Tra i risvolti delle soluzioni di sicurezza informatica uno dei più pericolosi è costituito dal falso senso di sicurezza che segue l’adozione di una tecnologia; la security è un compromesso tra costi e benefici e non esistono soluzioni definitive. Eppure la percezione di sicurezza data dall’adozione di soluzioni basate su smart card per l’identificazione degli utenti, è un tipico ambito in cui questo accade: sicuramente è un’ottima tecnologia ed un deciso miglioramento rispetto agli approcci basati esclusivamente su password, ma è comunque suscettibile ad attacchi. Le vulnerabilità principali delle smart card sono insite nel loro essere circuiti, quindi si possono smontare o è possibile provare a ottenere delle risposte a particolari segnali di ingresso. Le tecniche di attacco possono essere invasive (cioè comportare la completa distruzione del supporto), citiamo il “microprobing”: la possibilità di accedere al chip, capirne il funzionamento e simularne poi le risposte tramite un computer. Soluzioni non invasive consistono ad esempio nel sottoporre il circuito a impulsi elettrici volutamente arbitrari (come alimentando il circuito con lievi sovratensioni o fornendo un segnale di clock con frequenza leggermente minore) per studiarne i malfunzionamenti e ricostruire la logica interna della smart card. Generalmente queste tecniche non sono alla portata degli attacker “classici” in quanto più che con il codice in questo ambito sono impiegati oscilloscopi, microscopi, laser, sorgenti radianti. Tuttavia non si può assolutamente ignorare questo tipo di minaccia solo perché non informatica in senso ortodosso. La compromissione di una smart card, qualsiasi sia il sistema che la provochi, porterà comunque alla perdita di sicurezza della rete informatica alla quale permette l’accesso. Alcune di queste tecniche sono utilizzabili solo da persone, o meglio gruppi di persone, in possesso di mezzi tecnologici costosi e sofisticati, questo vuol dire che la loro motivazione nel portare avanti l’attività illecita è molto forte e sicuramente per avere un tornaconto economico concentreranno i loro sforzi su obiettivi importanti, aziende che magari adottando la smart card pensano di non correre più alcun problema… Una volta installato un sistema di autentificazione basato su smart card è poi possibile che ci siano delle vulnerabilità nel codice che gestisce la sessione. In questa fase infatti vengono coinvolte componenti di tipo informatico del sistema. Il controllo delle fasi di identificazione ed autentificazione in un contesto di strong authentication che preveda smart card è spesso demandato ad applicativi e strumenti spesso facilmente manipolabili al fine di alterare i passaggi logici necessari all’instaurazione ed alla conservazione delle sessioni. Una delle situazioni più classiche avviene ad esempio quando il controllo del token di autorizzazione viene eseguito dal browser. Il cifrario a sostituzione storicamente è stato reso inefficace dal salto metodologico nelle tecniche di crittanalisi introdotto da quelle su base statistica; allo stesso modo i segreti affidati ai bit potrebbero essere forzati tramite l’uso di sistemi elettronici e non informatici.