{"id":1465,"date":"2013-08-19T10:00:21","date_gmt":"2013-08-19T10:00:21","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=1465"},"modified":"2020-02-26T17:17:40","modified_gmt":"2020-02-26T15:17:40","slug":"sistemi-di-riconoscimento-biometrico-ce-da-fidarsi","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/sistemi-di-riconoscimento-biometrico-ce-da-fidarsi\/1465\/","title":{"rendered":"Sistemi di riconoscimento biometrico: c’\u00e8 da fidarsi?"},"content":{"rendered":"

Ogni giorno i nostri computer hanno l\u2019arduo compito di stabilire se chi si sta collegando al dispositivo \u00e8 davvero l\u2019utente o un malintenzionato. Uno degli strumenti pi\u00f9 diffusi per portare a termine tal compito \u00e8 la password; tuttavia, ormai ci sono vari metodi per rubare facilmente una password, per non parlare del fatto che il pericolo di dimenticarla \u00e8 sempre dietro l\u2019angolo. I problemi con la password<\/a> portano a cercare nuovi sistemi di autenticazione pi\u00f9 affidabili per l\u2019utente. Il riconoscimento biometrico rappresenta un\u2019idea semplice e convincente allo stesso tempo: pensiamo ad esempio alla nostra impronta digitale passata allo scanner, o al riconoscimento della cornea sfruttando la fotocamera del nostro dispositivo, o semplicemente alla nostra voce che scandisce una password. Si tratta di parti del nostro corpo che ci differenziano da qualsiasi altra persona. Purtroppo, questa idea brillante ha i suoi contro;\u00a0 proprio per questi \u00a0aspetti negativi, la scansione dell\u2019impronta digitale non viene ancora utilizzata per accedere al nostro account Google o per prelevare da un bancomat (solo per fare un esempio).<\/p>\n

Nel corso del post esamineremo nel dettaglio diversi aspetti, ma la sintesi \u00e8 pi\u00f9 o meno questa: il riconoscimento \u00a0biometrico spesso non avviene correttamente, \u00e8 difficile cambiare la \u201cpassword\u201d ed \u00e8 altrettanto difficile implementare sistemi di criptaggio per \u201cpassword\u201d cos\u00ec speciali.<\/p>\n

\"Biometrica<\/a><\/p>\n

Al di l\u00e0 di tutto ci\u00f2, c\u2019\u00e8 un altro aspetto importante da considerare: si possono contraffare i sistemi pi\u00f9 comuni di riconoscimento biometrico utilizzando degli strumenti semplici e alla portata di tutti.<\/p>\n

Pericolo intrusione<\/b><\/p>\n

La differenza pi\u00f9 evidente tra il riconoscimento biometrico e la tradizionale password \u00e8 la mancanza della corrispondenza perfetta tra il dato originale e quello che poi verr\u00e0 verificato. In parole povere, con il riconoscimento biometrico non \u00e8 possibile (a differenza della password) avere una corrispondenza perfetta con l\u2019impronta digitale o i tratti somatici di un viso per una serie di ragioni. Un viso pu\u00f2 essere irriconoscibile per uno scanner se cambiano determinate condizioni:illuminazione, momento della giornata, se l\u2019utente porta o meno gli occhiali o la barba, per non parlare dei cambiamenti dovuti all\u2019invecchiamento. Per quanto riguarda la voce, ad esempio, pu\u00f2 cambiare molto con il raffreddore o l\u2019influenza. \u00c8 molto difficile perfezionare un sistema a tal punto che si adatti a cambiamenti di questo genere senza incorrere in alte percentuali di errore.<\/p>\n

Per ottemperare a problemi di questo genere, i sistemi di riconoscimento biometrico cercano di \u201cripulire\u201d l\u2019ambiente da alcuni fattori esterni che possono influire sulla scansione, tenendo in considerazione solamente quelle caratteristiche indispensabili per un confronto matematico. Tuttavia, anche cos\u00ec \u00e8 probabile che qualcosa possa sfuggire. Infatti, un intruso ogni 10.000 riesce a entrare nel sistema, oppure viene bloccato un utente legittimo su 50. Per quanto riguarda le piattaforme mobili, l\u2019instabilit\u00e0 delle condizioni esterne (ad esempio luce o vibrazioni) aumenta la probabilit\u00e0 d\u2019errore; ed \u00e8 per questo che, ad esempio, il riconoscimento facciale di Android fallisce nel 30-40% dei casi.<\/p>\n

\"Riconoscimento<\/a><\/p>\n

Una password per la vita<\/b><\/p>\n

Se dimentichiamo la password o ci viene rubata, possiamo modificarla. Se perdiamo le chiavi, possiamo cambiare la serratura. Ma cosa fare se il conto bancario utilizza come \u201cpassword\u201d il nostro palmo della mano (come avviene in alcune banche in Giappone o in Brasile) e poi il database contenente i nostri dati biometrici e quelli di altri clienti viene rubato?<\/p>\n

Cambiare una \u201cpassword\u201d di questo genere \u00e8 estremamente complicato. Anche se la contraffazione non \u00e8 ancora arrivata fin qui, non \u00e8 detto che ci\u00f2 non avvenga nei prossimi cinque o dieci anni. E in questo lasso di tempo la nostra mano non cambier\u00e0 di certo.<\/p>\n

Il problema potrebbe essere in parte risolto dalle impronte digitali: si possono usare solo due o quattro dita invece di tutte e dieci, e tenere le altre impronte \u201cdi riserva\u201d. Ma ovviamente si cos\u00ec potremo cambiare la nostra password solo poche volte nell\u2019arco dell\u2019intera nostra vita. L\u2019hackeraggio di account online<\/a> avviene con fin troppa frequenza e sembra rischioso, quindi, affidarsi completamente al riconoscimento biometrico. Anche se, come abbiamo detto prima, la maggior parte dei sistemi di riconoscimento sfruttano parametri base e non l\u2019intera immagine, non \u00a0\u00e8 detto che ci\u00f2 renda la cosa pi\u00f9 facile: numerosi studi hanno dimostrato, ad esempio, che \u00e8 possibile ricostruire un\u2019impronta digitale non perfettamente identica all\u2019originale, ma che riesce comunque a superare la scansione.<\/p>\n

\u00a0<\/p>\n

\"Impronte<\/a><\/p>\n

Inoltre, il sistema di riconoscimento biometrico online fa sorgere problematiche inerenti alla privacy. Una \u201cpassword\u201d biometrica identifica l\u2019utente in maniera univoca, e per lui sar\u00e0 impossibile avere due account separati su uno stesso social network, in quanto il sito avr\u00e0 diversi strumenti \u00a0a disposizione per scoprire che si tratta della stessa persona. \u00a0Inoltre, anche se centinaia o migliaia di utenti possono avere delle caratteristiche biometriche praticamente identiche, con l\u2019aiuto della geo localizzazione e di altre informazioni, sarebbe possibile stabilire un profilo unico, diverso anche in un piccolo dettaglio da qualsiasi altro. Se il sistema di riconoscimento biometrico venisse implementato per qualsiasi servizio su Internet, rintracciare un utente online<\/a> sarebbe facile come bere un bicchiere d\u2019acqua.<\/p>\n

Una serratura digitale<\/b><\/p>\n

Il primo obiettivo di una password (e di un sistema di riconoscimento biometrico) \u00e8 quello di restringere l\u2019accesso a dispositivi e servizi. In seconda istanza, restringere l\u2019accesso ai dati immagazzinati nei dispositivi. Per quanto riguarda il secondo aspetto, il riconoscimento biometrico ha ancora degli aspetti da perfezionare.<\/p>\n

Se mettiamo dei documenti importanti in una cassetta di sicurezza collegata a un sistema di autenticazione con impronte digitali, i nostri documenti sono protetti fisicamente dalla cassetta di sicurezza e, se non si supera la scansione dell\u2019impronta, l\u2019unico modo per accedere ai documenti sarebbe far esplodere la cassetta di sicurezza. Ma se i documenti si trovano su un computer, \u00e8 molto pi\u00f9 semplice semplice bypassare i controlli; l\u2019unico strumento che pu\u00f2 darci una mano \u00e8 il criptaggio dei dati. Ed \u00e8 proprio qui che sorge il problema. Quando si criptano dei dati con una password, viene creato un codice speciale che, se modificato anche di una sola lettera, non sar\u00e0 valido. Non si potr\u00e0 accedere ai dati. Le \u201cpassword\u201d biometriche, invece, sono leggermente diverse a ogni accesso, per cui \u00e8 molto difficile utilizzarle per un sistema di criptaggio. Il mercato attuale di questa sorta di \u201ccassette di sicurezza digitali\u201d si avvalgono dei sistemi basati su cloud: prima l\u2019autenticazione con i parametri biometrici avviene sul server e, se completata con successo, sar\u00e0 il server a fornire il codice che consente l\u2019accesso ai dati. Ci\u00f2 comporta un rischio elevato di fuga d\u2019informazioni: i server si possono hackerare, compromettendo sia il sistema di criptaggio che i parametri biometrici utilizzati.<\/p>\n

Biometrica nella vita reale<\/b><\/p>\n

Lasciando stare film di fantascienza o tecnologie militari, ci sono almeno due casi nella vita reale in cui possiamo imbatterci in sistemi di autenticazione biometrica. In alcune banche si \u00e8 testato l\u2019utilizzo dell\u2019impronta della mano nei bancomat o il riconoscimento vocale per i servizi telefonici di assistenza clienti. Inoltre, su alcuni dispositivi elettronici come smartphone e computer portatili sono stati installati degli scanner. La fotocamera frontale pu\u00f2 essere utilizzata per il riconoscimento facciale e alcuni sensori sono utilizzati per effettuare la scansione dell\u2019impronta digitale. In un paio di dispositivi \u00e8 presente anche il riconoscimento vocale. Oltre ai problemi della biometrica di cui abbiamo gi\u00e0 parlato, questi sistemi implementanti su beni di consumo cos\u00ec a larga scala hanno i propri limiti dovuti alle necessit\u00e0 dell\u2019unit\u00e0 di elaborazione centrale,\u00a0 al costo dei sensori e alle dimensioni del dispositivo. Per fare fronte a determinate esigenze, gli sviluppatori devono sacrificare qualcosa in termini di sicurezza e di robustezza. Non c\u2019\u00e8 da stupirsi, quindi, se si possono ingannare facilmente alcuni scanner con un foglio bagnato su cui \u00e8 stata stampata un\u2019impronta<\/a> o con una semplice impronta in gelatina. Per soldi si possono avere le idee pi\u00f9 strampalate, come arrivare a costruire un dito finto<\/a>, ed \u00e8 gi\u00e0 successo con i suoi buoni risultati. Allo stesso tempo, gli utenti si trovano spesso costretti a passare pi\u00f9 volte il proprio dito allo scanner prima che l\u2019autenticazione si svolga correttamente. La maggior parte dei sensori, infatti, non riconosce l\u2019impronta se il dito \u00e8 bagnato, se la mano \u00e8 protetta da crema idratante, se il dito \u00e8 un po\u2019 sporco o se ci sono delle bruciature.<\/p>\n

\"Falsificazione<\/a><\/p>\n

I sistemi di riconoscimento facciale raramente sono capaci di distinguere un viso reale da una fotografia (anche se si stanno elaborando tecnologie in grado d\u2019identificare alcuni particolari come il battito di ciglia). Quando si usa il riconoscimento facciale su un dispositivo mobile, \u00e8 gi\u00e0 difficile trovare le condizioni d\u2019illuminazione e l\u2019ambiente giusti affinch\u00e9 tutto vada per il verso giusto, per cui spesso non si abilitano verifiche aggiuntive che potrebbero rendere il processo ancora pi\u00f9 complicato. Inoltre, \u00e8 fondamentale comunque dotarsi di una password forte,\u00a0 perch\u00e9 il sistema di riconoscimento facciale non funziona al buio o con condizioni d\u2019illuminazione insoddisfacenti.<\/p>\n

Quasi tutti gli sviluppatori ritengono che i sistemi di riconoscimento vocali siano in grado d\u2019individuare voci falsificate, sia di registrazioni che d\u2019imitatori. Solo i sistemi pi\u00f9 potenti dispongono dei parametri di controllo pi\u00f9 sofisticati, e alcuni ricercatori affermano che un software di alterazione della voce pu\u00f2 ingannare il sistema nel 17% dei casi. \u00c8 difficile fare un\u2019analisi completa \u00a0sui dispositivi mobili in real time, per cui ci si avvale dei sistemi basati su cloud, che per\u00f2 sono lenti, sono strettamente collegati alla velocit\u00e0 di connessione Internet (se c\u2019\u00e8) e sono vulnerabili ad attacchi man-in-the-middle. Attacchi di questo genere sono particolarmente rischiosi per i sistemi di riconoscimento vocale, in quanto \u00e8 facile ottenere campioni di voci piuttosto che di altri parametri biometrici.<\/p>\n

\u00c8 improbabile quindi, almeno per il momento, che i sistemi di riconoscimento biometrico diventino impostazioni standard presenti sui dispositivi mobili e che sostituiscano le vecchie password o altre tecnologie gi\u00e0 in uso. Essi implicano da un lato difficolt\u00e0 per l\u2019utente, e dall\u2019altro la sicurezza non \u00e8 garantita al 100%. La biometrica pu\u00f2 essere utile solo in situazioni ben definite, come in aeroporto o per la sicurezza negli uffici. Non pu\u00f2 funzionare \u00a0adeguatamente se abbiamo il nostro smartphone in mano, spostandoci di qua e di l\u00e0 per il mondo.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ogni giorno i nostri computer hanno l\u2019arduo compito di stabilire se chi si sta collegando al dispositivo \u00e8 davvero l\u2019utente o un malintenzionato. Uno degli strumenti pi\u00f9 diffusi per portare<\/p>\n","protected":false},"author":32,"featured_media":1470,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[252,62,45],"class_list":{"0":"post-1465","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-biometrica","9":"tag-password","10":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sistemi-di-riconoscimento-biometrico-ce-da-fidarsi\/1465\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/biometrica\/","name":"biometrica"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=1465"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1465\/revisions"}],"predecessor-version":[{"id":20224,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1465\/revisions\/20224"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/1470"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=1465"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=1465"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=1465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}