login LOGIN
CHIUDI chiudi
Il mio profilo

mostra
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.

Domande di sicurezza, vita facile per gli hacker

Ascolta l'articolo

Secondo uno studio presentato da Google le domande di sicurezza per il recupero delle password sono semplici da indovinare

%MAINIMGALT%

Qual era il cognome da nubile di tua madre? Qual era il nome della scuola elementare? Il nome del tuo primo animale? Qual è il tuo cibo preferito? Sono solamente alcune delle domande che gli utenti possono scegliere, durante la registrazione ad un servizio online, come domande di sicurezza per il recupero della password. I password manager, utilissime applicazioni che hanno la funzione di memorizzare tutte le chiavi d'accesso a Facebook, Twitter, LinkedIn e personal banking, non sono ancora così diffusi come meriterebbero e nel caso in cui ci si dimentica della password, si deve necessariamente ricorrere a trucchi old style.

 

Password e sicurezza

 

Studi e punti deboli

Nel corso dell'ultima WWW2015 (International World Wide Web Conference) tenuta tra il 18 e il 22 maggio 2015 a Firenze, Google ha presentato un paper (Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google) scritto da cinque esperti del settore ICT (Information e Communication Technology) in cui si evidenzia la debolezza delle domande di sicurezza: in molti casi per gli hacker è un gioco da ragazzi indovinare la risposta. Secondo i cinque studiosi  le domande di sicurezza non sono il modo migliore per preservare i propri account: a seconda della nazionalità e della cultura di provenienza dell'utente, le probabilità per un hacker di indovinare la risposta varia tra il venti e il quaranta percento. La ricerca si basa sull'analisi di oltre cento milioni di domande di sicurezza e su qualche milione di richieste processate dallo staff di Google per il recupero delle password.

Le domande semplici non sono sicure

Le domande di sicurezza sono legate alla capacità di memoria dell'utente: ad esempio se viene utilizzato il quesito "Qual è il tuo piatto preferito?", la risposta verrà ricordata il 74% delle volte nel primo mese e il 50% entro i tre mesi. Se l'utente utilizza una risposta semplice per facilitare il lavoro di recupero della password, semplifica il lavoro degli hacker per penetrare nel proprio account. Molte spesso basta controllare l'account Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezza.

 

Facili da scoprire

 

I cinque studiosi forniscono dei dati a supporto della propria tesi: un hacker ha il 20% di indovinare la risposta alla domanda "Qual è il tuo piatto preferito?" di un utente di lingua inglese, la percentuale aumenta al 24% se la domanda "Qual è il nome della tua prima maestra" è posta ad un arabo e sfiora il 40% se un coreano sceglie il quesito "In quale città sei nato?" (ciò è dovuto al fatto che sono pochi i comuni che hanno un ospedale con il reparto di ostetricia).

 

False risposte

 

Alcuni utenti cercano di prevenire l'attacco dei cracker, sbagliando di proposito le risposte. Questo fenomeno è riscontrato soprattutto nelle domande in cui è richiesto un numero (di telefono o della carta fedeltà). Purtroppo molti utenti utilizzano le stesse risposte (12345 o 11111), aumentando le probabilità di successo di un attacco da parte degli hacker.

Domande difficili, risposte dimenticate

Non tutte le domande proposte durante la registrazione ai servizi online sono semplici (la scuola elementare frequentata da tua madre o il numero della tessera della libreria), tanto che gli hacker potrebbero impiegare diverse ore o diversi giorni prima di poterne venire a capo. Il caso vuole, però, che risposte a domande del genere siano facilmente dimenticate anche dagli stessi utenti, costretti così a richiedere l'intervento dello staff del sito web per recuperare la password.

 

Difficili da ricordare

 

Il 40% degli utenti inglesi, ad esempio, dimentica la risposta alla domanda di sicurezza ed è obbligato a chiedere una nuova password allo staff del sito tramite SMS (nell'80% dei casi) o attraverso un indirizzo di posta elettronica di backup.

Doppia domanda di sicurezza

Alcuni siti web utilizzano la doppia domanda di sicurezza per complicare la vita dei pirati informatici, ma allo stesso tempo rendono più difficile  il lavoro degli utenti. Secondo gli studiosi, anche utilizzando le due domande più semplici da memorizzare (la città in cui si è nati e il cognome del proprio padre) la percentuale che un utente ricordi le risposte è solo del 59%. Scendono anche le probabilità che un hacker riesca a superare il doppio scoglio: solamente nel 10% dei casi i pirati informatici riescono ad accedere all'account.

Autenticazione a due fattori

Anche Google ha usato per i suoi servizi le domande di sicurezza per recuperare le password, ma già prima dei risultati della ricerca ha sviluppato per i propri utenti nuovi standard di protezione (Security Checkup). Al momento per proteggere i propri account l'unico metodo sicuro è l'autenticazione a due fattori: durante la registrazione oltre all'username e alla password è richiesta un'altra informazione inviata all'utente tramite un altro strumento. Quest'informazione ha la stessa funzione di un lasciapassare e può essere ricevuta tramite SMS o attraverso un'applicazione (Google Authenticator). Nel caso in cui l'utente smarrisse la password, ne può richiedere una nuova inserendo il codice generato dal sistema e inviatogli tramite il tool utilizzato nel momento della registrazione.

A cura di Cultur-e
Addestramento IA non consentito: É assolutamente vietato l’utilizzo del contenuto di questa pubblicazione, in qualsiasi forma o modalità, per addestrare sistemi e piattaforme di intelligenza artificiale generativa. I contenuti sono coperti da copyright.
Fda
Prompt engineering
Immagine principale del blocco
Prompt engineering
Fda gratis svg
Come interrogare le intelligenze artificiali
Iscriviti al corso gratuito

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati.