La più grande violazione dei dati biometrici conosciuta fino ad oggi è stata segnalata di recente quando i ricercatori sono riusciti ad accedere a un database di 23 gigabyte di oltre 27,8 milioni di record, inclusi dati di impronte digitali e riconoscimento facciale.

I ricercatori, lavorando con la società di sicurezza informatica VPNMentor, hanno affermato di essere stati in grado di accedere al sistema di blocco biometrico Biostar 2 che gestisce l'accesso a strutture sicure come magazzini o edifici per uffici. Questo meccanismo di controllo, gestito dalla ditta Suprema, fa parte di un sistema utilizzato da 5, 700 organizzazioni in 83 paesi, compresi i governi, banche e la polizia metropolitana del Regno Unito.

Questa violazione evidenzia un grave problema con i sistemi di sicurezza biometrici che utilizzano efficacemente le misurazioni biologiche delle persone come password. A differenza di nomi utente e password, i dati biometrici non possono essere modificati in caso di furto.

Dato che le violazioni dei dati sono diventate una parte inevitabile del nostro mondo sempre più digitale, significa che la sicurezza biometrica non ha un futuro a lungo termine, come è probabile che un giorno i dati di quasi tutti fluttueranno nel cyberspazio? Forse nel suo formato attuale, ma ci sono anche modi in cui possiamo salvare la biometria e renderla più sicura.

Le password tradizionali sono qualcosa che conosci. Le caratteristiche biometriche sono qualcosa che sei. impronte digitali, scansioni dell'iride, modelli di voce, le foto del viso e delle orecchie e i dati di riconoscimento facciale possono essere utilizzati come un modo per verificare se qualcuno è chi dice di essere e se è molto difficile da falsificare.

I sistemi di autenticazione archiviano in modo sicuro una copia dei dati biometrici grezzi e quando un utente desidera accedere al sistema, le loro caratteristiche vengono confrontate con i dati memorizzati. Una volta solo una caratteristica della fantascienza, i sistemi biometrici sono ora ampiamente utilizzati nelle strutture sicure della vita reale, passaporti e persino l'autenticazione delle impronte digitali nel tuo smartphone.

Ma la natura unica della biometria è anche il suo difetto. I dati biometrici potrebbero fornire un modo per identificare le persone con un alto grado di precisione, ma una volta rubati non c'è nulla che tu possa fare per renderli di nuovo sicuri. Certo, se ti rubano l'impronta digitale puoi sempre usare un altro dito, ma potresti farlo solo 10 volte.

Una volta che qualcuno ha i dati delle tue impronte digitali, è possibile stampare una replica utilizzando inchiostro conduttivo che può ingannare gli scanner biometrici. Ci sono anche esempi di ricercatori che ingannano gli scanner vocali con strumenti di morphing del suono, scanner dell'iride con immagini di replica e scanner del viso con foto e persino testine stampate in 3D.

Ciò significa che è molto importante proteggere i tuoi dati biometrici grezzi da perdite a parti indesiderate. Ma questo diventerà un compito sempre più difficile man mano che riveliamo i nostri dati biometrici a un numero sempre maggiore di fornitori di servizi.

Non passa quasi una settimana senza la notizia di un'altra società a cui sono stati rubati i dati dei suoi clienti. Probabilmente hai dovuto cambiare le tue password in almeno un'occasione per questo motivo. Se un numero sufficiente di persone espone i propri dati biometrici, alla fine alcuni sistemi potrebbero diventare inutilizzabili perché così tanti utenti non saranno in grado di accedervi in ​​modo sicuro.

Nella recente violazione dei dati biometrici, più di 1 milione di persone hanno avuto le impronte digitali, dati di riconoscimento facciale, foto di volti, nomi utente e password rivelati. È stato anche scoperto che gli estranei potevano sostituire i record biometrici nel database con i propri dettagli, esponendo un altro modo per superare i controlli di sicurezza.

Migliorare la sicurezza

Quindi cosa si può fare per rafforzare la sicurezza della biometria? Un modo semplice sono le password. È pratica comune archiviare le password prima crittografandole o "hashing". Questa è essenzialmente una versione unidirezionale della crittografia che trasforma le password in una stringa di caratteri nota come digest del messaggio che è quasi impossibile da decifrare.

Ciò significa che anche se le password crittografate vengono divulgate, gli hacker non possono ottenere le password. I sistemi moderni non memorizzerebbero mai le password nel loro formato di testo normale originale.

Questo metodo può essere applicato anche ai dati biometrici in modo che vengano archiviate solo le versioni crittografate o message digest delle caratteristiche biometriche. Nella recente violazione del database biometrico, tutti i dati sono stati archiviati in formato raw senza crittografia. Ciò significa che gli hacker potrebbero accedere direttamente alle funzionalità biometriche grezze degli utenti e replicarle per accedere a servizi critici.

Un altro modo per rendere più sicuri i sistemi biometrici sarebbe utilizzare blockchain, il sistema dietro le criptovalute come Bitcoin. Con la tecnologia blockchain, puoi archiviare i dati dei clienti in un registro distribuito protetto da crittografia in più computer in tutto il mondo. Ciò significa che solo le parti autorizzate possono accedere ai dati (o ai blocchi di dati), e qualsiasi tentativo di modificare i dati verrà rilevato da qualsiasi altro utente iscritto alla blockchain. È anche possibile creare libri mastri distribuiti privati ​​a cui solo determinate persone possono accedere.

Anche questo potrebbe non essere sufficiente per mantenere i sistemi biometrici sicuri per sempre. I ricercatori hanno recentemente dimostrato che è possibile ingannare gli scanner di impronte digitali usando l'intelligenza artificiale per generare stampe di replica in grado di battere il sistema. Così un giorno, i computer avanzati potrebbero essere in grado di ricreare qualsiasi funzionalità per ingannare il sistema di sicurezza biometrico e far passare un impostore. Ma per ora, se i fornitori di servizi biometrici adottassero alcuni semplici passaggi per rendere i propri dati più sicuri, potremmo evitare di più violazioni che alla fine renderanno questi sistemi obsoleti.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.