Qual era il cognome da nubile di tua madre? Qual era il nome della scuola elementare? Il nome del tuo primo animale? Qual è il tuo cibo preferito? Sono solamente alcune delle domande che gli utenti possono scegliere, durante la registrazione ad un servizio online, come domande di sicurezza per il recupero della password. I password manager, utilissime applicazioni che hanno la funzione di memorizzare tutte le chiavi d'accesso a Facebook, Twitter, LinkedIn e personal banking, non sono ancora così diffusi come meriterebbero e nel caso in cui ci si dimentica della password, si deve necessariamente ricorrere a trucchi old style.
Studi e punti deboli
Nel corso dell'ultima WWW2015 (International World Wide Web Conference) tenuta tra il 18 e il 22 maggio 2015 a Firenze, Google ha presentato un paper (Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google) scritto da cinque esperti del settore ICT (Information e Communication Technology) in cui si evidenzia la debolezza delle domande di sicurezza: in molti casi per gli hacker è un gioco da ragazzi indovinare la risposta. Secondo i cinque studiosi le domande di sicurezza non sono il modo migliore per preservare i propri account: a seconda della nazionalità e della cultura di provenienza dell'utente, le probabilità per un hacker di indovinare la risposta varia tra il venti e il quaranta percento. La ricerca si basa sull'analisi di oltre cento milioni di domande di sicurezza e su qualche milione di richieste processate dallo staff di Google per il recupero delle password.
Le domande semplici non sono sicure
Le domande di sicurezza sono legate alla capacità di memoria dell'utente: ad esempio se viene utilizzato il quesito "Qual è il tuo piatto preferito?", la risposta verrà ricordata il 74% delle volte nel primo mese e il 50% entro i tre mesi. Se l'utente utilizza una risposta semplice per facilitare il lavoro di recupero della password, semplifica il lavoro degli hacker per penetrare nel proprio account. Molte spesso basta controllare l'account Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezza.
I cinque studiosi forniscono dei dati a supporto della propria tesi: un hacker ha il 20% di indovinare la risposta alla domanda "Qual è il tuo piatto preferito?" di un utente di lingua inglese, la percentuale aumenta al 24% se la domanda "Qual è il nome della tua prima maestra" è posta ad un arabo e sfiora il 40% se un coreano sceglie il quesito "In quale città sei nato?" (ciò è dovuto al fatto che sono pochi i comuni che hanno un ospedale con il reparto di ostetricia).
Alcuni utenti cercano di prevenire l'attacco dei cracker, sbagliando di proposito le risposte. Questo fenomeno è riscontrato soprattutto nelle domande in cui è richiesto un numero (di telefono o della carta fedeltà). Purtroppo molti utenti utilizzano le stesse risposte (12345 o 11111), aumentando le probabilità di successo di un attacco da parte degli hacker.
Domande difficili, risposte dimenticate
Non tutte le domande proposte durante la registrazione ai servizi online sono semplici (la scuola elementare frequentata da tua madre o il numero della tessera della libreria), tanto che gli hacker potrebbero impiegare diverse ore o diversi giorni prima di poterne venire a capo. Il caso vuole, però, che risposte a domande del genere siano facilmente dimenticate anche dagli stessi utenti, costretti così a richiedere l'intervento dello staff del sito web per recuperare la password.
Il 40% degli utenti inglesi, ad esempio, dimentica la risposta alla domanda di sicurezza ed è obbligato a chiedere una nuova password allo staff del sito tramite SMS (nell'80% dei casi) o attraverso un indirizzo di posta elettronica di backup.
Doppia domanda di sicurezza
Alcuni siti web utilizzano la doppia domanda di sicurezza per complicare la vita dei pirati informatici, ma allo stesso tempo rendono più difficile il lavoro degli utenti. Secondo gli studiosi, anche utilizzando le due domande più semplici da memorizzare (la città in cui si è nati e il cognome del proprio padre) la percentuale che un utente ricordi le risposte è solo del 59%. Scendono anche le probabilità che un hacker riesca a superare il doppio scoglio: solamente nel 10% dei casi i pirati informatici riescono ad accedere all'account.
Autenticazione a due fattori
Anche Google ha usato per i suoi servizi le domande di sicurezza per recuperare le password, ma già prima dei risultati della ricerca ha sviluppato per i propri utenti nuovi standard di protezione (Security Checkup). Al momento per proteggere i propri account l'unico metodo sicuro è l'autenticazione a due fattori: durante la registrazione oltre all'username e alla password è richiesta un'altra informazione inviata all'utente tramite un altro strumento. Quest'informazione ha la stessa funzione di un lasciapassare e può essere ricevuta tramite SMS o attraverso un'applicazione (Google Authenticator). Nel caso in cui l'utente smarrisse la password, ne può richiedere una nuova inserendo il codice generato dal sistema e inviatogli tramite il tool utilizzato nel momento della registrazione.