Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2014  settembre 26 Venerdì calendario
La storia raccontata da Giorgio Dell'Arti 

Silvia Ponzio, Focus 10/2014, 26 settembre 2014

LA PASSWORD SIAMO NOI


Una nuova tecnologia che studia i nostri comportamenti mentre usiamo computer e smartphone, che analizza i nostri “movimenti” quando navighiamo in Rete e che se ha il dubbio che qualcuno abbia preso il nostro posto, semplicemente lo blocca. Si chiama biometria comportamentale ed è una soluzione sulla quale scommettono e stanno lavorando le migliori aziende specializzate in sicurezza informatica. Questo perché, con criminali sempre più specializzati e agguerriti, le nostre password (anche le più complesse e ben costruite) e gli altri sistemi di riconoscimento (vocale, facciale ecc.) che ci hanno protetto finora, rischiano di diventare inefficaci.

SIAMO UNICI. Può sembrare bizzarro pensare che, quando digitiamo su una tastiera, muoviamo il mouse o tocchiamo lo schermo dello smartphone, lo facciamo in un modo che, a suo modo, è unico. Ne sono convinte aziende come la svedese BehavioSec – una startup con alle spalle giganti come il Darpa (l’agenzia governativa del Dipartimento della Difesa Usa incaricata dello sviluppo di nuove tecnologie per uso militare) – o la BioCatch, con sede in Israele, o ancora la AuthenWare, che opera in Florida. Il loro denominatore comune è la biometria comportamentale applicata, per ora, a computer, smartphone e tablet destinati a utenti professionali e non. Va detto innanzitutto che si tratta, almeno in questa fase di sviluppo, di una tecnologia prettamente “post-password”: affianca cioè quelle tradizionali ed entra in gioco solo dopo aver effettuato il solito accesso tramite login e parola chiave. Il suo scopo, in pratica, è di verifica: controlla il comportamento dell’utente per testarne l’identità mentre usa computer, smartphone e tablet, ma previene anche azioni fraudolente da parte di quei “software malevoli” (malware) che si insinuano nel sistema (anche) per carpire i nostri preziosi codici. Ma la tecnologia, si sa, corre veloce e alcune aziende stanno già sperimentando soluzioni per eliminare anche la necessità di inserire le classiche credenziali per accedere al proprio dispositivo.

IDENTITÀ SICURA. Come funziona la biometria comportamentale? Si basa su algoritmi che analizzano come un utente usa i vari sistemi. «Non conta quello che scrivi, ma come lo digiti» spiega Neil Costigan di BehavioSec, che a breve svilupperà una versione del software Behaviometrics su misura per i sistemi in uso al Pentagono. Quello che conta «sono la velocità, il ritmo e la pressione con cui si batte sui tasti, la posizione delle dita. L’uso del mouse – le accelerazioni negli spostamenti e la frequenza dei clic – ma anche l’interazione con l’interfaccia grafica e il numero di applicazioni aperte contemporaneamente... Tutto questo determina una specie di “firma digitale” unica, in grado di riconoscere e confermare l’identità di una persona» tiene a precisare Neil Costigan. A questi elementi, poi, si aggiungono fattori non biometrici, come il profilo sociale e psicologico dell’utente, le caratteristiche “linguistiche” ecc. Se, in base a questi controlli, il software determina che chi sta usando il computer non è... chi “pretende di essere”, allora scatta un allarme e viene bloccato l’account di accesso. Un sistema già in funzione presso la Danske Bank, il più grande sistema bancario danese, e in altre banche del Nord Europa.

SEI TU OPPURE NO? «Si tratta, in pratica, di un modo per autenticare la vostra mente osservando quello che fa e come lo fa» racconta Uri Rivner, co-fondatore di BioCatch. Anche la biometria comportamentale sviluppata da questa azienda israeliana con sede a Tel Aviv si basa sull’idea che le persone usino inconsciamente il mouse e la tastiera (oppure uno schermo touch) in modo prevedibile e che sia possibile identificare questi gesti in maniera attendibile. Cosa viene controllato? Per esempio, il tempo impiegato dall’utente per selezionare un pulsante sullo schermo di un computer, oppure quello passato a leggere un menu, o ancora la velocità nell’uso del mouse, della sua “rotellina”, o nello scorrere una pagina, la quantità di errori di battitura. I dispositivi mobili offrono persino più dettagli per costruire l’identità digitale di un utente grazie ai sensori integrati come l’accelerometro e il giroscopio per misurare un eventuale tremore della mano, oppure per valutare il livello di pressione sulle icone e i tasti virtuali. Uri Rivner spiega che BioCatch analizza ben 450 parametri fisici che descrivono l’interazione di una persona con computer, browser e dispositivi mobili per creare una “firma biometrica” affidabile. Il resto è a carico degli algoritmi che in tempo reale stabiliscono se l’utente è autorizzato a usare il dispositivo. In caso contrario, fine dei giochi... Per rendere ancora più efficace il proprio sistema biometrico comportamentale, BioCatch propone mini test che si attivano quando il sistema rileva qualcosa di anomalo. Uri Rivner li ha definiti, in modo simpatico, dei “captcha invisibili” (i captcha sono quelle sequenze di lettere e numeri che digitiamo, copiandoli da un’immagine distorta che ci viene mostrata, per accedere a certi siti o per scaricare contenuti). Un programma, per esempio, potrebbe cancellare il cursore per alcuni secondi e analizzare i movimenti che l’utente effettua istintivamente col mouse per ritrovare la familiare freccetta. Oppure potrebbe alterare il movimento del cursore, facendolo scorrere sullo schermo in modo più veloce o più lento rispetto alle aspettative di chi si trova davanti al pc per poi registrarne la reazione. «Se non sei una persona in carne e ossa, non reagisci» sostiene Uri Rivner per dare un’idea di come la sua azienda intenda liberarci in futuro dal fastidio di password, pin e altri sistemi per farci riconoscere. Staremo a vedere.

SUONA ED ENTRA. C’è chi ha deciso di far intervenire la biometria comportamentale non solo “durante” l’uso di pc e smartphone, ma fin dal momento in cui si digitano le proprie credenziali di accesso: è l’americana AuthenWare, il cui sistema inizia a monitorarci già quando digitiamo i caratteri che compongono il nome utente e la password. Se, per esempio, il ritmo con cui si batte la tastiera non coincide (entro certi limiti) con l’originale, l’accesso è negato. Altra caratteristica curiosa di questa tecnologia è la possibilità di usare una melodia come password: in pratica, un hacker che voglia rubare o semplicemente usare un dispositivo altrui dovrebbe conoscere la musica scelta dal proprietario ed essere in grado di suonarla con un dito in una zona prestabilita dello schermo, riproducendo per altro pure il ritmo previsto dal titolare. Al momento la stanno testando i dipendenti stessi dell’azienda!
E se tanto interesse per queste tecnologie (e soprattutto, i grandi investimenti che muovono) vi sembra esagerato, attenzione: i crimini digitali ormai stanno diventando una spina nel fianco per molte aziende, in termini di danno di immagine oltre che economico. Quest’ultimo è stato quantificato in una cifra attorno ai 445 miliardi di dollari l’anno da McAfee, società specializzata in sicurezza informatica. Tutto ciò senza tenere conto delle conseguenze che i furti di dati personali hanno quando a essere colpite sono grandi aziende che dovrebbero custodirli con cura. Ne sa qualcosa eBay, che lo scorso maggio ha subito una violazione dei propri sistemi di sicurezza che ha compromesso gli account di oltre 200 milioni di utenti...
Silvia Ronzio