Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:14, Bertorello, Marco wrote:
Il 09/11/2021 13:07, Diego Zuccato ha scritto:
Il problema dell'autenticazione biometrica è che non puoi revocare le
credenziali in caso di compromissione...
Credo ci sia un po' di confusione.
l'accesso tramite dati biometrici riguarda l'app di quel dispositivo,
non del conto in banca.
il problema è che se ti rubano i tuoi dati biometrici non li puoi
cambiare o revocare. Una volta che te li hanno rubati non è più
possibile usarli in sicurezza, qualsiasi dato biometrico sia.
Poi metti il caso che per un incidente o altro ho i dati biometrici
usati dalla banca alterati o non usabili... non posso più accedere al
mio conto?
Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione
a quel dispositivo, non delle credenziali biometriche.
Inoltre, si spera, che prima di accedere tramite biometria all'app della
banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim
(con cui ricevere l'sms per resettare le credenziali), ecc...
Come sempre la sicurezza non e' un prodotto, ma una serie di strati
messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere
l'obiettivo.
certamente, usando più sistemi contemporaneamente puoi rendere più
difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su
un dato immodificabile, come i dati biometrici, una volta scoperto
dall'attaccante hai perso un livello... e non solo per l'accesso dove è
stato compromesso, ma per qualsiasi accesso che voglia usare i dati
biometrici.
Però il problema è che spesso si aggiungono tanti livelli e si pensa di
aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo
insieme e non si sono pensati dei punti deboli che permettono di
bypassare tutte le misure si sicurezza adottate.
Ad esempio in questo articolo si mostra come il 30 minuti un esperto di
sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot,
windows, ... è riuscito a ricavare la chiave privata del TPM e avere un
accesso alla rete aziendale.
https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/
Personalmente trovo piu' difficile "copiare" un'impronta digitale che
non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di
non dover ricordare mille codici di sblocco (che giustamente devono
essere differenti una dall'altra).
mi è venuto in mente un articolo in ci descriveva una macchina di lusso
che poteva essere messa in funzione solo con l'impronta digitale del
proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori
e gli hanno tagliato un dito per poter scappare con essa.
In ogni caso se il tuo dispositivo è compromesso l'attaccante può
rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non
ha bisogno del bicchiere o di altro.
Una volta che ti ha rubato la tua impronta digitale, puoi cambiare
sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani
dell'attaccante
Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e
clonarli molto facilmente. Ad esempio il riconoscimento facciale può
essere derivato da 1 o più foto di una persona.
L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il
GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad
esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non
da forze dell'ordine e solo per casi specifici. Non si potrà neanche
usare algoritmi per determinare sesso, religione, ... di gruppi di persone.
Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle
banche è presente nei regolamenti bancari rilasciati da BCE o altro ente
sovranazionale (ora non ricordo).
Non so se le due cose potrebbero essere in contrasto o meno.
Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: