Autenticazione biometrica

Cos'è l'autenticazione biometrica?

Labiometria è un termine tecnico per riferirsi ai tratti fisici o comportamentali degli esseri umani. L'autenticazione biometrica è un concetto di sicurezza dei dati. Le soluzioni di autenticazione biometrica creano un modello generato dai dati che rappresenta l'individuo. Con quel modello e le informazioni biometriche, i sistemi di sicurezza possono autenticare l'accesso alle applicazioni e ad altre risorse di rete. L'autenticazione biometrica sta rapidamente diventando un componente popolare delle strategie di autenticazione multifattoriale, perché combina una forte sfida di autenticazione con un'esperienza utente a basso attrito

Password e biometria - Qual è più forte?

Nomi utente e password sono stati una misura di sicurezza fondamentale per decenni, ma non più. Diverse violazioni di alto profilo presso importanti istituzioni finanziarie e commerciali hanno portato al furto di milioni di combinazioni di nome utente/password e alla loro messa in vendita sul Dark Web. Combinate questo con la tendenza a ripetere le password su più account, e la scala della vulnerabilità diventa più evidente.

I sistemi di autenticazione biometrica sono meno esposti a questa vulnerabilità perché i dati biometrici dell'utente sono unici. È molto difficile per un aggressore replicare in modo fraudolento l'impronta digitale o la scansione di riconoscimento facciale di un individuo quando viene presa da soluzioni robuste con un forte rilevamento di liveness/spoof, e tuttavia ci vuole solo un momento perché l'utente appropriato si autentichi. Per questo motivo, la biometria è considerata più conveniente delle password e più sicura.

Secondo Gartner, "l'autenticazione biometrica non può e non dipende dalla segretezza dei tratti biometrici, ma si basa invece sulla difficoltà di impersonare la persona viva che presenta il tratto a un dispositivo di cattura ('sensore'). Quest'ultimo punto non è molto conosciuto, il che porta ad alcuni malintesi comuni, rafforzati dal limitato rilevamento degli attacchi di presentazione (PAD) nei dispositivi di consumo e dalla pubblicità sugli attacchi di successo contro Apple Touch ID, i sensori di strisciata Samsung, il riconoscimento facciale Android e così via." Questo dovrebbe essere un messaggio rassicurante per quelli scettici sulla fattibilità a lungo termine dell'autenticazione biometrica.

Tipi di metodi di autenticazione biometrica

Riconoscimento del viso

Ilriconoscimento facciale è una forma molto nota di autenticazione biometrica resa popolare in molti drammi di spionaggio e racconti di fantascienza nei media popolari. Veramente, questa tecnologia è radicata nella nostra biologia. Usiamo il riconoscimento facciale ogni giorno per identificare i nostri amici e familiari e distinguere gli estranei. Nell'autenticazione, i principi di questo processo sono digitalizzati per permettere a uno smartphone o a un dispositivo mobile di riconoscere un volto in modo molto simile.

Il software di riconoscimento facciale analizza la geometria del viso, compresa la distanza tra gli occhi, la distanza tra il mento e il naso, ecc., per creare un modello digitale criptato dei tuoi dati facciali. Durante l'autenticazione, lo strumento di riconoscimento facciale scansionerà il tuo viso in tempo reale e confronterà il modello con quello memorizzato nel sistema. Anche se il riconoscimento facciale si sta evolvendo, ci sono ancora alcuni rischi.

Pro:

• I dispositivi mobili sono ampiamente adottati e la maggior parte, se non tutti, hanno una fotocamera.

• Pochissimo setup. Con la maggior parte dei dispositivi mobili moderni, queste capacità sono incluse come caratteristiche standard.

• Il riconoscimento facciale è tra le modalità di autenticazione biometrica più convenienti. Guardare nella fotocamera del dispositivo comporta meno attrito di una scansione dell'impronta digitale o di un codice di autenticazione.

Contro:

• Non tutti i sistemi di riconoscimento facciale sono creati allo stesso modo. Alcuni sono più facili da spoofare di altri.

• Le soluzioni native dei dispositivi non sono così efficaci come le soluzioni di terze parti o proprietarie.

• I sistemi di riconoscimento facciale con "active liveness detection" richiedono che l'utente muova la testa, sbatta le palpebre o compia altre azioni nel momento per verificare la richiesta. Questo processo può essere più facile da analizzare e aggirare per un aggressore e può rendere l'esperienza dell'utente imbarazzante, mentre il "rilevamento passivo del liveness" avviene dietro le quinte, in modo che non intralci l'utente ed è più difficile da identificare e comprendere per un aggressore.

Riconoscimento delle impronte digitali

Le forze dell'ordine hanno usato le impronte digitali come forma di identificazione per anni. Un lettore di impronte digitali funziona sugli stessi principi, ma l'intero processo è digitalizzato. Le impronte digitali di ognuno sono uniche. Quindi, analizzando le creste e il modello dell'impronta, gli scanner di impronte digitali creano un modello digitale che viene confrontato con i futuri tentativi di autenticazione.

Pro:

• Utilizzato in molte industrie
• Tra le modalità più onnipresenti

Contro:

• Le prestazioni possono soffrire a causa della qualità dell'impronta digitale o delle condizioni attuali, come dita bagnate o sporche.

Riconoscimento degli occhi

Contrariamente alla credenza popolare, ci sono in realtà due metodi di scansione dell'occhio ai fini dell'autenticazione. La scansione sfrutta il riconoscimento dell'iride o della retina per identificare gli utenti.

In una scansione della retina, l'autenticatore proietta brevemente una luce nell'occhio per illuminare il modello unico dei vasi sanguigni nell'occhio. Mappando questo modello, lo strumento di riconoscimento degli occhi può confrontare gli occhi di un utente con un originale. Le scansioni dell'iride funzionano in modo simile, ma analizzano gli anelli colorati che si trovano nell'iride.

Pro:

• In alcune implementazioni, il riconoscimento degli occhi può essere veloce e accurato come il riconoscimento dei volti (anche se meno user-friendly).

Contro:

• Può essere difficile ottenere un campione per il confronto quando si è alla luce del sole (le pupille si contraggono).
• A seconda dell'implementazione, può richiedere un hardware specializzato.

Riconoscimento vocale

Il riconoscimento vocale analizza il suono della voce dell'utente. La voce unica di ogni persona è determinata dalla lunghezza del suo tratto vocale e dalla forma del suo naso, della bocca e della laringe. Tutti questi fattori rendono l'analisi della voce dell'utente un forte metodo di autenticazione.

Pro:

• Offre una comoda esperienza di autenticazione
• Alcuni software forniscono una frase per l'utente

Contro:

• Il rumore di fondo può distorcere le registrazioni.
• Il comune raffreddore, la bronchite o altre malattie comuni possono distorcere la voce e disturbare l'autenticazione.
• In scenari pubblici, una persona può sentirsi a disagio a parlare ad alta voce (come su un treno o un autobus).

Casi d'uso dell'autenticazione biometrica

L'autenticazione biometrica viene utilizzata in un'ampia varietà di applicazioni in molti settori. Ecco alcuni esempi di come queste industrie stanno impiegando l'uso della biometria per migliorare la sicurezza e l'efficienza dei processi esistenti.

Viaggi e ospitalità:

Alcune compagnie aeree e aeroporti selezionati stanno offrendo ai loro passeggeri la possibilità di effettuare il check-in del loro volo utilizzando il riconoscimento facciale. Allo stesso modo, gli hotel e le aziende di ospitalità stanno iniziando ad abilitare l'auto-check-in utilizzando l'autenticazione biometrica.

Servizi bancari e finanziari:

La sicurezza e l'autenticazione sono essenziali in molti settori, ma in particolare nel mobile banking. Le istituzioni finanziarie stanno sfruttando l'autenticazione biometrica come parte dell'autenticazione a due fattori o della strategia di autenticazione a più fattori per proteggere la banca e i suoi clienti dagli attacchi di account takeover.

Assistenza sanitaria:

L'autenticazione biometrica sotto forma di scanner di impronte digitali, scanner dell'iride e riconoscimento facciale può aiutare gli ospedali a confermare l'identità del paziente, garantire che gli assistenti abbiano accesso alle giuste informazioni mediche e altro ancora.

I miti della biometria sono stati smontati

Anche se i sistemi di autenticazione biometrica stanno guadagnando popolarità nello spazio della sicurezza, ci sono ancora diversi miti prevalenti intorno alla biometria che stanno rallentando l'adozione. Ecco quattro delle idee sbagliate più significative sull'autenticazione biometrica:

• Mito - La tecnologia biometrica è un'invasione della privacy: C'è una distinzione significativa tra le opzioni di autenticazione biometrica che richiedono l'opt-in dell'utente e la tecnologia di riconoscimento facciale distribuita negli spazi pubblici. Le soluzioni di autenticazione biometrica richiedono il consenso dell'utente per la loro stessa natura, poiché l'utente deve prima iscrivere il suo biometrico. Inoltre, le immagini fotografiche dei volti non sono memorizzate in un database. Piuttosto, un modello matematico del volto è criptato e conservato in archivio per scopi di confronto. È essenzialmente inutile per un aggressore, anche se fosse rubato.   
• Mito - L'identificazione biometrica può essere ingannata da immagini statiche e fotografie: Questo può essere stato vero in iterazioni più vecchie o meno sofisticate della tecnologia di autenticazione. Tuttavia, le moderne soluzioni di autenticazione biometrica includono capacità di rilevamento della liveness che possono discernere se il tratto biometrico presentato è autentico o una maschera, un modello, un'immagine o anche un video. Per autenticarsi, all'utente può essere chiesto di sbattere le palpebre o di girare la testa, ma le altre capacità di rilevamento della vitalità lavorano interamente in background.  
• Mito - I modelli biometrici scadono quando l'utente invecchia o le caratteristiche cambiano: La preoccupazione è che quando un utente invecchia, il suo volto cambierà lentamente nel tempo fino a non registrare più una corrispondenza. Nelle applicazioni di autenticazione biometrica, l'utente in genere si autentica abbastanza regolarmente che questi piccoli cambiamenti nell'aspetto non saranno abbastanza grandi da invalidare la corrispondenza. Invece, il modello matematico sarà aggiornato man mano che riconosce i cambiamenti di aspetto.
• L'identificazione biometrica è applicabile solo se l'utente è già noto: la biometria comportamentale analizza i modi in cui un utente individuale interagisce con il suo dispositivo. Il modo in cui tengono il loro telefono, lo strisciamento, la digitazione sulla tastiera e altro ancora può essere utilizzato per sviluppare un profilo con cui autenticare un utente o determinare il rischio relativo di una transazione. Per esempio, in uno scenario di apertura di un nuovo account, la biometria comportamentale può confrontare il comportamento del richiedente con un pool rappresentativo di utenti per determinare se il nuovo richiedente sembra essere un utente genuino e legittimo o un bot o un attaccante

Scopri di più sui miti dell'autenticazione biometrica in questo video