Per accedere a un sistema protetto, dobbiamo identificarci e autenticarci.
Di solito, l’identificazione consiste nell’inserire il proprio nome utente, mentre l’autenticazione è il passaggio in cui l’utente dimostra la propria identità.
La fase di autenticazione può avvenire in tre diversi modi:
- Conoscenza: “Una cosa che sai”, per esempio una password o il PIN;
- Possesso: “Una cosa che hai”, come uno smartphone o un token di sicurezza (quelle piccole “chiavette” che ci davano le banche e che generavano un codice a 6 cifre);
- Inerenza: “Una cosa che sei”, come l’impronta digitale, il timbro vocale, il viso, l’iride, o qualunque altro dato biometrico.
Autenticazione a un fattore
Siamo abituati all’autenticazione a un fattore, ovvero usando uno dei tre fattori sopra elencati.
Normalmente tramite l’utilizzo di una password che ci siamo sentiti ripetere dover essere “forte” (strong), ovvero molto complessa, e sempre diversa. Sufficientemente lunga, formata da lettere maiuscole e minuscole, numeri e caratteri speciali.
Rigorosamente diverse per ogni account utilizzato e da cambiare almeno ogni 90gg.
Da non trascrivere, per alcuna ragione, su agende, post-it o note sullo smartphone.
Si stima che oggi un utente medio abbia circa un centinaio di password: impossibile riuscire a ricordarle tutte!
Password Manager
Ecco dunque divenire indispensabile l’utilizzo di programmi e App (noti come Password Manager) che archivino in modo sicuro e crittografato le credenziali (username e password) in una sorta di cassaforte (“Vault”) virtuale, rendendole disponibile all’occorrenza.
I migliori Password Manager sono multi-piattaforma (cioè sono disponibili per i sistemi Mac, Windows, iOS ed Android e sincronizzabili attraverso il Cloud) e sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare.
Poichè un hacker potrebbe confezionare e mettere in commercio un Password Manager appositamente per rubarci le password scegliamo solo quelli di aziende note ed affidabili (es LastPass, 1Password, Keeper, KeePass).
Come verificare se un account è stato violato
Del resto sono sempre più frequenti i casi di violazione di siti (data breach) con il furto massivo di migliaia o milioni di password: in questi casi le nostre password finiscono nel mercato nero del web e qualcuno potrebbe usarle a nostra insaputa.
Per verificare di non essere stati vittime di queste violazioni periodicamente sottoponiamo le nostre credenziali a un controllo sul famoso sito Have i been pwned? (il cui nome si potrebbe tradurre con: “Sono stato violato?”).
E cambiamo prontamente la password eventualmente violata.
Autenticazione a più fattori
Ultimamente molti di noi si sono visti imporre l’uso di una strong authentication ovvero l’autenticazione a due fattori (2FA: two factor authentication).
Il sistema di protezione ad oggi più sicuro che abbiamo a disposizione per proteggere i nostri account.
Ormai tutti i siti importanti rendono disponibile questa autenticazione in forma facoltativa (quindi da attivare come opzione aggiuntiva).
Nel caso dell’Internet Banking, invece, è diventato lo standard imposto.
L’autenticazione a due fattori è quando si usano almeno due dei tre fattori sopra elencati di categoria differente (ad es “Una cosa che sai” + “Una cosa che hai”). Da non confondersi con la verifica in due passaggi (2SV) che si differenzia poichè può utilizzare due fattori simili, appartenenti alla stessa categoria.
Un esempio di autenticazione a due fattori è quando, ad esempio, dopo aver inserito la password (primo fattore) del proprio account è richiesto di digitare un secondo fattore, che nella maggior parte dei casi è un codice numerico pseudocasuale e di durata limitata nel tempo (conosciuto come OTP, One Time Password) .
Questo secondo fattore in genere viene ottenuto attraverso lo smartphone (sotto forma di sms o tramite un’apposita applicazione come Authy, Google Authenticator o Microsoft Authenticator) o tramite un token fisico.
In realtà sta diventando sempre più comune l’utilizzo di dati di tipo biometrico (”una cosa che sei”) come l’impronta digitale o con il riconoscimento facciale.
Caratteristiche uniche di una persona che non possono essere né rubate né modificate e sono sempre in possesso dell’individuo. Inoltre non serve ricordare alcuna password e PIN e consentono un riconoscimento immediato.
L’autenticazione a tre fattori invece è molto meno usata (es con il Sistema Pubblico di Identità Digitale, SPID, di livello 3).
Le tecnologie di autenticazione passwordless
A inizio anno un nuovo rapporto del World Economic Forum (WEF), stilato in collaborazione con la FIDO Alliance, sottolinea che il modo più efficace per combattere i crimini informatici è quello di consegnare agli archivi della storia le autenticazioni tramite password.
Il cybercrime si stima costerà all’economia globale circa 2,9 milioni di dollari al minuto nel 2020.
L’80% degli attacchi avviene attraverso la violazione di password, PIN, frasi-chiave (passphrase) e altro che occorre ricordare.
Tra l’altro, c’è una questione di costi: la stima è che le grandi aziende spendano circa un milione di dollari l’anno solo per la gestione dei reset delle password.
L’alternativa è rappresentata dalle soluzioni senza password, attraverso l’utilizzo dell’intelligenza artificiale e del “machine learning” per far risparmiare tempo e denaro agli utenti e dare loro maggiore sicurezza.
Sono 5 le tecnologie di autenticazione passwordless già pronte per una grande espansione nel mondo intero:
- biometria;
- one time password (OTP);
- codici QR;
- analisi comportamentale;
- le cosiddette “prove zero-knowledge”.
Mentre le prime due le abbiamo già viste in precedenza, cerchiamo di chiarire le rimanenti.
I codici QR sono codici animati e complessi, unici e di durata molto breve. Gli utenti si potranno loggare inquadrando il QR code con uno smartphone per provare la propria identità. Arriverà quindi un messaggio di conferma su una apposita app che proverà l’avvenuto accesso.
Nell’analisi comportamentale, invece, il riconoscimento dell’utente avverrà sulla base dei suoi comportamenti. Utilizzando fattori come i movimenti del mouse, la velocità e le abitudini di digitazione, la cronologia degli accessi o altri dettagli della rete come l’indirizzo IP e il browser utilizzato. Una volta raccolti, tutti questi dati verranno combinati grazie ad algoritmi di intelligenza artificiale e machine learning.
Infine una soluzione zero-knowledge proves (ZKP) per la gestione delle password prevederà un algoritmo di riconoscimento delle password senza che queste password vengano mai digitate. In pratica, si dovranno fornire in modo astratto una serie di informazioni che porteranno a identificarle.
La componente umana nella sicurezza informatica
Ma non dimenticare che siamo noi utenti ad avere la responsabilità di rendere sicuri i nostri sistemi e account, non possiamo delegarlo ad alcuna tecnologia.
Perché anche il sistema più protetto non sarà sicuro se le persone che lo utilizzano non sanno riconoscere un’email di phishing (nelle sue diverse forme di SMS, instant messagge, PEC, chiamate vocali) o condividono i propri dati personali su post-it lasciati in vista e incustoditi o peggio su social media e chat.
Indispensabile dunque continuare a tenere un comportamento diffidente online e informarsi sulle tecniche utilizzate dai cyber-crimali.
Perchè la consapevolezza, la percezione del rischio e la comprensione delle minacce restano il cardine della sicurezza informatica