Tra le più recenti modalità di autenticazione ai sistemi informatici spicca anche il riconoscimento facciale, ritenuto potenzialmente più sicuro della cara vecchia password perché sfrutta parametri biometrici difficilmente replicabili da terzi. Questo non è sempre vero: i ricercatori della University of North Carolina hanno scelto di indagare ulteriormente questo metodo e di testarne la solidità, con scoperte abbastanza inquietanti. Gli esperti sono infatti riusciti a bypassare i sistemi di verifica di ben quattro soluzioni di sicurezza sulle cinque totali messe alla prova (Keylemon, Mobius, Truekey, Bioid e 1D), sfruttando ricostruzioni a tre dimensioni dei visi di alcune persone iscritte per esempio a Facebook.
I ricercatori hanno chiesto a venti volontari il permesso per recuperare loro foto presenti sul Web, attraverso i più diffusi social network e tramite le ricerche di Google. Per ognuno di loro, ha spiegato il team universitario, è stato possibile rintracciare dalle tre alle 27 fotografie: un numero impressionante, hanno spiegato gli esperti.
Partendo da queste immagini i ricercatori hanno poi realizzato dei rendering a tre dimensioni dei volti, aggiunto delle animazioni facciali e modificato gli occhi per far sì che “guardassero” dritto nella fotocamera. Le applicazioni di riconoscimento testate sono infatti tutte disponibili su Google Play Store e su iTunes e servono generalmente per bloccare l’accesso allo smartphone.
Risultato: con immagini mediamente di bassa qualità (e poi modificate con rendering grafico) è stato possibile “imbrogliare” le app nell’ottanta per cento dei casi. Con fotografie scattate volontariamente ai partecipanti allo studio si è arrivati anche al cento per cento. La falsificazione dei metodi di autenticazione facciale può avvenire anche con foto a due dimensioni e video. “È notorio che la biometria del volto è più facilmente falsificabile rispetto, per esempio, alle impronte digitali o a quella dell’iride”, ha spiegato Anil Jain, ricercatore della Michigan State University.
Image credits: Department of Computer Science - Unc Chapel Hill
Ma non è sempre detto che la qualità dell’immagine recuperata (o elaborata al computer) sia sufficiente per riuscire a bypassare i sistemi di autenticazione. Per risolvere potenzialmente il problema alla radice, i dispositivi potrebbero incorporare hardware dedicato per la lettura dei parametri biometrici. “Ma questo apre uno scenario importante di costi-benefici”, soprattutto nel caso degli smartphone che presentano una superficie molto limitata rispetto ai computer, ha spiegato True Price, uno degli autori dello studio.
“Alcuni vendor, in particolare Microsoft con il software Windows Hello, utilizzano già oggi soluzioni commerciali basate su hardware alternativo”, ha aggiunto Price. I produttori dovranno così valutare gli eventuali benefici che potrebbero derivare dall’implementazione di componenti specializzati, come fotocamere a infrarossi o sistemi a luce strutturata per proiettare pattern direttamente sulle superficie dell’oggetto (in questo caso il corpo) e riconoscerne così le forme in modo inequivocabile.