Occhio alle impronte: meno sicure delle password, per copiarle bastano 5 dollari

23 Novembre 2021 205

Lo sblocco con l'impronta è un modo pratico e sicuro di accedere ai propri dispositivi elettronici, e ormai è la chiave per smartphone e laptop di mezzo mondo, in tutte le fasce di prezzo (non per gli iPhone, però, e il loro FaceID decisamente scomodo in tempi di pandemia e mascherine). Rispetto alla password o al pin ha il vantaggio di saltare il noioso procedimento di inserimento delle informazioni, e inoltre non ci richiede uno sforzo di memoria.

Tuttavia, è molto più facile venire in possesso di un'impronta digitale che di una password (a patto che sia buona, e non "Pippo" o "juventus" come alcune di quelle più usate nel 2021). Kraken Security ha pubblicato un video che mostra quanto sia semplice ottenerla, con strumenti di facile reperibilità e un investimento economico risibile, pari ad appena 5 dollari.

Il primo passaggio, ovviamente, è l'ottenimento dell'impronta. Per farla non serve cercare lontano: il presupposto per un risultato sicuro è avere un contatto diretta con la vittima, chiaramente, in modo da poterla prelevare dagli oggetti che tocca. Le impronte sono di fatto password che ci portiamo sempre addosso, e che disseminiamo senza accorgercene un po' ovunque.
Ovviamente gli stessi smartphone e laptop sono ricettacoli di impronte, e all'altezza dei sensori biometrici per lo sblocco sarà facilissimo assicurarsi di pescarne una giusta. Ma in realtà è possibile ricavare una copia dell'impronta anche tramite una foto della stessa e un utilizzo appropriato di Photoshop.


Se l'immagine dell'impronta è nitida in partenza, si tratterà allora di un gioco da ragazzi, altrimenti la cosa si complica. Una volta finito di ritoccare il file, servirà stampare il risultato su un foglio di acetato con una stampante laser: il toner consentirà così di ottenere una replica tridimensionale.


Il passaggio finale, come insegnava Giovanni Muciaccia in Art Attack, richiede la colla vinilica, quella da legno, da versare sopra la copia stampata dell'impronta e poi far seccare. E alla fine basterà separare la velina che abbiamo ottenuto et voilà, l'impronta è servita.


Il livello di accuratezza raggiungibile con questo escamotage non è sufficiente per ingannare i sistemi di riconoscimento biometrico più complessi, ma ha un ottimo tasso di efficacia sui prodotti di elettronica di consumo, dal momento che sono equipaggiati con scanner più imprecisi. Oltretutto, la rapidità dello sblocco è un requisito fondamentale per gli utenti: l'analisi della nostra impronta quando sblocchiamo lo smartphone infatti è incompleta, e tiene conto solo di alcune porzioni di cui verifica la corrispondenza in modo da garantirci un'esperienza fluida.

Insomma, tanto va il dito allo smartphone che ci lascia lo zampino: la lezione da trarre è quella che non esiste un sistema più sicuro delle password, e che forse se ci troviamo in ambienti o situazioni dove temiamo per la nostra privacy, allora conviene disabilitare (almeno momentaneamente) la possibilità di autenticarsi sui nostri dispositivi tramite l'impronta.


205

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Diabolik82!
spino1970

Hai ragione.
Ormai i furti di carte di credito sono sgominati al 100% e le carceri sono piene di ladri di cc scoperti dalle telecamere.
Credici e vivi tranquillo nella tua bolla.

Adieu :D

(Ma adieu davvero, ti lasci il tempo di leggere questo messaggio e andrai a far compagnia agli altri trolloni su disqus :) )

Diabolik82!
spino1970

Sì, sì, certo... hai ragionissimo te.
Sono arrivato a 51 anni solo coi contanti, credici :D

Non mi hai spiegato assolutamente nulla, né tantomeno di ovvio, eccetto il fatto di essere un fessacchiotto che pensa che i furti non danneggino nessuno. :D

Ora puoi tornare a ruminare, ti lascio al tuo campo di distorsione della realtà :D

PS:
"Pensa che hanno identificato in 24h quello che dato una palpata alla povera giornalista dopo Empoli Fiorentina." E grazie a sta ceppa, era in diretta televisiva a favore di camera :D

Diabolik82!

no io ho detto che il ladro lo acchiappano subito, e questo è un dato di fatto. e tu incocci a dire di no. L'assicuratore ovviamente ci rimette su quella unica volta su 100 dove invece guadagna?! E quindi sarà sempre in attivo eccezionale, hai mai visto un'assicurazione che ci perde? Per una RCA che risarcisce, 100-1000 pagano senza utilizzarla genio

Diabolik82!
spino1970

E quindi?
Chi assicura l'assicuratore? Tu?
E dai, ma sei de coccio.
Secondo la tua teoria, oggi in un furto nessuno ci rimette e sono tutti lì a ballare la samba.

Vabbè, dai, a posto così. Mi sarebbe rimasto solo di farti i disegnini, ma non ho né tempo né voglia :D

spino1970

Ucci ucci, sento odore di ararrampicata su specchiucci.
Vai tranquillo, nomen omen :)

Adios.

Diabolik82!

e poi il presupposto da cui sono partito era: è MATEMATICO GARANTITO AL 100% che appena il ladro utilizza la cc, lo beccano dalle telecamere. Certo non entra in un negozio incappucciato, quindi appena spende anche 10 euro in contactless (ovviamente in quell'ora prima che il proprietario si accorga del furto della carta perché non la trova o perché gli arriva un sms/notifica di spesa che non ha fatto), scatta l'allarme. E sopra i 25 euro tutte le cc, da anni, hanno il PIN, quindi non ci fai una mazza. Questo avevo detto all'inizio, sei partito per la tangente completamente.

Tu avevi scritto:
"Mi pare ancora un sistema più redditizio rubare un portafoglio e spendere con la carta di credito prima che la blocchino (da noi in ufficio è successo: in meno di un'ora sono riusciti a spendere 1200/1500 euro in un centro commerciale)"

ed è una stupidaggine. Non è assolutamente redditizio, se un ladro fa questo, è un fesso, perché lo prendono SUBITO. Dalle telecamere, alla prima spesa in un negozio (ripeto, sotto i 25 euro, sopra non passa la carta con PIN, vale a dire tutte le carte nuove), beccato. Spendere 1200/1500 euro in un centro commerciale? Sta già in galera questo che l'ha fatto, ammesso che abbia strisciato la carta (vecchie cc), è stato ripreso da N mila telecamere.

Diabolik82!
spino1970

"Se ci rimette una compagnia, un migliaio di euro, non è nulla"
A posto così.
Togliamo il reato di furto perché ormai è palesemente ovvio che nessuno ci rimette.

MK50

Come sei esagerato dai, non sono 65000 ma solo 64148, mi sembra fattibile.

MK50
Il corpo di Cristo in CH2O

la mia provocazione in realtà era riferita alle applicazioni per autorizzare le transizioni dove devi appunto "appoggiare il ditino" per farlo. che sia più sicuro quello rispetto ad una pasword resta sempre non vero eppure l'informazione che passa in quel senso è di alienante rispetto alla realtà. poi già quelle misure sono in realtà una grande buffonata introdotte per motivi pubblicitari più che per motivi effettivi di sicurezza, come la battaglia assurda dell'autorizzazione tramite sms che sarebbe meno sicura per qualche motivo vario, quando all'atto pratico è esattamente la stessa cosa. sono questi punti ad alienare l'opinione dell'utente finale facendogli credere qualcosa che in realtà non esiste.

Kale

Non mi fai paura. Io direttamente cu la forz dela mende.

Maicol.Mar

Ocio che ho già prenotato la quarta e leggendo il bugiardino dovrei arrivare a padroneggiare il teletrasporto.

Diabolik82!
spino1970

La targa? Ma perché, normalmente i ladri entrano in ufficio in macchina? :D
Hai idea di quanto sia vasto il parcheggio di Porta di Roma? Senza contare che ti basta parcheggiare fuori.
Detto questo, fa molto ridere che secondo te nessuno perda nulla, facendo credere che le assicurazioni siano delle onlus a perdita :D
Se compri un'automobile e te la rubano dopo sei mesi, chi risarcisce la compagnia di assicurazioni? Un'altra assicurazione? E chi risarcisce loro? Uno che perde c'è sempre.
In pratica secondo te i ladri finiscono sempre in galera perché tutti sono sempre felici :D

PS:
Se poi le nostre esperienze personali facessero statistica, non staremmo qui a discutere.

Kale

Pff. Pivello.
Tu devi alzare il dito. Tu pensa che io nemmeno quello!

Kale

Certo che se ti compri il watch per quello, indubbiamente, meriti di avere l'ironia che sfoggi.

Super Freak

Ti lascio alla tua ignoranza di licenza media informatica

Diabolik82!
Roberto

tutto sto casino per niente... ma un lettore di sp3rma? ogni volta che si deve sbloccare lo smartphone ce se ne spara una... sarà più sicuro? uhm... diverremmo pipparoli compuilsivi!

XD

daniele

Si, è sicuro quando un folto 3d, senza i problemi

Mark-
Super Freak

Caspita sei ingegnere informatico e fai delle analisi così superficiali da articoletto su internet?
L’università è caduta in basso proprio.

Maicol.Mar
Maicol.Mar

Pure io senza cellulare, ma con terza dose posso anche chiamare.
E non serve sblocco o altro, baste che alzo il dito al cielo e dico "chiama numero" XD

Pito

Ma che cacchio ci tenete su smartphone e portatili da farvi tante paranoie

Mark-

Te lo ribadisco, per me il Face ID rimane il sistema più sicuro rispetto all'impronta digitale, sia perchè risulta più difficile effettuare un calco ma anche perchè per esempio il Touch ID ha una possibilità di sblocco 1 su 50000 mentre il Face ID 1 su 1 milione.
Che poi sia più comodo un sistema o un altro de gustibus, ma non puoi venirmi a dire che sia più sicura o ugualmente sicura l'impronta digitale.
PS: Sono ingegnere informatico, quindi devi aggiungere un po' di titoli al diploma di licenza elementare.

alex-b

Ma è in arrivo l'inverno con i guanti… e quello arriverà ogni anno… la mascherina prima o poi ce la toglieremo dalle balls. Poi ognuno è abituato in un certo modo ma snervarsi per mettere 4 cifre con lo stesso pollice che eventualmente appoggeresti per lo sblocco con impronta perdendoci mezzo secondo in più e solo al supermercato o qualche altro luogo pubblico chiuso mi sembra esagerato.

Dr Ian Malcolm

mi sarà capitato 2 volte negli ultimi mesi di provare a sbloccare il cell con il dito bagnato.

mia moglie con l'iphone 12 invece da 2 anni è costretta a mettere sempre il pin quando siamo fuori casa o a fare la spesa e ti confermo che a lungo andare è snervante

Super Freak

Sei tu che fai il tuttologo mica io. Hai detto per me rimane il sistema più sicuro senza dire il perché e con un diploma di licenza elementare in tasca.
Ho solo messo in dubbio la tua affermazione da topolino.

Mark-
Super Freak

Grazie Mark per la tua testimonianza, adesso ci sentiamo tutti più al sicuro con il Face ID grazie alle tue parole

Alexv

Se rubi il telefono della vittima, ci trovi tutte le impronte che vuoi. Se ti trovi nel suo stesso posto di lavoro, non sarà tanto difficile trovarne. Una volta fatta la foto, se proprio ci tieni, il resto lo fai a casa con calma.

boosook

Scusa ho scritto male ovviamente, volevo scrivere spento.
Una volta che ti rubano il telefono, o lo spengono subito (e allora vale quello che ti ho detto io) oppure rimane online e tu puoi rintracciarlo o bloccarlo.
Il succo è: o stai subendo un attacco mirato, per cui loro hanno già pronto il calco dell'impronta, in precedenza sono riusciti a ottenere la password della tua banca (oppure tu hai fatto l'errore di salvarla su Chrome o altro password manager non criptato sul telefono, oppure anche per l'accesso al password manager hai impostato l'impronta), ti prendono il telefono, lo sbloccano, ti tolgono tutti i soldi dal conto e confermano con il codice sms, impronta o quello che è, oppure molto probabilmente da quando ti rubano il telefono a quando riescono a sbloccarlo hai tutto il tempo di cancellare il telefono.

Mark-

Ok, non sai di cosa parli visto che affermi che l’impronta digitale è più sicura del Face ID. A prescindere dalla possibilità di effettuare un calco delle impronte digitali, ad esempio il Touch ID ha una possibilità di sblocco 1 su 50000 mentre Face ID 1 su 1 MILIONE.

alex-b

ok ma possono accedere solo ai dati fisicamente presenti sul telefono, non ai conti et similia.

alex-b
alex-b

Se “ognuno ha i suoi limiti” questi limiti ovviamente non possono essere uguali. In alcu i frangenti è più limitante uno e in altri l'altro.

alex

Non è una questione di memoria. Non mi interessa e quindi non mi sono informato sufficientemente per sapere se il sistema di sblocco è sicuro quanto il FaceID o meno.

I dati di vendita e il display utilizzato, ovviamente, non c'entrano una fava nel discorso

alex-b

Ma ignobile sarà il tuo ragionamento, ho proprio detto che questo acquisto aggiuntivo non lo fai certo per non abbassarti la mascherina ma perché ti serve uno smartwatch. E quindi quella funzione semmai è un di più.

daniele

Non è più sicuro del sensore di s21 tipo. È solo più scomodo e invadente

Zoo Station

Non si fa prima a puntare una pistola alla vittima possessore del telefono da ruffianare,e dirgli...giovane! Pollice in alto!!

Mark-

Cosa????? Se il telefono è offline possono comunque sbloccare il telefono con l’impronta… mica deve essere online per poterlo sbloccare

Mark-

Non sai di cosa stai parlando. Evitiamo di fare i tuttologi del web.

Mark-

Argomenti oppure non sai scrivere?

Mark-

Tutto è aggirabile, per me resta il metodo di sblocco più sicuro

Olianza <3

Windows Hello e passa la paura.

Mobile

Super Green Pass in vigore da oggi: cosa cambia

Articolo

Spider-Man: No Way Home: al via la prevendita dei biglietti in Italia. Subito record!

Tecnologia

C'è un misterioso cubo sul lato nascosto della Luna, presto sapremo di che si tratta

HDMotori.it

Kia UVO, 5 cose da sapere | Prova infotainment su Kia XCeed Plug-in Hybrid