di Dario Orlandi
Lo scorso 23 aprile il mondo ha tremato per qualche istante e Wall Street è crollata in pochi minuti di oltre 150 punti, bruciando 135 miliardi di dollari di capitalizzazione. La causa? Un tweet pubblicato tramite l’account dell’autorevole agenzia di stampa Associated Press, che annunciava l’esplosione di due ordigni presso la Casa Bianca e il ferimento del presidente Obama. La notizia era falsa, come si è affrettato a dichiarare lo staff del presidente americano, e l’Associated Press ha spiegato che l’account Twitter era stato violato; l’azione è stata rivendicata dal Syrian Electronic Army, un gruppo già noto alle cronache per attacchi dimostrativi in sostegno del regime siriano. L’episodio è eclatante, ma non è molto diverso dalle innumerevoli violazioni che avvengono ogni giorno in tutto il mondo, a danno di privati, aziende, governi e organizzazioni di ogni genere. Quello che emerge con evidenza cristallina è l’inadeguatezza dei tradizionali meccanismi di login, in un ambiente che diventa ogni giorno più ostile. Accanto alle tradizionali minacce rivolte verso i privati, spesso finalizzate al furto dell’identità o delle credenziali di accesso ai servizi, crescono gli attacchi a organizzazioni, governi, partiti politici e singole personalità . Basta una visita ad alcuni siti specializzati (per esempio www.cyberwarnews.info) per rendersi conto di come la guerra informatica sia ormai una realtà quotidiana. Parte di questi attacchi si basano su exploit e vulnerabilità specifiche, ma la maggioranza è ancora legata a banali violazioni delle credenziali d’accesso. In questi casi la soluzione è a portata di mano: l’autenticazione a più fattori. Per completare l’accesso a un servizio bisogna provare la propria identità tramite due o più metodologie, generalmente suddivise nelle categorie “qualcosa che sai” (una password o un Pin), “qualcosa che hai” (una smartcard, o anche un telefono cellulare) e “qualcosa che sei” (riconoscimento biometrico). Una scansione della retina è forse eccessiva per collegarsi a Facebook, ma da molti anni si utilizzano sistemi di questo tipo, ad esempio per prelevare contanti da un Bancomat. Moltissimi servizi Web offrono già oggi sistemi di autenticazioni di tipo forte, ma ciascuno ha le sue regole e le sue particolarità ; la sfida del prossimo futuro è quella di rendere rapide e intuitive queste tecnologie, per vincere la naturale pigrizia degli utenti. Altri siti invece sono ancora fermi alla tradizionale coppia utente-password, ma la situazione sta cambiando rapidamente, sotto la pressione di attacchi sempre più frequenti e di una crescente consapevolezza dei rischi.