Sicurezza informatica con la Biometria

di Silio Andronaco

31 Agosto 2007 09:00

logo PMI+ logo PMI+
Anche negli ambiti aziendali la biometria potrebbe risolvere i problemi nell'identificazione delle attività delle persone. Vediamo cosa è la biometria e in cosa consiste

In tutti gli ambienti che utilizzano strumenti informatici si riconosce alla sicurezza un posto di primo piano. Ciò è ancor più vero nel caso di ambienti aziendali, piccoli o grandi, in cui le informazioni rappresentano spesso uno degli asset di più grande valore. Tra gli ambiti in cui la sicurezza informatica è determinante vi è la verifica delle identità delle persone che accedono a dati o agli ambienti in cui essi sono conservati. In questo caso il livello massimo di sicurezza è dato dalla biometria, alla cui introduzione è dedicato questo articolo.

Attualmente gli strumenti di identificazione personale più semplici sono basati sul possesso di un token, come per esempio una carta di credito o un documento, o sull’utilizzo di una password. Entrambi i metodi hanno i loro inconvenienti. Infatti il token può essere rubato o clonato, permettendo così che qualcun’altro si identifichi al posto nostro, e la password può, a secondo del livello di complessità, essere facile da craccare (o carpire), oppure diventare troppo scomoda da gestire anche per il legittimo possessore, con conseguente necessità di conservarla scritta da qualche parte, e quindi rischio di perdita o furto. Per tentare di ovviare a questi inconvenienti spesso i due metodi vengono associati, accoppiando, alla presenza del token, l’uso di una password, generalmente di tipo ‘debole’, come nel caso delle comuni carte bancomat. Il rischio che qualcuno possa spacciarsi per noi rimane comunque alto.

A questi inconvenienti si tenta di fare fronte ricorrendo a metodi di autenticazione basati sulla biometria. Questa scienza, che affonda le sue origini nell’antropologia e nella criminologia del diciannovesimo secolo, si basa sull’osservazione di variabili fisiologiche (come le impronte digitali) e comportamentali (come la voce) che, come noto, sono peculiari di ciascuno di noi. Queste caratteristiche possono essere analizzate con appositi algoritmi e confrontate per l’identificazione con un modello (template) precedentemente archiviato. I sistemi di identificazione biometrici "trasformano", per così dire, le nostre caratteristiche fisiche in una sorta di ibrido fra un token, che non può essere smarrito o dimenticato, e una password di tipo forte, quindi difficile, se non impossibile, da copiare o distribuire. Inoltre, ricorrendo a una caratteristica biometrica, l’effettiva presenza della persona da identificare è quasi certa. E necessario dire "quasi" perché bisogna sempre ricordare, come principio teorico di massima, che qualunque misura di sicurezza può essere aggirata. Quindi è sempre una buona regola associare la biometria agli altri metodi di identificazione. Pertanto oggigiorno il "paradigma" della buona verifica dell’identità personale può essere così sintetizzato: Something you have, something you know, something you are. Qualcosa che hai (il token), qualcosa che conosci (la password), qualcosa che sei, cioè una caratteristica biometrica.

Fino poco tempo fa le tecnologie biometriche erano appannaggio dell’Intelligence di poche grandi potenze. La maggior parte di noi le vedeva solo al cinema, nei film di spionaggio o di fantascienza. Oggi sono una realtà concreta che fa sempre più parte della nostra vita e che può essere applicato anche alle realtà aziendali.

Le caratteristiche biometriche

Molte delle nostre caratteristiche fisiologiche possono essere analizzate con metodologie matematico-statistiche ma, per essere rilevanti ai fini biometrici, occorre che esse rispondano a determinati requisiti. Devono infatti essere presenti in tutti gli individui da esaminare, essere facilmente distinguibili fra un individuo e un altro, e risultare abbastanza permanenti da rimanere invariate nel tempo.

Esistono poi delle tecniche biometriche per rilevare alcune caratteristiche comportamentali quali l’esecuzione dinamica della firma, la voce, l’utilizzo del mouse o della tastiera, il ciclo di camminata e così via. Alcuni ricercatori di lingua inglese utilizzano in questi casi il termine behaviometrics, da Behavior (=comportamento).

L’acquisizione Biometrica

Il processo di acquisizione della caratteristica richiede la presenza di un qualche tipo di sensore. I sensori sono un componente cruciale del sistema biometrico. Devono essere in grado di funzionare in maniera veloce ma accurata. Inoltre non devono essere ingannati da tentativi di frode. In genere l’informazione viene acquisita sotto forma di immagine, ma può anche trattarsi di qualcos’altro, specie nel caso in cui si debbano rilevare delle caratteristiche comportamentali. I dati così ottenuti richiedono, in genere, una fase di pre-elaborazione, per ridurre i fattori di disturbo e trasformare il campione in quella che viene detta una forma normale. In seguito avviene l’estrazione della caratteristica, con algoritmi estremamente vari, a seconda dei casi.

La prima volta che ciò avviene ci si trova nella fase detta di iscrizione (Enrollment), nella quale il template viene immagazzinato su un supporto permanente, che può essere, per esempio, una scheda o un Database. Le volte successive verrà invece effettuato il confronto (Matching) fra il template archiviato e quello appena generato. Le fasi cruciali sono quindi la generazione del template, che deve essere il più possibile aderente all’originale, e il Matching, che non deve produrre erronei riconoscimenti, detti "falsi positivi", nè fallire il riconoscimento, generando un "falso negativo".

Di seguito passeremo in rassegna le tecnologie più diffuse per valutarne le caratteristiche e i possibili utilizzi: il riconoscimento facciale, le impronte digitali, la geometria della mano, la scansione dell’iride e, in ultimo, il DNA. Nelle directory dedicate alla sicurezza di PMI.it potrete infine trovare diverse schede tecniche degli apparati che possono mettere in pratica questi principi nella vostra azienda.

Il riconoscimento facciale

Il riconoscimento facciale si basa sull’identificazione di una serie di punti del volto relativi a: posizione degli occhi, angoli della bocca e così via. Negli anni ’70 furono sviluppati degli algoritmi che, basandosi su opportuni markers, quali il colore dei capelli e lo spessore delle labbra rendevano automatico il riconoscimento. Alcune tecnologie prevedono l’utilizzo di un modello bidimensionale (2D). Praticamente una fotografia, che viene analizzata attraverso una tecnologia detta eigenfaces. Altre tecnologie utilizzano invece un modello tridimensionale (3D) del volto. In genere i metodi basati su 3D sono più veloci e più accurati, ma richiedono delle periferiche più complesse per la loro implementazione.

Il riconoscimento facciale non è quindi un metodo molto appropriato per la verifica dell’identità personale, ma presenta comunque una sua utilità nel passare in rassegna un grande numero di immagini allo scopo di identificare soggetti prestabiliti. Grazie a questa tecnica è stato possibile, per esempio, dopo l’attentato alle Twin Towers dell’11 Settembre 2001, seguire gli spostamenti dei terroristi nei giorni precedenti, analizzando le riprese delle telecamere di sicurezza presenti in svariati luoghi pubblici.

Le impronte digitali

Vengono usate dalla seconda metà dell’800, quando Sir Francis Galton identificò una serie di punti atti a consentirne il riconoscimento. L’automazione è cominciata a partire dagli anni ’60, ricorrendo a un sottoinsieme dei punti di Galton indicato col termine latino "minutiae". Negli Stati Uniti il Federal Bureau of Investigations (FBI) si è interessato, fin dagli anni ’70 al processo di classificazione, ricerca e confronto delle impronte digitali, contribuendo anche allo sviluppo di scanners appositi. Oggi esistono vari sistemi automatizzati per l’identificazione delle impronte digitali (AFIS = Automated Fingerprint Identification Systems). La necessità di renderli intercompatibili ha portato allo sviluppo dell’IAFIS (Integrated AFIS), i cui componenti principali, sviluppati per l’FBI dalla Lokeed Martin, sono operativi dal 1999.

Si tratta di una tecnologia che può essere facilmente implementata facendo ricorso a periferiche di piccole dimensioni. Per questo è facile prevederne una grande diffusione nei prossimi anni.

Geometria della mano

È stato il primo sistema biometrico ad essere implementato. Sviluppato e brevettato da David Sidlauskas nel 1985, è stato reso disponibile commercialmente l’anno dopo. Nel 1996 è stato utilizzato nel corso dei Giochi Olimpici di Atlanta per controllare l’accesso al Villaggio Olimpico. Molte compagnie sono ricorse a questo sistema nel corso degli anni. Un metodo simile è stato utilizzato nel parco di divertimenti Walt Disney World per facilitare l’accesso al pubblico. Si basa su una lastra trasparente dotata di cinque supporti per posizionare la mano col palmo rivolto in basso. Apposite telecamere catturano delle immagini del profilo, che viene quindi misurato con idonei algoritmi.

Questo sistema biometrico è fortemente influenzato dalla complessità della periferica richiesta, e ciò ne limita l’ambito di diffusione a sistemi di controllo degli accessi in aree ristrette e/o a pagamento.

Scansione dell’iride

L’idea di utilizzare la scansione dell’iride per l’identificazione personale fu proposta nel 1936 dall’oftalmologo Frank Burch. Due suoi colleghi, Leonard Flom e Aran Safir, proposero nel 1985 il concetto che non esistono due iridi identici. Due anni dopo ottennero per questo il riconoscimento di un brevetto. Un ulteriore brevetto fu riconosciuto nel 1994 al ricercatore dell’università di Cambridge John Daugman, per il suo algoritmo che consente di automatizzare l’identificazione dell’iride. Nel 1995 fu reso disponibile il primo prodotto commerciale. I primi clienti furono le grandi aziende del settore bancario. In seguito furono sviluppate anche soluzioni complete per i trasporti: dall’acquisto del biglietto aereo on line, al controllo di frontiera, e all’accesso ad aree ristrette negli aeroporti. Per chi vuole saperne di più il sito di Iridian Technologies è un buon punto di partenza.

Il DNA

È ancora tema di dibattito se l’analisi del DNA debba essere considerata parte della biometria. Fra le ragioni per non farlo vi è il fatto che essa richieda il prelievo fisico di un campione, e non un semplice rilevamento. Inoltre il procedimento non può avvenire in tempo reale, e neppure in maniera automatica. Infine c’è da rilevare che nel caso dell’analisi del DNA, non vi è una fase di matching analoga a quella utilizzata dalle altre tecnologie. Tale processo avviene infatti di regola confrontando due templates simili fra di loro, ma non identici. Nel caso del DNA il matching è invece ridotto alla semplice verifica di una identità.

Probabilmente questa tecnologia richiederà ancora numerosi progressi, nei prossimi anni, per diffondersi in maniera adeguata. Si tratta comunque del metodo più certo di cui oggi si dispone per la verifica dell’identità.