Volti, gesti, battito cardiaco – come funzioneranno le password del futuro?
I ricercatori sono regolarmente a caccia di idee rivoluzionarie per sostituire le goffe, poco pratiche e insicure password che utilizziamo per quasi tutte le nostre esigenze di autenticazione.
Gli ultimi schemi agli onori della cronaca implicano l’utilizzo delle funzionalità del nostro corpo, interne o esterne, per rassicurare i nostri dispositivi che siamo chi diciamo di essere.
Qualcuna di esse potra’ mai diventare il nuovo standard per l’autenticazione? Ci stiamo avviando ad essere bloccati con le password per sempre, o c’è un futuro piu’ brillante là fuori da qualche parte?
Il popolo della security parla molto di password. Quanto lunghe o complesse debbano essere, quanto le persone le scelgano male e tendano a riutilizzarle, come dovrebbero essere salvate e conservate, quanto facilmente potrebbero essere violate.
Di tanto in tanto fa la sua apparizione qualche idea particolarmente brillante – recentemente abbiamo visto i biostamp e chiavi deglutibili – ma generalmente scompaiono velocemente, lasciandoci bloccati al punto di prima.
Sul tuo viso
I ricercatori australiani hanno promosso il loro lavoro sul riconoscimento facciale come mezzo di autenticazione.
Sembra un’idea ovvia – le facce sono il principale mezzo che usiamo per identificarci l’un l’altro nel mondo reale e se vogliamo evitare di essere individuati il primo passo da compiere e’ mettere una maschera. Quindi ha senso avere computer che riconoscono i nostri volti, o almeno frammenti di essi.
Si tratta di un approccio che è diventato abbastanza comune negli ultimi tempi, con i sistemi di accesso per PC e applicazioni mobili che cercano di usare le nostre facce per autenticarci su varie cose. Solo poche settimane fa abbiamo sentito parlare dei progetti di una società finlandese per utilizzare le facce al posto delle carte di credito.
In generale, questi sistemi si sono dimostrati deficitari, sia perche’ facilmente ingannati dalle fotografie, persone simili di aspetto o trucchi tecnici, sia perche’ non hanno autenticato gli utenti reali che apparivano diversi a fronte di giornate nere o cattivi stati d’animo.
Problemi simili sono stati la rovina dell’autenticazione basata sulle impronte digitali, che rimane troppo instabile e poco affidabile per un uso generalizzato.
Non è ancora del tutto chiaro che cosa separerà il lavoro svolto dai ricercatori dell’Università del Queensland dalla massa, se non vaghi riferimenti a una maggiore precisione e sicurezza, all’essere in grado di lavorare da una singola immagine fissa iniziale e riconoscere il volto da diverse angolazioni e in diverse condizioni di illuminazione, che suona come un must per ogni sistema di riconoscimento decente.
In entrambi i casi, non ci si aspetta di avere un prototipo funzionante per almeno un altro anno.
Il modo in cui ti muovi
L’aspetto positivo dell’approccio di riconoscimento facciale è che è relativamente low-tech, con un componente (la fotocamera frontale) che è diventato un componente standard della maggior parte dei dispositivi che utilizziamo.
Un’altra potenziale sostituzione della password che emerge dal mondo degli smartphone e tablet è l’autenticazione basata su gesti. Movimenti della mano ripetuti abbastanza spesso possono portare a una memoria muscolare. In questo modo modelli piuttosto complessi possono diventare abbastanza facili da riprodurre in modo affidabile e preciso.
Questa è la base di una forma molto antica di autenticazione, la firma. Dovrebbe essere più difficile da compromettere, poiche’ lascia ben poche tracce visibili da copiare.
I telefoni Android hanno a lungo avuto caratteristiche di sblocco attraverso swipe, e Windows 8 include un sistema basato su un paio di swipe intorno una foto. Alcune ricerche presentate alla recente conferenza Usenix hanno pero’ segnalato alcuni buchi gravi in questo approccio, dimostrando che le persone raccolgono figure difficili da indovinare nella stessa pessima modalita’ con cui scelgono le password.
E’ stata anche proposta una combinazione di riconoscimento facciale e gestuale, con modelli di riconoscimento di espressioni facciali inusuali. Tuttavia è ampiamente vista come non più di una trovata che provoca immagini umoristiche di persone che fanno smorfie davanti alle loro webcam.
In un batter d’occhio
Tutto cio’ utilizza caratteristiche fisiche, aspetti di come i nostri corpi appaiono o si muovono, in contrasto con i requisiti squisitamente cerebrali delle password che stanno solo nelle nostre menti (almeno in teoria – essi possono anche risiedere su post-it attaccati ai nostri monitor).
L’idea dei biostamp rappresenta invece un ibrido tra corpo e tecnologia.
Un’altra invenzione basata su questo approccio usa un braccialetto che misura il battito cardiaco per controllare chi siamo per poi connetterci ai nostri dispositivi via Bluetooth e trasmettere la conferma.
Il braccialetto “Nymi”, sviluppato da una startup canadese, suona sicuramente come un’idea promettente.
L’autenticazione vera avviene solo quando il braccialetto viene indossato per la prima volta, esso richiede un tocco veloce di alcuni sensori e da quel momento in poi continuera’ a confermare chi sei fino alla sua rimozione.
Esso comprende anche sensori di movimento, in modo che l’autenticazione di base può anche essere combinata con movimenti e gesti per creare password multi-fattore, utilizzando sia il corpo che la mente dell’utente collegato. I gesti, per esempio, potrebbero essere utilizzati per sbloccare le automobili.
Non sono un esperto di modelli di ritmo cardiaco, ma secondo gli sviluppatori sono unici come le impronte digitali. Un fattore importante di successo di questa idea sara’ la resistenza dell’autenticazione allo stress, al fitness, all’invecchiamento e così via.
Ci sono ovviamente anche problemi di sicurezza. Il collegamento con i dispositivi di autenticazione dovrà essere molto sicuro, e il braccialetto dovrà garantire di essere sempre collegato ad un polso in diretta, come con i biostamps, se può semplicemente essere sfilato (o violato) e lavorare ancora non potra’essere nulla di buono.
Inoltre come i biostamps, c’è un potenziale problema con la vicinanza, se si tratta semplicemente di trasmettere un “sì” a qualsiasi richiesta di ID, sarebbe banale avvicinarsi di nascosto a qualcuno e rubargli l’accesso.
Il sistema gestuale qui potrebbe venire in aiuto, al fine di garantire che l’utente vuole realmente essere identificato, e dovrebbe anche essere abbastanza semplice (e anche molto discreto) richiedere una nuova autenticazione per operazioni importanti – un semplice tocco del braccialetto controllerebbe il modello cardiaco.
E ‘anche una soluzione relativamente hi-tech che richiede hardware dedicato. Il costo tuttavia non è proibitivo, infatti sono gia’ in essere alcuni pre-ordini a meno di $ 80, anche se non è chiaro quanto verrebbe sovvenzionato dai fornitori di dispositivi e servizi che i produttori sperano di attirare.
Con l’adozione di massa e la riduzione dei costi che porterebbero, non sarebbe irragionevole attendersi che i governi ne consegnassero uno ad ogni cittadino per coprire tutte le esigenze di identità, anche se qui deviamo nel territorio dei diritti civili – non un enorme salto da lì a codici a barre sulle nostre fronti, diranno alcuni.
In futuro
Nel corso degli anni i sistemi delle password che usiamo hanno visto diversi miglioramenti, sia in termini di usabilità (che vanno da semplici, ma indispendabili sistemi per la sostituzione di password dimenticate alle ultime utility di gestione delle password) che di sicurezza, ad esempio schemi di autenticazione a due fattori tramite chiavi o smartphone in combinazione con i nostri computer.
Tutti hanno contribuito, in qualche modo, ma hanno anche introdotto ulteriori opportunità di insicurezza – i sistemi di recupero possono essere ingannati, gli strumenti di gestione possono avere vulnerabilità o semplicemente essere progettati in modo insicuro, e gli approcci a due fattori possono essere sconfitti con tecniche di tipo man-in-the-mobile .
Nonostante tutti i problemi e le insicurezze da una parte e i flussi di lavoro ostacolato dall’altro, le password rimangono la soluzione più semplice al problema dell’autenticazione. Trovare una panacea universale per sostituirli sara’ difficile.
Il punto è come si definisce chi siamo, se siamo il contenuto del nostro cervello, le forme, consistenze e i ritmi del nostro corpo, o gli strumenti e dispositivi che creiamo e utilizziamo. Forse un approccio che utilizza tutti questi aspetti coprirà meglio tutte le nostre esigenze.
Molto dipende dalla diffusione popolare, naturalmente, forse più che dall’innovazione tecnicologica vera e propria, ma forse una di queste nuove tecniche diventera’ la password del futuro
Lascia un commento