L'autenticazione si gioca sulla "percezione"

Le Banche statunitensi stanno utilizzando un nuovo sistema ad immagini, oltre al log-in e password, che in verità le ultime ricerche definiscono apparentemente vincente.

Avatar di Dario D'Elia

a cura di Dario D'Elia

Introduzione

Un team di ricercatori di Harvard e del Massachusetts Institute of Technology hanno appena completato uno studio che confermerebbe il peso, nel settore della sicurezza, della percezione dei consumatori. Nello specifico l'analisi ha riguardato le cosiddette piattaforme di sicurezza basate sull'autenticazione ad immagini. Numerose istituzioni finanziarie, come ad esempio Bank of America, ING Direct e Vanguard, stanno utilizzando infatti modalità di accesso ai servizi di banking che prevedono per gli utenti, oltre al classico log-in e password, la selezione di un'immagine di log. Il concetto di fondo è che se il cliente non vede la sua solita immagine da cliccare è possibile che si trovi in un sito illegale o civetta. Si tratta insomma di una soluzione in più, molto semplice da ricordare - le immagini includono disegni o foto.

Nell'ottobre scorso il campo ha dato il suo responso. 67 clienti della Bank of America di Boston sono stati portati in un'area protetta dove gli è stato chiesto di procedere con normali attività di banking online sui rispettivi conti. I ricercatori avevano segretamente cancellato le immagini del doppio controllo. Ebbene, alla fine sono stati monitorati in 60: 2 non hanno loggato per questioni di sicurezza, 58 invece hanno digitato le loro password.   

"La premessa è che l'autenticazione con immagini incrementa la sicurezza perché i clienti non digitano la password se non vedono l'immagine corretta", ha dichiarato Stuart Schechter, scienziato informatico del MIT Lincoln Laboratory. "D'altra parte abbiamo verificato che questa tesi è giusta meno del 10% delle volte. Se una banca mi chiedesse se è giusto utilizzare il sistema direi di no; meglio aspettare qualcosa di meglio".

E dire che il sistema è ampiamente considerato dalle grandi società finanziarie internazionali. Nel 2005, il Federal Financial Institutions Examination Council, l'autority della banche federali, ha dichiarato che il solo sistema a password non è in grado di offrire sufficienti garanzie per fronteggiare il fenomeno del furto di identità. Per questo motivo sono state redatte nuove linee guida che richiedono ai siti finanziari di individuare nuove soluzioni di identificazione per il riconoscimento "banca/cliente". Dal gennaio 2007 è scattato il periodo di conformità, ma l'ente di controllo ha deciso di non procedere ancora con l'enforcing.

Leggi altri articoli