Nel mondo cyber, l’autenticazione biometrica sta rapidamente guadagnando popolarità come alternativa più semplice e sicura ai metodi di sicurezza tradizionali come password, One-time password (Otp) e hard token. A differenza di questi metodi convenzionali, che si basano su qualcosa che si conosce (come una password) o che si possiede (come un hard token), l’autenticazione biometrica sfrutta qualcosa che si è: caratteristiche fisiche uniche come le impronte digitali, i tratti del viso o persino i tratti vocali. Questo cambiamento è dovuto alla comodità e alla maggiore sicurezza che la biometria offre: è più difficile copiarla o rubarla rispetto ad una password o ad un token, i quali possono essere dimenticati, persi o violati. La biometria è inoltre veloce e già ampiamente utilizzata: la maggior parte di noi usa l’autenticazione biometrica ogni giorno per sbloccare il proprio telefono. Al mondo d’oggi, dove le violazioni di dati su larga scala e gli attacchi di phishing sembrano essere un evento quotidiano, mantenere la privacy dei dati degli utenti online non è mai stato così importante.

Questo vale anche per il mondo biometrico: ogni volta che ci scattiamo un selfie per autenticarci, che sia per accedere al nostro dispositivo o per effettuare un pagamento, i nostri dati vengono catturati e memorizzati da qualche parte. Dove vanno a finire esattamente, e fino a che punto rimangono privati, dipende dal sistema biometrico utilizzato. Attualmente esistono due sistemi biometrici principali, ognuno dei quali presenta dei vantaggi per quanto riguarda la privacy dei dati e l’esperienza dell’utente.

Un approccio alla biometria legato al dispositivo (o “locale”) garantisce che i dati non lascino mai il dispositivo. Tecnologie come FaceID di Apple funzionano in questo modo. È facile da configurare e da usare. Ma se si perde il telefono, anche le informazioni biometriche vengono perse, quindi è necessario iscriversi nuovamente per recuperare il proprio account. Inoltre, non sarebbe possibile utilizzare i dati biometrici Apple per autenticarsi su un dispositivo Samsung: bisognerebbe iscriversi nuovamente. In termini di sicurezza, la biometria locale è vista anche come un “fattore di convenienza”: chi possiede il Pin del telefono può comunque accedervi. Questo ha in parte contribuito all’ascesa della biometria lato server (o “centralizzata”). Questo approccio assomiglia alla biometria locale, ma i dati biometrici vengono memorizzati su un server cloud, come Aws di Amazon. Ogni volta che è necessario autenticarsi, il telefono confronta il selfie di autenticazione con i dati presenti nel cloud. È comodo perché i dati biometrici non sono vincolati al dispositivo dell’utente: se il dispositivo è dotato di fotocamera, è possibile utilizzarlo per l’autenticazione. E se si perde il telefono, si può comunque accedere ai dati biometrici da un altro dispositivo. Tuttavia, è considerata meno privata della biometria locale, perché l’azienda che gestisce il server ha accesso ai nostri dati. È anche più suscettibile alle violazioni dei dati: se il server è compromesso, lo sono anche i nostri dati.

Keyless ha creato una terza opzione, che ha chiamato Zero-Knowledge Biometrics, o Zkb. Combina la privacy dei metodi locali con la comodità dei sistemi centralizzati, non memorizzando i dati biometrici da nessuna parte, né sul dispositivo né sul cloud. Zkb trasforma i dati biometrici in modo che non siano più considerati legalmente dati biometrici. Il processo si affida ai server, offrendo i vantaggi di usabilità di un sistema centralizzato, ma i dati che lascia il dispositivo sono crittografati in modo che nessuna entità – né Keyless né il server cloud – possa vederli o accedervi, offrendo i vantaggi di privacy della biometria locale. Zkb consente a Keyless di autenticare gli utenti lungo tutto il ciclo di vita del cliente, dall’accesso, al pagamento, fino al recupero dell’account. La biometria è la forma più forte di autenticazione e riduce drasticamente il furto di account rispetto ai metodi di autenticazione tradizionali. Grazie a Keyless ora è possibile farlo proteggendo la privacy.

www.keyless.io