I Tre Fattori dell’Autenticazione

Non passa giorno che i media specializzati o di massa non portino alla luce l’ennesima clamorosa violazione hacker in cui vengono pubblicate online milioni di password provenienti dai più famosi siti Internet. Nel corso degli anni, è stato evidenziato come uno dei più grandi punti deboli dei servizi offerti in rete sia la password, o per essere più precisi, il meccanismo di autenticazione.

Il problema è che spesso le password utilizzate dagli utenti sono deboli, e quasi a nulla valgono le iniziative tese a incoraggiare l’uso di password forti e pratiche più sicure (l’utilizzo di password manager, il non riutilizzo della password per servizi diversi…).

I Tre Fattori

Un modo per rendere più difficile il compito degli hacker, è quello di adottare meccanismi di autenticazione multi fattore. Di che cosa si tratta? La sicurezza dei meccanismi di autenticazione si basa essenzialmente su tre elementi:

1. Qualcosa che sai: un segreto che solo l’utente conosce, come una password o un PIN; questo è il primo fattore, il più comune su Internet.

2. Qualcosa che hai: un dispositivo, come per esempio un token RFID o qualsiasi cosa che sia necessario possedere per poter effettuare un’autenticazione; banalmente, una chiave è qualcosa che hai.

3. Qualcosa che sei: chi non ha mai visto un film dove per poter accedere ad un bunker, il personaggio deve  sottostare al riconoscimento della retina o dell’impronta digitale? Qualcosa che sei è l’autenticazione biometrica, come può essere il riconoscimento facciale (“sblocca col sorriso”), o l’impronta digitale.

L’autenticazione a più fattori è l’utilizzo di due o più fattori di autenticazione sopra elencati. Nulla di fantascientifico: l’autenticazione multi fattore (in genere a due fattori) l’utilizziamo praticamente tutti i giorni, per eempio quando ritiriamo denaro dal bancomat (qualcosa che sai, ovveto il PIN, e qualcosa che hai, ovvero il bancomat stesso).

Il Diavolo fa le Pentole

Recentemente alcuni ricercatori hanno dimostrato come il battito cardiaco, o addirittura le lacrime potrebbero essere usati come fattori di autenticazione biometrica. Ma l’autenticazione basata sulle tecnologie biometriche ha dei limiti.

Se infatti, cambiare un password compromessa è abbastanza semplice se non banale, più difficile è cambiarsi le impronte digitali o la retina (per non parlare del battito cardiaco, delle lacrime o dell’intera faccia…). Nel caso in cui il sistema di autenticazione dovesse essere in qualche modo vulnerabile, i rimedi potrebbero non essere così facili e/o veloci da implementare.

Siamo destinati a rimanere vittime degli hacker? Probabilmente, a meno di sconvolgimenti improvvisi e imprevedibili, la situazione non cambierà a breve.

Al di là del cinema, credo che più della biometria, possa bastare un po’ di buonsenso. Quindi, coca-cola e pop-corn e prepariamoci alla prossima clamorosa pubblicazione di password rubate dal sito mega-famoso.