Le password sono il metodo di autenticazione più usato per accedere a computer e reti. Possono essere rubate, ma c'è una soluzione perfetta a questo problema: l'autenticazione biometrica. O meglio, così sembrava. Fino a quando i ricercatori di Cisco Talos hanno scoperto che anche le impronte si possono contraffare. Senza avanzatissimi strumenti alla James Bond: basta una stampante 3D economica.

Paul Rascagneres e Vitor Ventura si sono concentrati sulle impronte digitali perché sono più usate rispetto al riconoscimento facciale, alla scansione della retina e delle vene nel palmo della mano. Alla base del successo delle impronte è il fatto che sono un segno di riconoscimento unico per identificare una persona. Sono intuitive, facili da usare e in teoria non possono essere riprodotte. Ormai si usa l'impronta per accedere a tutti i tipi di dispositivi, dai notebook agli smartphone, passando per le unità USB e altro.

La ricerca è stata molto lunga e noiosa. Ci sono voluti tre mesi per individuare i materiali e le tecniche giuste per centrare l'obiettivo. I ricercatori hanno creato uno stampo con la stampante 3D. Le dimensioni di quest'ultimo hanno dato molto filo da torcere, perché quando la resina veniva polimerizzata alla luce UV, lo stampo cambiava dimensione. Dato che le impronte digitali sono misurate in nanometri, basta un leggero cambiamento per far fallire la scansione. Il team ha realizzato oltre 50 stampi durante il progetto.

Realizzati gli stampi adeguati, li hanno riempiti con colla per tessuti per ricreare l'impronta. L'idea ha funzionato. Le impronte false realizzate come descritto sopra hanno registrato un tasso medio di successo dell'80% circa. Questo significa che c'è un'elevata probabilità di sbloccare uno dei dispositivi testati.

Sicurezza a più livelli

La ricerca non boccia del tutto l'uso delle impronte digitali come metodo di autenticazione. Anzi. Dimostra che si confermano un buon metodo per la protezione della privacy di un utente medio, per il quale presenta evidenti vantaggi e offre un livello di sicurezza tanto adeguato quanto intuitivo.

Tuttavia, se una persona viene presa di mira da un attaccante motivato, l'impronta non sarebbe un ostacolo insormontabile. In altre parole, chi custodisce segreti importanti non dovrebbe fare affidamento sulle impronte per tenerli riservati. Gli attaccanti a cui si fa riferimento sono quelli ben finanziati (come le agenzie di sicurezza o i gruppi sponsorizzati da stati-nazione). Se l'utente reputa di essere un potenziale bersaglio di questi gruppi farà bene a proteggere in altro modo i dispositivi che contengono informazioni riservate. Ad esempio usando password complesse e autenticazione a più fattori.

Le organizzazioni e le aziende devono essere consapevoli di quanto detto e, a seconda del profilo di minaccia di ciascun utente, potrebbero sconsigliare l'uso delle impronte come sistema di sicurezza.

Prodotti e rischi

I ricercatori fanno notare che alcune tecniche di riconoscimento delle impronte hanno la stessa affidabilità di sei anni fa. Sei anni in cui tecnologie come la stampa 3D hanno fatto passi da gigante. Si spiegano in questo modo i problemi del sensore installato sui Samsung Galaxy S10.

Il nocciolo della questione, infatti, è che la stampa 3D si è evoluta al punto tale che una stampante domestica a basso costo è in grado di stampante la resina con una risoluzione in scala di micron. Chiunque, con le giuste conoscenze e motivazioni, può creare un'impronta digitale falsa. Non solo, con adeguate risorse è possibile replicare impronte anche su larga scala.

Questo, unito alla democratizzazione dell'uso dell'autenticazione tramite impronta digitale, ha fatto sì che le copie dei dati biometrici siano aumentate rispetto al passato. La tecnica messa a punto dai ricercatori di Cisco Talos ha funzionato non solo sugli smartphone, ma anche su notebook, lucchetti e pendrive USB.I prodotti usati per i test erano realizzati da Apple, Microsoft e Samsung. Fra questi c'erano iPhone 8, Samsung S10, Macbook Pro 2018, Lenovo Yoga e AICase Padlock. I ricercatori hanno effettuato 20 tentativi di autenticazione su ciascuno dei 13 dispositivi disponibili, usando la migliore impronta digitale falsa che sono stati in grado di creare.

Su alcuni prodotti i test non hanno avuto successo: il Samsung A70 non ha concesso l'accesso all'impronta digitale falsa. I ricercatori però hanno sottolineato che l'A70 aveva un basso tasso di autenticazione anche con impronte digitali legittime.
Anche i dispositivi con Windows 10 hanno resistito. Ma anche qui, il fatto che non sia stato possibile entrare nel sistema non significa necessariamente che sia più sicuro. È andata meglio (o peggio a seconda dei punti di vista) con il MacBook Pro, con cui è stato raggiunto un tasso di successo del 95%. Livelli simili per Honor 7x e Samsung S10. I risultati sono stati condivisi con tutti i produttori dei dispositivi testati.