Google: le “Domande di sicurezza” non sono affatto sicure

0
4504

Google ha appena pubblicato un documento sull’efficacia delle famose “domande di sicurezza” utilizzate per recuperare i dati persi di un account

Nel suo post intitolato “Nuova ricerca: alcune domande complicate sulle domande di sicurezza” Google punta l’indice su domande del tipo:

“Qual è il nome del vostro primo animale da compagnia”
“Qual è il vostro cibo preferito”
“Qual è il nome della vostra bisnonna”

Si tratta di tipici esempi di domande di sicurezza utilizzate per il recupero della password in caso di smarrimento. Un metodo abbastanza diffuso ed utilizzato da molti servizi online, ma che secondo Google nasconderebbe numerose insidie.

Google ha lavorato negli ultimi mesi analizzando centinaia di milioni di domande e relative risposte segrete, nel tentativo di determinare quante possibilità avrebbe un hacker di prendere possesso di un account sfruttando questo metodo di recupero delle password.

“Le domande di sicurezza non sono un metodo sicuro o efficace abbastanza da essere usato come un meccanismo di default per il recupero dei dati necessari ad accedere al proprio account. Questo perché soffrono di un problema fondamentale, la risposte sono qualche volta sicure o facili da ricordare ma raramente sono la combinazione di queste due cose”

Scrive Google nel post che annuncia la disponibilità del documento che racchiude i dati della ricerca.

Alcuni esempi sono sufficientemente significativi. Con un solo tentativo, il 19.7% degli attacchi avrebbero possibilità di andare a buon fine rispondendo alla domanda “Qual è il vostro cibo preferito” verso un pubblico di lingua inglese. Con 10 tentativi ci sarebbe il 24% di possibilità di rispondere esattamente alla domanda “qual è il nome del vostro primo insegnate” su un pubblico di lingua araba. Con 10 tentativi si avrebbe un 39% di possibilità di indovinare la risposta alla domanda “qual è la vostra città di nascita” per un pubblico coreano.

In altre parole, domande comuni presuppongono risposte comuni e facilmente individuabili, specialmente se contestualizzate al proprio territorio di appartenenza.

D’altra parte risposte a domande meno comuni come “qual è stato il vostro primo numero di telefono” sono più difficili da ricordare e spesso costringono l’utente a piroette informatiche per recuperare le proprie password. Il 40% degli utenti di lingua inglese non ricorda le risposte alle proprie domande di sicurezza ed è costretto comunque ad un recupero via sms o via email.

Quali dunque le soluzioni proposte da Google? per la verità non molte, prima di tutto un costante checkout dei propri account e l’aggiornamento dei proprio dati, anche quelli relativi al recupero delle password con email ed sms. Infine un incitamento ai webmaster affinché sperimentino sempre di più politiche di recupero degli account basate su SMS o account di posta elettronica secondari