Secondo un recente studio appena pubblicato dai tecnici di Google, le domande di sicurezza sono tutt’altro che sicure. Molti servizi online, al momento della registrazione, oltre a richiedere di specificare un nome utente ed una password, obbligano gli utenti ad impostare una domanda di sicurezza e specificare la relativa risposta.
Qual è il nome del tuo primo animale domestico? Qual è il tuo numero di telefono? Come si chiamava il tuo insegnante delle scuole elementari? Qual è il tuo piatto preferito? Sono alcuni esempi di domande di sicurezza che, spesso, possono essere selezionate.
Come abbiamo osservato nell’articolo Memorizzare password e gestirle in sicurezza, non bisogna mai selezionare un quesito “semplice” e neppure indicare una risposta facile.
Accade sempre più di frequente, per esempio, che molte delle risposte alle cosiddette domande di sicurezza possano essere agilmente desunte dal profilo Facebook di un utente.
In altri frangenti, le risposte alle domande di sicurezza possono essere agevolmente indovinate da parte dei malintenzionati.
Bene lo spiega Google che nella sua ricerca (vedere questa pagina), presentata all’evento fiorentino WWW2015 (appena conclusosi), osserva come un aggressore – con un solo tentativo – abbia quasi il 20% delle probabilità di rispondere correttamente alla domanda Qual è il tuo piatto preferito?
La risposta si chiama autenticazione a due fattori
Google, insomma, conclude nell’invitare gli utenti a diffidare di quei servizi che poggiano sull’utilizzod delle domande di sicurezza. Per proteggere i propri account, l’unica soluzione sicura – al momento – si chiama autenticazione a due fattori.
Per l’accesso ad un servizio, oltre al nome utente ed alla password, si dovrà introdurre una seconda informazione (da qui il nome “autenticazione a due fattori”) ricevuta usando un altro strumento (ne abbiamo parlato nell’articolo Sicurezza account Google: come proteggersi dagli attacchi).
Un codice ricevuto via SMS o generato sul dispositivo attraverso un’applicazione apposita (Google Authenticator è un esempio), può essere usato come lasciapassare aggiuntivo accanto all’introduzione delle tradizionali credenziali d’accesso (username e password).
Nel caso in cui l’utente perdesse username e password, questi può richiedere l’invio di un codice di sblocco sullo stesso dispositivo configurato per l’autenticazione a due fattori. Mettendosi così definitivamente alle spalle l’uso delle domande di sicurezza.