Soluzioni tecniche

Password, PIN e Biometria: migliorare l’user experience tra sicurezza e semplicità

23 Novembre 2023

Per accedere ai nostri telefoni cellulari, quasi tutti usiamo da anni PIN, impronta digitale, riconoscimento facciale.

Forse perché ci è stato imposto già alla prima configurazione, ma soprattutto perché è semplice: nel peggiore dei casi devi ricordarti 4 o 6 cifre, altrimenti basta una ditata o uno sguardo al cellulare.

Persino mia mamma (va bene, mia mamma usa Linux, ma è comunque nata a metà del XX secolo) utilizza l’impronta digitale per sbloccare il telefonino, accedere all’app di posta, aprire l’app della PEC, e tutto il resto.

Sui computer invece l’adozione di biometria è molto meno diffusa, anche a livello aziendale. Eppure, è proprio in azienda che il PIN e la biometria portano i vantaggi maggiori. Se sei un IT Manager e stai leggendo questo articolo, l’obiezione spontanea probabilmente sarà:

“Io impongo ai miei utenti password di 20 geroglifici mentre il PIN è di 6 cifre: se lo propongo, abbasso la sicurezza dei miei computer”.

In realtà sai benissimo che si tratta di un’osservazione ingenua e sicuramente errata, al giorno d’oggi. Imporre password troppo complicate come unico modo di accesso a un sistema in realtà fa danno agli utenti più che agli attaccanti. Vediamo perché.

Intanto, la mente umana tende naturalmente a semplificare le cose. Pertanto, l’utente potrebbe inizialmente impostare password estremamente complesse per le prime tre volte, ma potrebbe poi rendersi conto che, cambiando solamente quattro caratteri, la nuova password viene comunque accettata.

Di conseguenza, ci ritroveremmo con password che hanno caratteri per la maggior parte identici. Questo comporta che in caso di un tentativo di “furto” tramite phishing, la nostra password diventerebbe potenzialmente indovinabile con soli 10000 tentativi (una cifra considerevole per una persona, ma relativamente misera per un computer).

Peraltro, per semplificarsi la vita, l’utente potrebbe anche usare il proverbiale post-it (fisico o virtuale) sul monitor, la nota sul cellulare (che peraltro porta in giro; quindi, è ancora più facile che perda), o il bigliettino sotto la tastiera.

Oppure userà le password ciclicamente, per esempio può usare il mese in lettere, il suo compleanno in cifre e un punto esclamativo. Creerà cioè un algoritmo mentale che gli permette di creare password che rispettino i paletti imposti dall’admin ma non siano un pain da ricordare: se l’algoritmo è sufficientemente complesso, indovinare la password anche se ne viene intercettata una vecchia non sarà semplice, ma se l’attaccante rileva una password Aprile17061976!, quanto impiegherà a capire che Novembre17061976! è quella usata ora?

Il comportamento e quindi il problema sono più diffusi di quanto pensi. Secondo questo poll su X (o The Social Formerly Known As Twitter), il 40% degli utenti ha un sistema mentale per generare le nuove password e non si affida a strumenti tecnologici.

Questi approcci sono validi se l’attacco è compiuto da un individuo umano. Gli attacchi automatizzati sono invece ancora più fruttuosi: perché si basano su social engineering e tecnologia.

Fissiamo quindi un paio di punti fermi:

  • Indovinare una password di otto caratteri con computer ad hoc (con diverse GPU di ultima generazione in batteria, specificatamente) è questione non di giorni né di ore, ma di minuti;
  • È semplice per un bot partire da una password nota e creare tutte le varianti con le modifiche più probabili elaborate dagli utenti (ad esempio Aprile17061976! diventa non solo Settembre17061976!, ma Gennaio, Febbraio e così via);
  • Per intercettare una password, un attaccante può agire in diversi modi, ma il più semplice resta il phishing: chiedo all’utente di dirmi la sua password fingendo che la debba cambiare (o con un colpo di genio, chiedendo di cliccare per mantenere le credenziali correnti, che fa leva sulla frustrazione che il cambio password crea negli utenti);
  • Altra possibilità è il keylogging: è vero che presuppone “malware” in senso lato che gira sul computer, ma ci sono antivirus che non li rilevano come virali: in certi casi ci vuole un EDR, almeno;
  • Lo strumento che permette la raccolta più fruttuosa è l’esfiltrazione. Anche qui ci vuole un agente malevolo in esecuzione, ma in quest’ambito le possibilità sono infinite: se adesso premi tasto di Windows + V, appare lo storico degli appunti di Windows.

Scorrili: quante password copiate ci trovi? Se non ce n’è nessuna, sei più bravo della media degli utenti e anche dei tecnici. Se ce ne sono, come le leggi tu le può “leggere” un malware. In più lo stesso tipo di malware esfiltra tutti gli hash di password cachati che trova: da Windows, dai browser, perfino dai password manager.

“Beh, che problema c’è?”, forse stai pensando. “Le password sono crittografate quindi partendo dall’hash ci vogliono anni a ricostruirle…”. Vero, ma un attaccante non tenterà la decrittatura, che è un processo costoso e impegnativo, ma un semplice confronto di stringhe.

Da un hash si può ricostruire (quasi sempre) l’algoritmo di crittografia utilizzato.

Quindi costa molto poco prendere un vocabolario sterminato di possibili password, crittografarle secondo l’algoritmo che ha generato l’hash esfiltrato, e confrontare questo con tutti gli hash generati: se c’è un match, sappiamo la password. Ah, dimentico di dire che confrontare una stringa di 20 caratteri con un miliardo di stringhe di 20 caratteri è un processo che i processori attuali sono in gradi di svolgere nell’ordine di grandezza dei secondi!

Da queste considerazioni discende prima di tutto che le password sono un metodo obsoleto per autenticarsi (e infatti sono state affiancate a tutti i livelli dalla 2FA, prima messa in piedi dalle banche, perché quando si parla di soldi non importa se devo andare tutte le volte a prendere la chiavetta nel cassetto, e poi pian piano da tutto il resto).

Inoltre, si deduce che le password molto complicate non sono necessariamente più sicure di password più brevi e quindi, aumentando il numero e il tipo di caratteri, gli IT manager non aumentano realmente la sicurezza (se non forse quella percepita, cosa che è addirittura controproducente).

Infine, è evidente che ci vogliono strumenti più avanzati per capire se chi si sta loggando è davvero chi dice di essere, soprattutto per il login sul sistema operativo aziendale che quasi mai richiede doppia autenticazione o token.

Posto che lo sforzo per fornire agli utenti metodi di accesso più user-friendly è uno dei motori dell’innovazione degli ultimi anni (si pensi al riconoscimento facciale sui cellulari o altre tecnologie di accesso completamente passwordless), soluzioni come il PIN, con i suoi pochi caratteri, e ancora meglio la biometria alzano la sicurezza dell’accesso in modo esponenziale, seppur facilitando la vita agli utenti.

Non è un paradosso perché:

  • Se configuro il PIN su un computer, quel PIN permetterà l’accesso solo a quel computer, quindi se qualcuno è così bravo da carpirlo, non potrà usarlo su altri PC, servizi, server, firewall aziendali, nemmeno è abbiamo configurato tutti i SingleSignOn del mondo;
  • Sulla macchina dove è configurato il PIN, la chiave privata non è registrata in aree del sistema operativo, ma è salvata dentro il chip TPM: quindi abbiamo un layer fisico che un attaccante deve crackare per ottenerla;
  • Il chip TPM ha delle caratteristiche di sicurezza intrinseche e insormontabili, come una protezione anti-martellamento (o anti-hammering) che implementano attese, blocchi, spegnimenti, richieste di chiavi se un attaccante sbaglia il PIN troppe volte;
  • Parlando poi di biometria, se usiamo impronta o riconoscimento facciale, non ci sono caratteri da digitare e quindi eventuali keylogger restano a bocca asciutta.

Facilitare i flussi di lavoro aumentando la sicurezza

Se quanto hai letto finora ti ha solleticato, quali modifiche puoi iniziare ad attuare oggi stesso per migliorare sicurezza e usabilità sulle reti?

Una soluzione è già integrata nei sistemi Microsoft: con Windows Hello For Business (WHfB), l’implementazione sicura del PIN e della biometria è arrivata su Windows 10 e 11 con workflow facilitati che permettono di usare PIN, impronta digitale e riconoscimento facciale, a seconda dell’hardware del dispositivo.

WHfB si può impostare su domini AD classici, su domini Entra ID (o Azure AD, seguendo la vecchia denominazione), su Intune e anche su domini ibridi.

Inoltre, l’abilitazione di WHfB sulle macchine è il primo step per avere accessi passwordless anche a livelli diversi come l’accesso a siti web o ad applicativi. Ad esempio, password manager come Bitwarden, LastPass1 o 1Password permettono di interfacciarsi con Windows Hello e richiedere PIN o biometria per accedere alle password registrate.

Visto che possiamo poi selezionare le password e non batterle sulla tastiera o copincollarle, superiamo anche il rischio di finire nella rete di un keylogger.

BONUS: 2FA EVERYTHING

Se hai avuto la forza di seguirmi fin qui, ti regalo una pillola che può tornarti utile nella gestione di un altro layer di sicurezza che abbiamo dovuto aggiungere negli ultimi anni: l’autenticazione a due fattori (2FA).

La necessità di creare autenticazione multifattore che prevedano almeno “qualcosa che sai” (la password) e “qualcosa che hai” (il cellulare) rappresenta una delle sfide più pressanti nel campo della sicurezza informatica aziendale.

Da un lato, queste misure sono diventate quasi indispensabili per contrastare le crescenti minacce alla sicurezza; dall’altro, possono risultare fastidiose per gli utenti, che spesso le vedono come un ostacolo o una perdita di tempo più che come una protezione.

La vera sfida per gli IT Manager è creare un ecosistema in cui la 2FA sia non solo sicura, ma anche user-friendly. Per raggiungere questo equilibrio, è fondamentale esplorare soluzioni che rendano l’esperienza dell’utente il più fluida possibile. Una di queste è l’utilizzo di applicazioni mobile come 2FAS, che combinano la sicurezza del Time-based One-Time Password (TOTP) con la comodità delle notifiche push.

Basta un tap sulla notifica e il codice viene scritto automaticamente nel relativo campo della pagina web.

In questo modo, l’autenticazione diventa meno un compito arduo e più una procedura rapida e semplice, migliorando la collaborazione da parte degli utenti, segnando la differenza tra un sistema sicuro che viene effettivamente utilizzato e uno che gli utenti cercano di aggirare, compromettendo la sicurezza di tutti. Solo in questo modo possiamo ottenere un ambiente digitale veramente sicuro e funzionale.

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo agli RMM e dei prodotti di sicurezza (firewall, AV, VA), e gestione del parco macchine e della rete, portando innovazione nell'azienda.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti