, direi che è il contrario: probabilmente è migliore del riconoscimento basato sull’impronta digitale o sui codici PIN. Ma “il male” si nasconde nei dettagli.

Parlando del funzionamento di Face ID di Apple, abbiamo accennato alla complessità del sistema di riconoscimento: include una macchina fotografica, una fotocamera a infrarossi e un proiettore di punti, così come tecnologia di apprendimento automatico e uno spazio di archiviazione sicuro. Apple ha investito un sacco di soldi e sforzi nel rendere questo sistema veloce, sicuro e affidabile (e se lo fanno pagare, dato che il prezzo di un iPhone X supera i 1.000€).

Il prezzo è un grosso problema per gli altri fabbricanti di smartphone: i loro dispositivi costano in genere un po’ meno, ma allo stesso tempo non possono permettersi di rimanere indietro rispetto a caratteristiche e funzionalità. Hanno incominciato quindi a tagliare su cose meno percepibili a prima vista: un altoparlante più economico, un sistema di archiviazione più lento, ecc. Forse escludendo la fotocamera a infrarossi e il proiettore di punti dal modulo di sblocco facciale, ma mantenendo la funzionalità, potrebbe andar bene: dopo tutto, si tratta di un argomento di vendita.

La capacità di usare il volto per sbloccare uno smartphone è una funzionalità molto risaltata nei materiali di vendita, ma un messaggio pubblicitario non tende a entrare nei dettagli su come funziona. Forse queste aziende non vogliono spiegare apertamente come siano riusciti a creare il loro sistema di riconoscimento facciale che, rispetto ad altri, è meno avanzato, meno affidabile e meno sicuro.

Nella maggior parte dei casi, un riconoscimento facciale per telefono poco costoso si basa solo su di una fotocamera frontale e qualche algoritmo non così avanzato, e forse usa il flash per scattare foto migliori. Tuttavia, una fotocamera normale 2D senza sensore IR e proiettore di punti può essere facilmente ingannata con foto stampate su carta o mostrate su di uno schermo (per esempio, prese da un profilo social). Persino i migliori sistemi di riconoscimento facciale possono essere ingannati usando, ad esempio, delle maschere stampate in 3D. Anche Face ID di Apple è stato raggirato tramite un attacco realizzato con due maschere, ma i telefoni che si affidano a semplici foto sono come dei guardiani che non proteggono nessuno.

Un’idea al contempo buona e pessima

La diffusione dei sistemi di sblocco basati sul riconoscimento facciale privi di un adeguato hardware comporterà una minore sicurezza complessiva per tutti gli smartphone moderni. Fortunatamente per ora, non è ancora il sistema di autenticazione predefinito; il PIN e l’impronta digitale sono più comuni. E alcuni dei fabbricanti usano più sistemi di sicurezza allo stesso tempo, come il riconoscimento dell’iride, che sono più difficili da raggirare.

Ad ogni modo, l’autenticazione facciale è di moda; di conseguenza, ci aspettiamo un numero sempre maggiore di utenti di telefoni Android economici (tutto quello che può fare il tuo iPhone, lo può fare anche il mio smartphone e per un decimo del prezzo!).

Vi raccomandiamo caldamente di controllare le caratteristiche relative al sistema di riconoscimento facciale del vostro smartphone prima di abilitarlo. Deve essere davvero sicuro, non deve riconoscere foto o maschere, non deve permettere la fuga di dati o processare i dati in modo insicuro. L’autenticazione via impronta digitale non è infallibile, ma a questo punto è più sicura, e probabilmente la cosa migliore per voi potrebbe essere un codice PIN di sei digiti.

Piccoli attacchi: caffè gratis, taxi “spiabili” e aeroporti vulnerabili

Quest’anno al Security Analyst Summit, Inbar Raz ha rivelato come sia riuscito a craccare il sistema di tessere fedeltà di una catena di bar, un servizio taxi e un aeroporto.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Perché il riconoscimento facciale è una pessima idea

Un’idea al contempo buona e pessima

È facile per gli hacker rubare… la tua faccia?

IFA 2015: sicurezza è di moda

Piccoli attacchi: caffè gratis, taxi “spiabili” e aeroporti vulnerabili

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia