NON usate le DOMANDE di (in)SICUREZZA!

Molti  siti (anche famosi, come Apple e PayPal) utilizzano  le DOMANDE DI SICUREZZA PER IL RECUPERO DELLA PASSWORD.

Queste domande, che ci viene chiesto di impostare quando ci registriamo in un sito, dovrebbero aiutarci a recuperare la password dimenticata, ma in realtà abbassano notevolmente la sicurezza del nostro account e ne rendono più facile la violazione da parte di un malintenzionato che riesca a conoscerle (il che è più facile di quanto si creda).
Infatti le domande di sicurezza che ci vengono proposte dai servizi ai quali ci registriamo sono sempre le stesse ed estremamente banali. Alcuni esempi (reali!) di domande di “sicurezza” proposte dai siti:

  • Qual era il cognome da nubile di tua madre?
  • Qual era il nome della scuola elementare?
  • Il nome del tuo primo animale?
  • La tua squadra del cuore?

Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta. Oppure potrebbe bastare controllare l’account Facebook o Twitter di una persona (dove sono riportate molte informazioni personali) e scoprire la risposta alla domanda di sicurezza. Secondo Google in circa 10 tentativi è possibile risalire alla gran parte delle risposte alle domande di sicurezza.
Ricordo a tale proposito alcuni casi di violazione degli account Apple verificatisi recentemente:
31 agosto 2014: Caso del sito “The Fappening”: vengono hackerati gli iPhone (attraverso la violazione degli account iCloud) di alcune starlets (Jennifer Lawrence, Rhianna, Miley Cyrus, Kate Upton, Kirsten Dunst). Molte foto compromettenti finiscono sul web.
20 settembre 2016: violato iPhone della giornalista Sky Diletta Leotta, con pubblicazione di foto molto intime.
23 settembre 2016: violato iCloud di Pippa Middleton, chieste 50 mila sterline per le 3.000 foto private.

Nel primo caso, in USA, l’hacker Ryan Collins è stato scoperto e condannato a 18 mesi di reclusione. Gli altri due casi sono rimasti senza colpevole. Ma è molto, molto probabile che le violazioni siano state possibili, in modo neppure troppo sofisticato, usando proprio le domande di sicurezza (le cui risposte, nel caso di personaggi pubblici, sono molto facili da reperire).

Qual è la soluzione?  Domande difficili o risposte senza senso? Forse, ma poi le risposte saranno facilmente dimenticate!

La soluzione migliore è quella di sostituire le Domande di sicurezza con l’AUTENTICAZIONE  A DUE FATTORI, che eleva notevolmente il livello di sicurezza del nostro account. Tutti i siti che richiedono le domande di sicurezza, offrono come alternativa l’autenticazione a due fattori (MFA: Multi-Factor Authentication). Viene sempre proposta come opzione non obbligatoria, ma che io ritengo altamente consigliabile. Almeno per i servizi più importanti e nei quali abbiamo informazioni e dati che non vogliamo vengano violati. Ne parlo in dettaglio in un articolo dedicato.

© Copyright 2016 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento