La biometria è ancora meno accurata di quanto pensassimo

Biometria
La biometria dovrebbe essere un pilastro fondamentale dell'autenticazione moderna. Sfortunatamente, per una vasta gamma di ragioni, molte implementazioni biometriche sono estremamente imprecise.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

La biometria dovrebbe essere una delle basi di un moderno sistema di autenticazione. Il fatto però è che molte implementazioni biometriche (che si tratti di scansioni di impronte digitali o di riconoscimento facciale) possono essere molto imprecise, tanto che l’unica cosa universalmente positiva da dire sul loro conto è che sono meglio di niente. Inoltre, e questo può rivelarsi fondamentale, il fatto che la biometria sia falsamente considerata molto accurata può essere sufficiente a dissuadere alcuni tentativi di frode.

Ci sono una serie di ragioni pratiche per cui la biometria non funziona bene nel mondo reale e un recente post di Roger Grimes, specialista di sicurezza informatica del fornitore di strumenti di sicurezza KnowBe4, aggiunge un nuovo livello di complessità al problema della biometria. Grimes ha scritto su LinkedIn sulle valutazioni del National Institute of Standards and Technology (NIST): “Qualsiasi fornitore di tecnologie biometriche o creatore di algoritmi può inviare il proprio algoritmo per la revisione. Il NIST ha ricevuto 733 richieste per la revisione di tecnologie legate al riconoscimento tramite impronte digitali e oltre 450 richieste per il riconoscimento facciale. Gli obiettivi di accuratezza del NIST puntano a 1:100.000, ovvero un errore ogni 100.000 test. Finora, nessuno dei candidati si avvicina a questa soglia”, ha scritto Grimes.

“Le migliori soluzioni hanno un tasso di errore dell’1,9%, il che significa quasi due errori ogni 100 test. Questo è ben lontano da 1:100.000 e certamente non vicino alle cifre propagandate dalla maggior parte dei fornitori. Siamo stati coinvolti in molte implementazioni biometriche su larga scala e vediamo tassi di errore molto più elevati (tra falsi positivi e negativi) rispetto a quello che il NIST sta vedendo nel miglior scenario di test in condizioni di laboratorio.”

Nei test indipendenti molti dati biometrici non mantengono accuratamente le loro promesse. Inoltre, molti fornitori, tra cui Apple (iOS) e Google (Android), fanno precise scelte di marketing scegliendo quanto debba essere rigoroso o indulgente il loro sistema di autenticazione. Non vogliono che le persone (per qualsiasi ragione) non possano accedere ai loro dispositivi e quindi scelgono di rendere l’autenticazione meno rigorosa; facendo così però, il rischio è di dare via libera all’accesso al dispositivo da parte di un numero maggiore di persone non autorizzate.

Un altro fattore chiave è l’accuratezza teorica rispetto a quella pratica nel mondo reale. Pensate per un attimo ai due metodi di autenticazione più popolari su smartphone: riconoscimento facciale e riconoscimento delle impronte digitali. In teoria, il riconoscimento facciale è molto più esigente perché è in grado di analizzare e considerare un numero maggiore di punti dati. In pratica, però, questo spesso non accade. Il riconoscimento facciale ha a che fare con l’illuminazione, il trucco sul viso di una persona, l’acconciatura e decine di altri fattori. Niente di tutto ciò conta quando si utilizza il riconoscimento tramite impronte digitali.

riconoscimento biometrico

C’è anche un problema di distanza. Con il riconoscimento facciale, un dispositivo deve essere a una distanza precisa dal viso perché possa analizzarlo con precisione (non troppo vicino ma nemmeno troppo lontano) e, ancora una volta, questo non è un problema con le impronte digitali. A tal proposito, perché molte app bancarie gestiscono le scansioni degli assegni in modo più sofisticato? Queste app chiedono di avvicinare il telefono o di allontanarlo prima di fotografare l’assegno. Perché non si può fare la stessa cosa per il riconoscimento facciale?

Non dimenticate, inoltre, che dal punto di vista dell’autenticazione, molte delle implementazioni biometriche fanno quasi ridere, visto che quando un’autenticazione biometrica fallisce, l’accesso predefinito al telefono passa al classico PIN da digitare. In altre parole, se un malintenzionato vuole aggirare il sistema biometrico, tutto ciò che deve fare è fallire una o due volte la procedura e quindi concentrarsi sul PIN da decifrare. Qual è il punto? È chiaro come i principali fornitori di dispositivi mobile (ma non solo) utilizzino la biometria non tanto per l’autenticazione o la sicurezza informatica, ma più per comodità. È insomma un modo per accedere a un dispositivo senza la “scocciatura” di dover digitare un PIN.

Grimes ha anche espresso preoccupazione per la natura immutabile della biometria. Se una password viene compromessa, è facile generarne una nuova e anche un token fisico può essere sostituito. Cosa succede però se la biometria è compromessa? Non potete cambiare facilmente il viso, la retina, la voce o l’impronta digitale. “Una volta che i nostri dati biometrici vengono sottratti, come facciamo a recuperarli?”, si chiede Grimes, aggiungendo che fare reverse engineering dei dati biometrici è assolutamente possibile.

I problemi di fondo sono la percezione e la caratterizzazione. Queste tecnologie biometriche, come attualmente implementate, sono poco più che un mix di comodità e convenienza, ma sono offerte come qualcosa su misura per la sicurezza informatica. Di conseguenza, gli utenti si affidano alla biometria come misura protettiva assolutamente sicura e affidabile al 100%.

Esistono comunque molti modi per implementare la biometria in modo sicuro. Le scansioni della retina sono generalmente sicure e nel complesso anche le impronte digitali funzionano bene, ma la biometria vocale, attualmente utilizzata da diverse istituzioni finanziarie, rimane troppo facile da falsificare. Questo ci riporta alle decisioni dei produttori di dispositivi sulle impostazioni. Se queste sono sufficientemente rigide, anche il riconoscimento facciale può diventare un valido meccanismo di sicurezza, ma la loro implementazione odierna su smartphone, tablet e altri dispositivi tende a prediligere più la comodità e la praticità che non la sicurezza.

BiometriaCifraturaTecnologie Biometriche
// Data pubblicazione: 07.12.2022
Condividi:
 

Tokenizzazione dei dati: un nuovo modo di mascherare i dati sensibili

tokenizzazione
La sostituzione dei dati sensibili con le tecnologie di tokenizzazione offre numerosi vantaggi in termini di sicurezza e conformità per le aziende.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Mentre alcuni ricercatori hanno esaminato la pandemia in relazione al modo in cui le aziende sono riuscite a rimanere a galla in una situazione senza precedenti, i revisori hanno valutato la maggiore vulnerabilità dei dati, la mancanza di conformità dei dati e i costi sostenuti a causa di questi eventi. Poiché negli ultimi due anni e mezzo le aziende sono state costrette ad adottare nuovi stili di lavoro e ad adattare di conseguenza le tecnologie, hanno faticato non poco per soddisfare gli standard di conformità alla sicurezza come il Regolamento generale sulla protezione dei dati (GDPR) e sono rimaste in ritardo nella risposta alle violazioni dei dati. Secondo un recente report di IBM le violazioni dei dati ora costano alle aziende in media 4,24 milioni di dollari per incidente, il costo più alto nei 17 anni di storia del report.

Pertanto, le aziende necessitano di solide strategie di sicurezza dei dati per rendere anonimi i dati e prevenire potenziali violazioni della sicurezza dei dati. La tokenizzazione dei dati è un nuovo tipo di strategia di sicurezza dei dati e ciò significa che le aziende possono operare in modo efficiente e sicuro nel pieno rispetto delle normative sui dati. La tokenizzazione dei dati è diventata un metodo popolare per le piccole e medie imprese per aumentare la sicurezza delle transazioni con carta di credito, riducendo i costi e la complessità della conformità agli standard del settore e alle normative governative.

La tokenizzazione, che è un processo di scambio di dati sensibili con simboli di identificazione unici che conservano tutte le informazioni necessarie dei dati senza comprometterne la sicurezza, sostituisce i dati creando caratteri completamente casuali nello stesso formato.

Come funziona la tokenizzazione dei dati per un’azienda?

La tokenizzazione maschera o sostituisce i dati sensibili con dati identificativi univoci conservando tutte le informazioni essenziali sui dati. Questi dati di sostituzione univoci equivalenti sono chiamati token. La tokenizzazione è una forma non distruttiva di mascheramento dei dati in cui i dati originali sono recuperabili tramite i dati di sostituzione univoci, ovvero il token. Due approcci principali consentono la crittografia dei dati tramite la tokenizzazione dei dati:

  • Tokenizzazione basata su vault
  • Tokenizzazione senza vault

Nel primo caso, un deposito di token funge da dizionario di valori di dati sensibili e li associa a valori di token, che sostituiscono i valori di dati originali in un database o in un archivio dati. Pertanto, un’applicazione o un utente può accedere al valore originale nel dizionario al token associato che può essere annullato. Il token vault è l’unico luogo in cui le informazioni originali possono essere mappate di nuovo al token associato.

Il secondo approccio alla tokenizzazione dei dati non prevede alcun vault. In questo caso i token vengono archiviati utilizzando un algoritmo anziché un database sicuro per proteggere i dati privati. Le informazioni riservate originali in genere non vengono conservate in un vault se il token è reversibile.

Per capire meglio, ecco un esempio di come funziona la tokenizzazione con un vault di token.

Un cliente fornisce il proprio numero di carta di credito per qualsiasi transazione. In una transazione tradizionale, il numero di carta di credito viene inviato al processore di pagamento e quindi memorizzato nei sistemi interni del commerciante per un successivo riutilizzo. Ora, vediamo come avviene questa transazione dopo l’implementazione della tokenizzazione dei dati.

  • Non appena il cliente fornisce il proprio numero di carta di credito per qualsiasi transazione, il numero della carta viene inviato a un sistema di token o vault anziché al processore di pagamento.
  • Il sistema di token o vault sostituisce le informazioni sensibili del cliente, ovvero il numero della carta di credito, con un ID alfanumerico personalizzato creato in modo casuale, ovvero un token.
  • Successivamente, dopo che un token è stato generato, viene restituito al terminale POS del commerciante e al processore di pagamento in una forma sicura per completare la transazione con successo.

dl sicurezza

Con la tokenizzazione dei dati, le aziende possono trasmettere in sicurezza i dati attraverso le reti wireless. Tuttavia, per un’efficace implementazione della tokenizzazione dei dati, le aziende devono utilizzare un gateway di pagamento per archiviare i dati sensibili in modo sicuro. Nell’esempio sopra, le informazioni sulla carta di credito sono archiviate in modo sicuro e generate da un gateway di pagamento.

Perché c’è bisogno della tokenizzazione dei dati?

Per un’azienda l’obiettivo è proteggere qualsiasi pagamento sensibile o informazione personale nei sistemi aziendali e archiviare tali dati in un ambiente sicuro. La tokenizzazione dei dati aiuta le aziende a raggiungere questo obiettivo sostituendo ogni set di dati con un token indecifrabile.

Ecco cinque motivi per cui la tokenizzazione è importante per le aziende:

Ridurre il rischio di violazione dei dati e sanzioni

La tokenizzazione aiuta a proteggere le aziende dagli impatti finanziari negativi del furto di dati. La sicurezza compromessa spesso si traduce in una perdita diretta di entrate per le aziende, poiché i clienti tendono a passare ai concorrenti che si prendono maggiormente cura dei propri dati di pagamento.

Le aziende possono anche subire perdite dopo una violazione dei dati essendo citate in giudizio. Ad esempio, Zoom ha dovuto creare un fondo di 85 milioni di dollari per pagare crediti in contanti agli utenti statunitensi dopo una serie di violazioni della sicurezza informatica, inclusa la crittografia end-to-end ingannevole. Inoltre, il mancato rispetto di molti standard di pagamento e sicurezza può portare a pesanti multe e sanzioni commerciali.

Costruire la fiducia dei clienti

La tokenizzazione aiuta le aziende a instaurare un senso di fiducia nei propri clienti, mantenendo le transazioni online sicure e garantendo una formattazione corretta e una trasmissione sicura dei dati. Ciò rende i dati sensibili notevolmente meno vulnerabili agli attacchi informatici e alle frodi.

Rispettare le normative di conformità

La tokenizzazione aiuta a soddisfare e mantenere la conformità con le normative del settore. Le aziende che accettano carte di debito e di credito come metodi devono aderire al Payment Card Industry Data Security Standard (PCI DSS). La tokenizzazione soddisfa il requisito della normativa PCI DSS di mascherare le informazioni sensibili dei titolari di carta e di gestirne in modo sicuro l’archiviazione e l’eliminazione. Pertanto, la tokenizzazione governa la sicurezza dei dati sensibili associati alle carte e riduce i costi associati alla conformità.

Aumentare gli acquisti in abbonamento

Gli acquisti in abbonamento possono essere migliorati da un’esperienza cliente più rapida e migliore durante il checkout. Il processo di pagamento più rapido richiede ai clienti di archiviare le proprie informazioni di pagamento in modo sicuro. La tokenizzazione aiuta a proteggere questi dati finanziari come le informazioni sulla carta di credito. Questo valore del token rimane indecifrabile dagli hacker e crea un ambiente sicuro per i pagamenti ricorrenti. Alcuni dei principali gateway di pagamento mobile come Google Pay e Apple Pay stanno già sfruttando i vantaggi della tokenizzazione dei dati, rendendo così l’esperienza dell’utente più semplice e sicura. La garanzia della sicurezza sta anche aiutando le aziende a convincere più utenti a registrarsi alle loro piattaforme o servizi online.

Garantire una condivisione sicura dei dati

Le aziende utilizzano spesso dati sensibili per altri scopi aziendali, come metriche di marketing, analytics o reportistica. Con l’implementazione della tokenizzazione, le aziende possono ridurre al minimo le posizioni in cui sono consentiti dati sensibili e garantire che i dati tokenizzati siano accessibili agli utenti e alle applicazioni che conducono analisi dei dati o qualsiasi altro processo aziendale. La tokenizzazione può essere utilizzata anche per ottenere l’accesso con privilegi minimi ai dati sensibili, garantendo che le persone abbiano accesso solo ai dati specifici di cui hanno bisogno per completare una determinata attività. Pertanto, il processo di tokenizzazione mantiene la sicurezza dei dati sensibili originali.

Conclusione

L’obbligo di conformità di qualsiasi organizzazione è in qualche modo proporzionato alle dimensioni dei suoi sistemi: più applicazioni utilizzano dati sensibili, maggiore è la forza di ripensare o aggiornare il controllo di conformità dei dati. Per questo motivo, l’utilizzo di una piattaforma di tokenizzazione sta diventando molto popolare. Queste piattaforme aiutano infatti le aziende a proteggere le informazioni sensibili mentre si prendono cura della conformità alle normative di sicurezza.

Big Datadati sensibiliSicurezza dei datitokenizzazione dei dati
// Data pubblicazione: 26.07.2022
Condividi: