07/02/2007 di Redazione

L'autenticazione si gioca sulla "percezione"

Le Banche statunitensi stanno utilizzando un nuovo sistema ad immagini, oltre al log-in e password, che in verità le ultime ricerche definiscono apparentemente vincente.

Introduzione

Un team di ricercatori di Harvard e del Massachusetts Institute of Technology hanno appena completato uno studio che confermerebbe il peso, nel settore della sicurezza, della percezione dei consumatori. Nello specifico l'analisi ha riguardato le cosiddette piattaforme di sicurezza basate sull'autenticazione ad immagini. Numerose istituzioni finanziarie, come ad esempio Bank of America, ING Direct e Vanguard, stanno utilizzando infatti modalità di accesso ai servizi di banking che prevedono per gli utenti, oltre al classico log-in e password, la selezione di un'immagine di log. Il concetto di fondo è che se il cliente non vede la sua solita immagine da cliccare è possibile che si trovi in un sito illegale o civetta. Si tratta insomma di una soluzione in più, molto semplice da ricordare - le immagini includono disegni o foto.

Nell'ottobre scorso il campo ha dato il suo responso. 67 clienti della Bank of America di Boston sono stati portati in un'area protetta dove gli è stato chiesto di procedere con normali attività di banking online sui rispettivi conti. I ricercatori avevano segretamente cancellato le immagini del doppio controllo. Ebbene, alla fine sono stati monitorati in 60: 2 non hanno loggato per questioni di sicurezza, 58 invece hanno digitato le loro password.   

"La premessa è che l'autenticazione con immagini incrementa la sicurezza perché i clienti non digitano la password se non vedono l'immagine corretta", ha dichiarato Stuart Schechter, scienziato informatico del MIT Lincoln Laboratory. "D'altra parte abbiamo verificato che questa tesi è giusta meno del 10% delle volte. Se una banca mi chiedesse se è giusto utilizzare il sistema direi di no; meglio aspettare qualcosa di meglio".

E dire che il sistema è ampiamente considerato dalle grandi società finanziarie internazionali. Nel 2005, il Federal Financial Institutions Examination Council, l'autority della banche federali, ha dichiarato che il solo sistema a password non è in grado di offrire sufficienti garanzie per fronteggiare il fenomeno del furto di identità. Per questo motivo sono state redatte nuove linee guida che richiedono ai siti finanziari di individuare nuove soluzioni di identificazione per il riconoscimento "banca/cliente". Dal gennaio 2007 è scattato il periodo di conformità, ma l'ente di controllo ha deciso di non procedere ancora con l'enforcing.

Le banche volevano alternative

Le banche, fin dall'inizio, sapevano che non avrebbero chiesto ai propri clienti di scaricare nuovi software di protezione, o trasportare dispositivi capaci di generare codici PIN momentanei. Soluzioni che potevano fornire un ulteriore livello di sicurezza, ma che avrebbero reso più scomoda ogni operazione online. 

Così la PassMark Security, nel 2004, ben conscia della situazione ha lanciato sul mercato una piattaforma ad immagini. Bank of America l'ha adottata nel giugno del 2005, con il nome SiteKey, e da allora ha chiesto ai suoi 21 milioni di utenti online di scegliere un'immagine - fra le migliaia disponibili - e una frase identificativa. Insomma, qualcosa di familiare che ad ogni log comprovasse almeno la sicurezza del sito di accesso.

"SiteKey permette ai nostri clienti di autenticare facilmente il sito di Bank of America", ha dichiarato Sanjay Gupta, e-commerce executive della Banca. "E sinceramente la cosa è stata apprezzata".

I ricercatori di Harvard e del MIT, però, hanno rilevato che la maggior parte dei clienti non si è preoccupata della mancanza delle immagini SiteKey. Nel test al loro posto era stato inserito un messaggio di manutenzione in corso, per di più con un errore di grammatica - giusto per dare l'idea che avrebbe potuto essere un sito civetta.

"I risultati dell'indagine non mi preoccupano. SiteKey ha reso di fatto il sito della Banca più sicuro. E poi non stiamo scommettendo tutto su questo unico sistema", ha aggiunto Gupta.

La teoria di Rachna Dhamija, il ricercatore di Harvard che ha coordinato il lavoro, è che SiteKey possa fare molto soprattutto sulla percezione del senso di sicurezza. "A volte l'apparenza è più importante della realtà stessa", ha dichiarato Dhamija. "Questo sistema ha fatto sicuramente bene agli affari e dato buone sensazioni ai clienti, ecco perché funziona…".

scopri altri contenuti su

ARTICOLI CORRELATI