Con il riconoscimento facciale in aumento e i lettori di impronte digitali sui nostri telefoni, non è un segreto che la biometria sta rapidamente diventando la chiave dei nostri dispositivi digitali, auto, conti bancari e molto altro.
Ci sono alcune buone ragioni per l’autenticazione biometrica. È ancora troppo facile per gli hacker accedere all’account di qualcuno ingannando un rappresentante del servizio clienti, e molte persone tendono a riutilizzare le stesse password deboli apparentemente per tutto. Ma i dati biometrici possono ancora essere divulgati, e a differenza dei PIN e delle password infinitamente modificabili di un tempo, siamo praticamente bloccati con loro per sempre.
Così in preparazione per questo nuovo mondo coraggioso, ho deciso di sostituire le mie impronte digitali. E straordinariamente, è stato facile e indolore come applicare un cerotto.
Le mie impronte sostitutive sono state fornite da Mian Wei, uno studente al terzo anno di design industriale alla Rhode Island School of Design. Usando il suo kit IDENTITY, chiunque può coprire la sua vera impronta digitale con una falsa che è completamente funzionale, sostituibile e praticamente impossibile da copiare.
La confezione di IDENTITY è progettata per assomigliare a qualcosa che trovereste su uno scaffale del vostro negozio locale. Ogni striscia per cancellare le impronte digitali è incartata singolarmente. Foto: Evan Rodgers/Motherboard
“Molte persone credono che ora siamo tutti cyborg, connessi a internet 24 ore su 24”, mi ha detto Wei quando ci siamo incontrati di recente in un caffè vicino a Harvard Square a Cambridge. “Quando impostiamo il nostro pezzo di pelle come codice di accesso, è una connessione solida e definitiva. Puoi la tua faccia ora, ma non puoi davvero cambiare le tue impronte digitali, e le hai su tutto ciò che tocchi.”
Per comprendere appieno quanto potrebbe far schifo un futuro biometrico, considera i 5,6 milioni di dipendenti e appaltatori del governo americano le cui impronte digitali sono state rubate l’anno scorso in una massiccia violazione dell’Office of Personnel Management. Usando quelle impronte, i ricercatori hanno dimostrato che un criminale esperto o uno spione del governo potrebbe creare copie funzionali delle dita dei loro proprietari. Dato quanti dispositivi di consumo hanno lettori di impronte digitali in questi giorni, ciò significa che un’impronta digitale trapelata potrebbe garantire l’accesso a tutti i tipi di dati privati, e non ci sarebbe praticamente nulla che la vittima potrebbe fare al riguardo.
“Quando impostiamo il nostro pezzo di pelle come codice di accesso, è una connessione solida e definita.”
Creato per una classe di design protesico, Wei ha detto che l’obiettivo del suo progetto era quello di fare un prodotto di privacy biometrica che la gente potrebbe effettivamente utilizzare nel mondo reale. La confezione di IDENTITY è stata progettata per assomigliare a qualcosa che si trova su uno scaffale della farmacia locale, e ogni striscia di fingerprint-spoofing è confezionata individualmente come bende in una sorta di kit di pronto soccorso contro la sorveglianza.
Le protesi nere appiccicose sono fatte da una miscela di silicone conduttivo e contengono un casino casuale di fibre, che sostituiscono le piccole creste che i sensori normalmente cercano su una vera impronta digitale. Una volta avvolta intorno al mio dito indice, potrei assegnare l’impronta falsa per sbloccare il mio telefono proprio come farei con il mio vero dito.
Ora, anche se qualcuno riuscisse a fare uno stampo della mia vera impronta digitale – come ha fatto un membro del Chaos Computer Club nel 2013 per falsificare il sensore TouchID dell’iPhone – non sarebbe comunque in grado di sbloccare il mio telefono.
Ancora di più, l’impronta creata dal dito falso quando tocca gli oggetti non è davvero un “modello”, ma un mucchio di linee casuali; le fibre che formano quelle linee sono semplicemente mescolate nel materiale siliconico, poi indurite e tagliate in piccole strisce. Questo significa che l’impronta della protesi sarebbe virtualmente impossibile da riconoscere come un’impronta digitale, per non parlare di duplicarla, dice Wei.
L’unica volta che l’autore, nella foto, ha rimosso la banda per le impronte digitali era prima di andare a dormire. Foto: Evan Rodgers/Motherboard
Quindi qualcuno sano di mente userebbe davvero un’impronta digitale sostituibile? Dopo aver indossato per due settimane una delle protesi IDENTITY di Wei, la mia sensazione generale era: probabilmente, nelle giuste circostanze.
La buona notizia è che funziona sicuramente. Una volta che ho assegnato il dito finto per sbloccare il mio telefono, la protesi è stata altrettanto affidabile del mio vero dito. (Stavo usando un iPhone 6S e un Nexus 5X, ma in teoria si otterrebbero gli stessi risultati su qualsiasi dispositivo con un lettore di impronte digitali.)
L’unica volta che ho rimosso la fascia è stato prima di andare a dormire. Idealmente l’avrei lasciata sempre accesa, ma non volevo rischiare di perderla nella doccia o sotto le lenzuola.
Rimettere la protesi ogni mattina non è stato un grande sforzo; non è stato più laborioso che mettere le lenti a contatto, e si è inserito naturalmente nei miei rituali mattutini. Questo però presentava un piccolo problema: Dal momento che avevo iscritto solo un certo segmento della banda di silicone con il mio telefono quando l’ho messo per la prima volta, dovevo ricordarmi di rimetterlo esattamente allo stesso modo ogni volta.
Per fortuna, ho sviluppato una soluzione alternativa che ha reso le cose più facili: Ogni volta che rimettevo la protesi, tornavo nelle impostazioni del mio telefono e registravo una nuova impronta digitale. Alla fine ho fatto questo abbastanza volte che la maggior parte delle sezioni della banda erano in grado di sbloccare il telefono, e non ho dovuto preoccuparmi tanto di indossarla “correttamente”.
Più che un cerotto, ero sempre consapevole dell’impronta digitale falsa mentre la indossavo, soprattutto durante i primi giorni. La protesi è leggermente elastica e appiccicosa e doveva essere avvolta con cura intorno al mio dito per evitare che cadesse. Lavarmi le mani, cucinare e altri gesti quotidiani di destrezza manuale dovevano essere fatti con cautela per evitare di perdere la fascia. Scrivere a macchina – cosa che faccio spesso – era anche super fastidioso all’inizio, ma è diventato leggermente più facile con il passare del tempo.
Foto: Evan Rodgers/Motherboard
Concesso, indossare una singola protesi quasi costantemente per così tanto tempo non è probabilmente ciò che il suo creatore aveva in mente. Mentre la mia impronta digitale falsa funzionava ancora perfettamente dopo due settimane, Wei ha progettato la protesi per essere usa e getta. In questo momento, IDENTITY è soprattutto un pezzo da esposizione, ma se finirà per produrle e venderle in serie (cosa che sta attualmente parlando con un’azienda manifatturiera), Wei dice che si potrebbe teoricamente sostituire la fascia tutte le volte che si vuole.
In definitiva ho scoperto che i migliori casi d’uso per le impronte digitali false sono situazionali. Un primo esempio: Se stai partecipando a una protesta politica, un’impronta digitale falsa potrebbe impedire alla polizia di costringerti a sbloccare il telefono se vieni arrestato.
Negli Stati Uniti, i tribunali hanno recentemente stabilito che, a differenza di un PIN o di una password, le protezioni del quinto emendamento contro l’autoincriminazione non si applicano alle impronte digitali, poiché sono tecnicamente una parte del corpo e non “informazioni” memorizzate nella tua testa. Ciò significa che se mai veniste arrestati, un poliziotto potrebbe legalmente obbligarvi a sbloccare un dispositivo usando la vostra impronta digitale, senza un mandato.
In definitiva ho scoperto che i migliori casi d’uso per le impronte digitali false sono situazionali.
Ma un manifestante che indossa una delle strisce identificative di Wei potrebbe evitare di essere costretto a farlo gettando discretamente la protesi.
Le spie del governo inoltre non sarebbero in grado di sbloccare il telefono replicando l’impronta digitale del proprietario da una memorizzata in un database biometrico. Un nuovo rapporto del Government Accountability Office degli Stati Uniti ha rivelato che il database Next Generation Identification dell’FBI ha raccolto centinaia di milioni di impronte digitali e foto di riconoscimento facciale, la maggior parte dei quali appartengono ad americani che non sono mai stati nemmeno sospettati di un crimine.
Ancora, per la maggior parte delle persone con iPhone, le caratteristiche di sicurezza integrate del loro dispositivo sono probabilmente più che sufficienti per scoraggiare la maggior parte degli intrusi. Apple ha progettato i suoi modelli più recenti per disabilitare automaticamente lo sblocco delle impronte digitali e richiedere il codice di accesso dell’utente dopo cinque tentativi falliti, tra le altre condizioni. (Android, con il suo ecosistema di sicurezza frammentato, è tutta un’altra storia.)
Alla fine della giornata, IDENTITY è una provocazione – e anche molto buona. Piuttosto che creare una soluzione definitiva, Wei ha realizzato un prototipo funzionale che immagina un futuro in cui possiamo raccogliere i benefici della biometria preservando la nostra privacy e autonomia. Anche se i consumatori non si affrettano a sostituire le loro impronte digitali ora, utilizzando IDENTITY ha fatto un caso convincente di come potremmo un giorno riprendere il controllo.