La biometria dovrebbe essere uno dei fondamenti di un moderno sistema di autenticazione. Ma molte implementazioni biometriche (impronte digitali o riconoscimento facciale) possono essere estremamente imprecise e l'unica cosa universalmente positiva da dire su di esse è che sono meglio di niente.
Inoltre, e questo può essere fondamentale, il fatto che i dati biometrici siano percepiti erroneamente come altamente accurati può essere sufficiente a scoraggiare determinati tentativi di frode.
Ci sono una serie di ragioni pratiche per cui la biometria non funziona bene nel mondo reale e un recente articolo di uno specialista di sicurezza informatica di KnowBe4, un fornitore di formazione sulla consapevolezza della sicurezza, aggiunge un nuovo livello di complessità al problema della biometria.
Roger Grimes, un evangelista di advocacy presso KnowBe4, ha scritto su LinkedIn in merito alle valutazioni di valutazione del National Institute of Standards and Technology (NIST). Come ha spiegato, “Qualsiasi fornitore biometrico o creatore di algoritmi può inviare il proprio algoritmo per la revisione. Il NIST ha ricevuto 733 segnalazioni per la revisione delle impronte digitali e più di 450 segnalazioni per le revisioni del riconoscimento facciale. Gli obiettivi di accuratezza del NIST dipendono dall'esame e dallo scenario in fase di test, ma il NIST mira a un obiettivo di accuratezza di circa 1:100, il che significa un errore ogni 000 test.
"Hasta ora, ninguno de los candidateos presentados está cerca", ha scritto Grimes, riprendendo gli hallazgos del NIST. "Le soluzioni migliori hanno un tasso di errore dell'1,9%, il che significa quasi due errori ogni 100 test: 100 e certamente ben lontani dalle cifre pubblicizzate dalla maggior parte dei fornitori. Sono stato coinvolto in molte implementazioni biometriche su larga scala e stiamo assistendo a tassi di errore molto più elevati - falsi positivi o falsi negativi - anche quello che vede il NIST nel test del caso migliore delle condizioni di laboratorio dello scenario, vedo regolarmente errori a 000:1 o meno.
Lascia che affondi per un momento.
Nei test indipendenti, molti dati biometrici semplicemente non mantengono accuratamente ciò che promettono. Inoltre, molti fornitori, tra cui Apple (iOS) e Google (Android), prendono decisioni di marketing nelle loro impostazioni, dove scelgono quanto sia rigorosa o indulgente l'autenticazione. Non vogliono che molte persone siano erroneamente bloccate dall'accesso ai loro telefoni, quindi scelgono di renderlo meno severo, dando effettivamente il via libera a più persone non autorizzate per accedere al dispositivo.
Ricordi quei video che mostrano i telefoni che lasciano entrare i figli o i fratelli di un utente del telefono quando viene utilizzato il riconoscimento facciale? Questo è un grande motivo per cui.
Un altro fattore chiave è l'accuratezza teorica rispetto all'accuratezza effettiva. Prendi in considerazione due metodi popolari di autenticazione del telefono: riconoscimento facciale e riconoscimento delle impronte digitali. In teoria, il riconoscimento facciale è molto più impegnativo perché può tenere conto di un numero maggiore di punti dati. In pratica, tuttavia, questo spesso non accade.
Hai visto bambini o fratelli accedere al telefono tramite l'impronta digitale? Il riconoscimento facciale ha a che fare con l'illuminazione, i cosmetici, il cambio di capelli e dozzine di altri fattori. Niente di tutto questo entra in gioco quando si utilizza il riconoscimento delle impronte digitali.
C'è anche un problema di distanza. Con il riconoscimento facciale, un dispositivo deve trovarsi a una distanza precisa dal volto per leggerlo con precisione, né troppo vicino né troppo lontano. Personalmente, utilizzo un iPhone con Face ID e in genere vedo anomalie il 60% delle volte. Poi aggiusto un po' la differenza e se sono fortunato il mio telefono si sblocca. (Ancora una volta, questo non è un problema con le impronte digitali.)
Nota: perché molte app bancarie trattano le scansioni degli assegni (sì, alcune aziende usano ancora gli assegni) in modo più sofisticato? L'app di solito ti chiederà di "ingrandire" o "tornare indietro" prima di scattare l'immagine di controllo. Perché il riconoscimento facciale non può fare lo stesso?
Si noti inoltre che dal punto di vista dell'autenticazione, molte implementazioni biometriche sono uno scherzo. Come mai? Perché quando l'autenticazione biometrica fallisce, l'accesso avviene per impostazione predefinita tramite il codice PIN di un telefono.
In altre parole, se un ladro vuole aggirare la biometria, tutto ciò che deve fare è fallire una o due volte e poi gestire il PIN più facile da decifrare. a che serve È chiaro che i principali provider di telefonia utilizzano la biometria meno per l'autenticazione o la sicurezza informatica che per comodità. È un modo per accedere a un dispositivo senza dover inserire un PIN.
Per quanto sciolto possa sembrare, Grimes sostiene che la situazione è probabilmente peggiore. “I test NIST sono gli scenari migliori. Sono tutti terribilmente imprecisi. La sicurezza è troppo promessa in quasi tutte le situazioni", ha detto in un'intervista.
Grimes ha anche espresso preoccupazione per la natura immutabile della biometria. Se una password o un PIN viene compromesso, è facile generare una nuova password o PIN. Anche un token fisico può essere sostituito. Cosa succede se la biometria viene compromessa? Non puoi cambiare facilmente il tuo volto, la tua retina, la tua voce o le tue impronte digitali.
“Una volta rubati, come fai a recuperarli? Grimes ha detto, aggiungendo che la biometria di reverse engineering è del tutto possibile.
Il problema fondamentale qui è la percezione e la caratterizzazione. Questi sforzi biometrici, come attualmente implementati, sono poco più che convenienza. (Non fraintendetemi; essendo una persona naturalmente pigra, sono perdutamente innamorato del comfort.) Ma sono offerti come compatibili con la sicurezza informatica. Di conseguenza, utenti e tecnologi si affideranno alla biometria come misura protettiva.
Esistono molti modi per implementare in modo sicuro la biometria. Le scansioni della retina sono generalmente sicure e il rilevamento delle impronte digitali funziona bene per le persone che hanno impronte digitali correttamente scansionabili. Ma la biometria vocale, attualmente utilizzata da vari istituti finanziari, è ancora troppo facile da falsificare.
Questo ci riporta alle decisioni di parametrizzazione. Se i parametri sono abbastanza rigidi, anche il riconoscimento facciale può diventare un meccanismo di sicurezza. In breve, la biometria è una grande comodità. Come difesa della sicurezza, la maggior parte delle attuali implementazioni non sono sufficienti.
Copyright © 2022 IDG Communications, Inc.