Il National Institute of Standards and Technology (NIST) statunitense ha preparato la bozza delle nuove linee guida sull’identificazione dei cittadini da parte dei siti governativi, un documento che tra l’altro descrive le modalità di autenticazione “Out-of-Band” (OOB) effettuate tramite l’invio di un codice segreto inviato a un dispositivo fisico posseduto direttamente dall’utente.
Il NIST dichiara che l’autenticazione OOB tramite SMS inviati a uno smartphone va considerata come obsoleta, e non verrà più permessa nelle versioni future delle linee guida. I messaggi testuali non forniscono una prova sufficientemente sicura dell’identità di un utente, dice il documento, e non sono il solo mezzo di autenticazione problematico a essere finito nel mirino dell’agenzia USA.
I due requisiti essenziali per l’autenticazione OOB sono infatti l’unicità del dispositivo in possesso dell’utente e la trasmissione privata delle informazioni di autenticazione, e nel caso degli SMS i siti governativi potrebbero trovarsi ad avere a che fare con servizi VoIP con numeri di telefono “virtuali” e quindi inadeguati al riconoscimento individuale dell’utente.
La ricezione di messaggi testuali “istantanei” e di email non è una prova sufficiente del possesso del dispositivo usato per l’identificazione, dice il NIST, quindi anche in questo caso non è possibile usare tali comunicazioni per l’autenticazione OOB.
Anche i tratti biometrici non posseggono caratteristiche di sicurezza sufficienti a identificare con certezza un utente da remoto, spiega l’agenzia statunitense, perché il numero di falsi positivi è troppo alto e soprattutto perché si tratta di caratteristiche che “non costituiscono segreto”: basta catturare la foto di qualcuno – magari a insaputa dell’interessato – per avere un documento biometrico pronto all’uso.
Alfonso Maruccia