L’uso di password per l’autenticazione spesso obbliga gli utenti a creare e memorizzare combinazioni diverse di lettere, numeri e simboli.
Cambiare frequentemente password e non utilizzare la stessa per diversi account sono sicuramente degli ottimi consigli, ma con l’aumento di servizi e strumenti digitali è quasi inevitabile la tendenza a dimenticarsi delle più basiche norme di sicurezza.
Secondo il “Verizon Data Breach Investigations Report” del 2019, l’80% delle violazioni legate all’hacking riguardava credenziali compromesse e deboli, e il 29% di tutte le violazioni riguardava l’uso di credenziali rubate. Inoltre, il costo delle violazioni risulta sempre più elevato in termini economici e sociali, sia per l’azienda o il servizio che la subisce, sia per l’utente che vede rubati i propri dati personali.
Il rapporto del World Economic Forum datato gennaio 2020 (“Passwordless Authentication: The next breakthrough in secure digital transformation”), pone delle serie domande sull’efficacia della classica autenticazione con password, per poi esplorare un futuro dove le password non esistono affatto, introducendo il concetto di Passwordless Future.
Alcuni leader del settore (Lenovo, PayPal, Google, Microsoft e altri), riuniti nell’alleanza FIDO (Fast IDentity Online), stanno già spingendo per standard di autenticazione più forti. In particolare, queste realtà stanno valutando di passare da un sistema “Something you know” (ad esempio, una password) a dei sistemi più sicuri come il “Something you have” (ad esempio, un badge) o il “Something you are” (ad esempio, con il riconoscimento facciale). Questi ultimi in particolare fanno parte della categoria “Passwordless”, che si basa sull’identificazione dell’utente tramite metodi che non richiedono l’inserimento di una password, quali ad esempio sistemi biometrici, hardware e QR code.
Secondo il report del WEF, l’autenticazione senza il classico “sistema password” offre quattro vantaggi chiave rispetto all’autenticazione tradizionale:
- Un vantaggio di tipo finanziario, aumenta i ricavi e riduce i costi:
La sicurezza informatica è sempre stata tradizionalmente percepita come una delle più grandi voci di costo per un’azienda. Il vantaggio finanziario, quindi, è forse il motivo più importante per cui le aziende dovrebbero considerare la transizione all’autenticazione senza password. Non solo riduce i costi associati alla gestione delle password, alle violazioni dei dati e alla gestione del rischio, ma migliora effettivamente i ricavi attraverso una maggiore produttività e una valutazione positiva dei clienti. A confermare questo fatto, il settore dei servizi finanziari si trova attualmente in prima linea nell’adozione di tecnologie di autenticazione di nuova generazione, avendo verificato un impatto significativo sul ROI (Return On Investment); - Fornisce una migliore esperienza utente agevolando il cliente finale:
Se l’esperienza di autenticazione di una piattaforma è scadente, i clienti preferiranno una piattaforma con servizi inferiori, ma una migliore esperienza. In altre parole, l’autenticazione senza password sta diventando un elemento di differenziazione competitivo. Essa è in grado di emulare il modo in cui gli esseri umani si sono riconosciuti l’un l’altro per millenni: cercando o identificando tratti personali, come viso, altezza o forma del corpo; - Da un punto di vista strategico, può aiutare a ridefinire la concorrenza tramite il valore dell’interoperabilità:
Adottare un approccio basato su uno standard comune significa che il lavoro di implementazione viene in gran parte già svolto tramite un’API pubblica che gli sviluppatori Web possono facilmente utilizzare. I fornitori invece, possono iniziare più rapidamente a distribuire il servizio attraverso un framework scalabile; - Migliora notevolmente la sicurezza:Non richiedendo la memorizzazione di informazioni personali per scopi di autenticazione, nessuna informazione viene trasmessa all’interno della Rete, rendendo virtualmente impossibili gli attacchi man-in-the-middle.
Inoltre, non esiste un set di dati biometrici dell’utente a cui accedere per autenticarsi, di conseguenza, la probabilità di frode online e furto di identità è notevolmente ridotta.
All’interno di questo settore, la startup italiana Vemini, fondata nel 2019, vuole giocare un ruolo da assoluta protagonista.
“We redefine the paradigm of authentication”: è questa la mission che Vemini si propone di portare avanti. L’obiettivo è quello di creare un punto di rottura con le tecnologie precedenti riguardanti il concetto di autenticazione e sicurezza. Oggi i clienti sono costretti ad istituire un account diverso per ogni servizio utilizzato, e la raccomandazione che viene fatta prima della creazione di un qualsiasi account è scegliere una password sicura, tenendo conto di determinate caratteristiche, di non utilizzarla mai su altre piattaforme e di non scriverla da nessuna parte. Come può un sistema del genere sopravvivere in un presente sempre più ricco di servizi digital e, pertanto, di identità digitali diverse e complesse sia da utilizzare che da proteggere?
Tale criticità viene sottolineata da Nicolò Debenedetti: “La security non deve essere qualcosa di complesso, se lo è la gente perde l’attenzione a riguardo, si rende più vulnerabile e si espone”. Il discorso si accentua se si prende in considerazione il caso specifico dell’Italia, il paese più vecchio d’Europa: “L’economia Italiana è sostenuta da persone anziane, per cui è fondamentale che queste ultime sappiano utilizzare determinate tecnologie”. Niente più password, codici o badge, ma una identità digitale sicura ed un protocollo di autenticazione semplice, diretto e comprensibile per tutti: Vemini si propone di rivoluzionare un ramo fondamentale della Cyber Security. Come attuare tale rivoluzione? Ridefinendo il paradigma di accesso di sicurezza e processo di autenticazione attraverso una soluzione che sia resiliente ad errori umani, nonché alle vulnerabilità legate alla centralizzazione e a possibili insidie future.
La soluzione che Vemini propone è un ecosistema omnicanale per l’autenticazione e la gestione dell’identità decentralizzata, basate sull’identità biometrica; in particolare, il sistema si regge su tre caratteristiche fondamentali:
- Biometrica: Vemini offre una piattaforma di accesso privo di password nella quale ogni VEMINI ID viene associato all’identità biometrica dell’utente basata sulla tecnologia chiamata SoulScan: essa è incentrata sulla scansione delle vene del palmo della mano attraverso l’utilizzo della migliore tecnologia disponibile di raggi a infrarossi che permettono un tasso di falsa accettazione minore dello 0,001%;
- Connettività IoT: un singolo punto di accesso per l’IoT rimarrà connesso al pannello di controllo. Questo tipo di connessione permette una gestione remota di ogni punto di accesso, stabilendo diversi livelli di credenziali in un ecosistema distribuito;
- Blockchain: il protocollo di sicurezza VEMINI utilizza una struttura multi-storage integrando una tecnologia a registri distribuiti al fine di immagazzinare ogni identità digitale biometrica prevenendo qualsiasi potenziale singolo punto di attacco dato da punti di storage centralizzati. Tale struttura non è altro che un registro digitale: all’interno del registro tutte le voci sono organizzate in blocchi concatenati tra loro in ordine cronologico e crittografati. Il contenuto di ogni blocco è immodificabile e ineliminabile.
Tali caratteristiche, definite dall’azienda stessa come la propria “sacra trilogia”, permettono di creare il primo ecosistema aperto che sia “private by design” e che non necessiti, come nei casi delle tecnologie di protezione dell’identità digitale tradizionale, di un trade off tra sicurezza e usabilità. Le tecnologie sono state integrate all’interno di un protocollo sviluppato da Vemini chiamato Decentralized Multilayered Identity Fragmentation (DMIF). Quest’ultimo utilizza una specifica tecnologia chiamata “Distributed ledger” che viene associata alla crittografia asimmetrica e alla biometria. Per queste caratteristiche, il DMIF non solo è più performante e sicuro dei tradizionali strumenti basati sull’autenticazione tramite password, ma è anche potenziato rispetto ad altri standard innovativi come FIDO (Fast Identity Online) poiché non fa riferimento a meccanismi di “proof of knowledge”, né a database centralizzati per la gestione dei dati personali credenziali. Questo rende VEMINI una soluzione completamente priva di password ed estremamente più sicura, immediata, difficile da attaccare.
Come si pone tale tecnologia nei confronti di alternativi sistemi di autenticazione digitale? Attualmente le alternative sono il riconoscimento facciale, l’impronta delle dita, il riconoscimento vocale, la scansione delle vene delle dita ed il riconoscimento tramite retina. Mentre il riconoscimento vocale è una tecnologia che meglio si associa ad altre tipologie di servizi (es. Siri), le due tecnologie più insidiose da un punto di vista di diffusione e di esperienza di utilizzo sono il riconoscimento facciale e l’impronta delle dita: quasi ogni mobile device è ad oggi fornito di una delle due tecnologie, mentre nessuno smartphone è dotato di tecnologia di riconoscimento di vene del palmo. Abbiamo deciso quindi di mettere a confronto il riconoscimento facciale ed il SoulScan per comprendere quale sia migliore sotto diversi punti di vista.
Dal punto di vista della privacy, il riconoscimento facciale mostra diverse criticità, questo perché il viso è un elemento dell’uomo che, a prescindere dalla recente pandemia da Covid-19 che costringe le persone ad indossare le mascherine, risulta facile da poter identificare a distanza, velocemente e senza consenso. La tecnologia di scansione 3D mostra delle percentuali di errore minori rispetto alla tecnologia 2D, tuttavia entrambe mostrano tassi di errore non trascurabili. Dall’altra parte, la scansione delle vene del palmo della mano è una tecnologia “private-by-design”, impossibile da copiare e molto difficile da catturare se non attraverso una camera ultra HD che utilizzi raggi infrarossi a bassissima distanza.
Quanto alla precisione delle tecnologie prese in considerazione, anche in questo caso è possibile denotare una differenza considerevole. La precisione delle tecnologie di riconoscimento biometrico può essere valutata in base a due fattori: il False Rejection Rate (Tasso di falso rifiuto) ed il False Acceptance Rate (Tasso di falsa accettazione).
Dal grafico sovrastante è possibile notare come le due tecnologie siano tra di loro agli antipodi: la Palm Vein technology è 260 volte più accurata in termini di FRR e 130,000 volte più accurata in termini di FAR. Inoltre, il riconoscimento facciale è stato provato essere meno efficace su donne e persone di colore. Tali dati ci consentono di constatare che da un punto di vista di sicurezza VEMINI offre una tecnologia all’avanguardia, anche rispetto a tecnologie largamente sfruttate ed estese in determinati mercati come quello degli smartphone. Converrebbe quindi introdurre la Palm Vein technology anche negli smartphone? No. Nonostante la minor precisione, il riconoscimento facciale si sposa estremamente bene con le necessità di uno smartphone: l’accesso rapido senza dover eseguire alcuna azione fa sì che la totalità dell’accesso ai dati sensibili sia sottoposta al consenso dell’utilizzatore. Pertanto, il riconoscimento facciale è sì più conveniente, ma solo quando utilizzato per scopi e devices privati. Quando invece si parla di utilizzo di massa da introdurre in realtà aziendali o pubbliche, prendendo in considerazione una elevata quantità di persone, la scansione delle vene è la soluzione migliore e più sicura.
Per quanto concerne la conformità alle normative e al rispetto della privacy, il riconoscimento facciale può catturare dati sensibili dello user anche senza il consenso; d’altra parte una scansione del palmo delle vene presuppone un consenso automatico: l’interazione con l’hardware ed il processo di autenticazione avvengono solo nel momento in cui si dà il consenso.
Dopo aver fornito una panoramica su alcuni punti focali di entrambe le tecnologie è possibile concludere che il riconoscimento facciale sia una tecnologia più adatta alla diffusione su devices privati, ma che non può essere considerata idonea alla diffusione in aziende o servizi pubblici. Per tali situazioni è invece più semplice, sicuro e conveniente l’utilizzo del Palm Vein scanner.
La tecnologia biometrica di lettura del palmo non è l’unica soluzione all’attuale problema di autenticazione con password: altre tecnologie o processi alternativi sono attualmente in uso o stanno aumentando la loro penetrazione di mercato.
Primo fra tutti, il nuovo protocollo di autenticazione FIDO2 creato dalla FIDO Alliance, di cui fanno parte leader di settore come Apple e Google, sta ricevendo attenzioni ed elogi da più parti del mondo della cybersecurity. Esso è basato su un’ibridazione della cosiddetta multi-factor authentication su “mobile” e di tecnologie biometriche di riconoscimento, come impronta digitale, voce e faccia. Usando il protocollo FIDO2, dopo aver inserito il proprio username, un utente può usare uno smartphone come chiave di accesso al suo account digitale, senza aver bisogno di alcuna password, grazie all’autenticazione data dal sistema biometrico del proprio device.
Alcune startup stanno già rendendo il protocollo FIDO2 disponibile sul mercato, tuttavia la sua estensione di applicazione è prettamente digitale: non è stato strutturato per permettere l’autenticazione in spazi fisici.
Lo stesso si può dire dell’innovazione di processo introdotta dal concetto di autenticazione “zero-trust” o “continuous”. Questi metodi portano un approccio totalmente diverso di percepire la cybersecurity: un’azienda non protegge più il suo perimetro da attacchi esterni, ma monitora in continuazione il comportamento sull’account da parte di ogni utente. Per esempio, un software di questo tipo è in grado di rilevare malware installati sul device dell’utente, oppure riconoscere i pattern usuali di utilizzo da parte dell’utente e confrontarli ogni volta che viene effettuato l’accesso. Nel caso il software rilevasse dei comportamenti sospetti, l’utente verrebbe immediatamente disconnesso dalla sessione.
Ancora una volta, questo protocollo si applica solo in contesti digitali, e difficilmente potrebbe essere replicato in spazi fisici. Inoltre, è evidente un problema di privacy: questo sistema di cybersecurity registra una grande quantità di azioni dell’utente e potenzialmente ottiene l’accesso a molte informazioni sensibili, primo fra tutti l’indirizzo IP.
L’ultima soluzione sotto studio, sebbene ancora in fase iniziale, è l’autenticazione tramite tecnologia blockchain. Si tratterebbe di una vera e propria identità verificata tramite lo stesso principio che regola le transazioni con le criptovalute: un sistema di registro diffuso e non centralizzato, in cui ogni nodo verifica una transazione eseguita. Un’identità di questo tipo sarebbe verificata pubblicamente e quindi difficilmente falsificabile. Potenzialmente, questa tecnologia potrebbe anche essere usata per accedere a spazi fisici e il suo campo di applicazione non è sicuramente limitato a transazioni online. Tuttavia, il percorso per raggiungere una tecnologia di identità blockchain è ancora lungo, stimato tra i 5 e i 10 anni, e dopo di esso dovrà esserci una penetrazione di mercato elevata per garantire accesso a questa tecnologia ad un costo accettabile.
Ad oggi, appare evidente come le soluzioni integrate che utilizzano la biometria godano di un vantaggio competitivo rispetto alle altre, sia per la maturità della tecnologia che per la facilità di adozione della stessa da parte degli utenti.
Vemini si propone come punto di rottura nel mondo della Cyber Security, rivolgendo il proprio sguardo e la propria fiducia verso un futuro sempre più Passwordless. Futuro che appartiene a ragazzi talentuosi, “affamati” e curiosi proprio come Nicolò Debenedetti, founder della startup italiana.
“Nella vita ci sono le cose che sai, quelle che sai di non sapere e quelle che non sai di non sapere, e queste le scopri solo sbattendoci contro, te le ritrovi in faccia” – Nicolò Debenedetti
A cura di Jacopo Carlo Canale, Luca Mocci, Edoardo Alberto Donolato, Francesco Paolo Defendi e Gianni Morelli
del VGen Hub Bocconi
