Non c'è dubbio: le password sono diventate un problema. Secondo i dati raccolti da Dashlane, produttore di un noto strumento per la gestione delle password, nel 2015 l'utente medio aveva almeno 90 account online. Nel Regno Unito il numero saliva a 118. Negli Stati Uniti addirittura a 130. Dato ancora più inquietante, nei telefoni e nei tablet memorizziamo una quantità esagerata di dettagli di accesso (io per primo), consentendo a chiunque abbia accesso ai nostri telefoni di accedere anche ai nostri account.

Le funzionalità di blocco tramite impronta digitale, note agli utenti iPhone come Touch ID, erano state pensate proprio per risolvere questo problema. Sono facili da utilizzare e si basano su caratteristiche uniche, diverse da utente a utente. Inoltre, poiché portiamo le nostre impronte digitali sempre con noi, non rischiamo di dimenticarcele o che ci vengano rubate. La complessità dei dattilogrammi dovrebbe rendere praticamente impossibile la contraffazione delle impronte.

La realtà, tuttavia, è ben diversa. Tra i numerosi buoni motivi per evitare di usare le funzionalità di blocco tramite impronta digitale, tre sono a mio avviso i principali:

1 - Impronte digitali e scanner possono essere violati

Disseminiamo le nostre impronte ovunque: maniglie, corrimano, tazze e bicchieri, tastiere, schermi, foto e via discorrendo. Insomma, i luoghi a cui gli hacker possono attingere per ottenere queste password teoricamente blindate sono un'infinità.

Chaos Computer Club ne ha dato dimostrazione già nel lontano 2008. In segno di protesta contro la proposta di un esponente politico tedesco di adottare l'uso dei dati biometrici, il club ha sfruttato la fotografia per ricreare l'impronta digitale del politico. Nel 2013 ha creato un dito finto in lattice per aprire un blocco. Più di recente, l'approccio è stato replicato usando pongo e colla per dimostrare quanto sia semplice ormai ricreare le impronte fisiche.

Come se non bastasse, le impronte digitali possono essere violate anche in modo virtuale. Durante il convegno Black Hat 2015 a Las Vegas, alcuni esperti della sicurezza hanno dato dimostrazione di una serie di trucchi per aggirare i blocchi basati sull'impronta digitale. Hanno realizzato un'app che mimava la schermata di sblocco di un telefono e, se usata dalla vittima, era in grado di approvare una transazione finanziaria. Hanno precaricato le impronte digitali nel telefono, consentendo l'accesso. Hanno dimostrato che era relativamente semplice ricreare un'impronta digitale dal file utilizzato per memorizzarla. Hanno inoltre alterato lo scanner in modo da poter acquisire le immagini delle impronte digitali a ogni utilizzo.

2 - Le password puoi cambiarle, le impronte digitali no

Questo concetto è talmente basilare da essere spesso ignorato. Diversi anni fa, quando hanno violato il mio account email, per risolvere il problema ho cambiato la password. Ma l'impronta digitale, una volta ottenuta, è per sempre.

Pensiamo alle implicazioni: le impronte digitali durano in eterno. Se qualche malintenzionato riesce a impadronirsene, potrà continuare a utilizzarle indefinitamente o cederle ad altri per denaro. Questo aspetto risulta tanto più inquietante se si pensa a quanti enti governativi raccolgono le impronte digitali e al numero sempre più elevato di aziende private che le usano per le procedure di autenticazione.

le impronte digitali durano in eterno. Se qualche malintenzionato riesce a impadronirsene, potrà continuare a utilizzarle indefinitamente o cederle ad altri per denaro.

3 - La polizia non ha bisogno di permessi per sbloccare un telefono con i dati biometrici

È importante ricordare che non sempre abbiamo il controllo delle nostre mani. Se qualcuno vuole farci sbloccare il telefono non deve far altro che premere le nostre dita sullo schermo.

Questa operazione è stata autorizzata negli Stati Uniti, dove un giudice ha rilasciato un mandato di perquisizione agli agenti di polizia di Glendale, in California. L'impronta digitale costituisce una "prova fisica" tanto quanto una chiave fisica, che può essere raccolta come prova o richiesta da un provvedimento giudiziario. Inoltre, le impronte digitali sono facilmente disponibili perché vengono raccolte regolarmente nell'ambito di procedure legali e di ordine pubblico di base. Dal momento che sono fisiche ma non hanno la validità di una testimonianza, le impronte digitali non sono protette dalla clausola del quinto emendamento sull'auto-incriminazione.

Lo stesso vale per password e codici PIN. Forzare una persona a rivelare qualcosa che si trova nella sua mente equivale a una testimonianza, pertanto la coercizione è vietata. Le grandi aziende in ambito tecnologico (compresa AVG) fanno un ragionamento simile riguardo alle informazioni aziendali. Opponendosi all'FBI in merito a una questione in gran parte irrisolta sull'accesso al telefono utilizzato dal terrorista di San Bernardino, Apple ha avviato una controversia legale dichiarando che l'FBI tentava di obbligare Apple a parlare. A parlare contro i propri interessi, tra l'altro, cosa che non dovrebbe essere consentita. L'FBI ha fatto cadere le accuse dopo aver pagato un servizio di terze parti per violare il telefono. Se da un lato la strategia di rivolgersi a un hacker si è rivelata efficace, dall'altro è risultata piuttosto costosa. E, al momento, nella maggior parte dei casi un simile investimento non è sostenibile.

Eppure, c'è la concreta possibilità che forze dell'ordine e autorità giudiziarie obblighino o forzino i produttori a includere backdoor di accesso nei dispositivi per raccogliere le impronte tramite le funzionalità di blocco.

Nota conclusiva su impronte digitali e sicurezza

Ovviamente non mi aspetto che la gente rinunci alle funzionalità di blocco tramite impronta digitale. Sono troppo comode. Giusto o sbagliato che sia, la facoltà delle autorità di raccogliere e archiviare informazioni sulle identità digitali sta aumentando a dismisura. Il sistema automatico integrato di identificazione tramite impronta digitale dell'FBI include decine di milioni di impronte non correlate ad attività criminali, raccolte da personale militare, funzionari governativi e altri individui benintenzionati. E, a un livello più generale, i file governativi non sono sempre sicuri. La violazione dati del 2015 avvenuta presso l'ufficio di gestione del personale governativo statunitense ha interessato 5,6 miliardi di impronte digitali, a dimostrazione che le impronte digitali sono diventate l'ennesimo elemento che i pirati informatici possono sfruttare per violare la nostra privacy. In questo caso, a lunghissimo termine.

AVG AntiVirus FREE Download GRATUITO