Le domande di sicurezza non sono cosi sicure, lo dice Google

Quante volte vi siete ritrovati, in fase di registrazione a qualche sito o nell'intento di recuperare una password, ad interagire con le cosiddette domande di sicurezza. Una tecnica finita al centro degli studi di Google, la quale ne ha evidenziato, anche giustamente, alcune vulnerabilità.

Qual è il nome del tuo primo animale domestico?
Qual è il tuo cibo preferito?
Qual è il cognome da nubile di tua madre?

Queste qui sopra sono alcune delle domande più frequenti proposte dai vari portali web, frasi comuni ad ognuno di noi, ed è proprio questa parola ‘comune‘ che ha attirato l’attenzione dei ricercatori di Google. Le domande di sicurezza sono, infatti, utilizzate da un vastissimo numero di servizi online, sia come tecnica per la protezione della password di accesso, sia come strato di sicurezza aggiuntivo in fase di autenticazione.

In tal ambito, quindi, i ricercatori che hanno condotto lo studio hanno analizzato centinaia di milioni di questo tipo di combinazioni domanda-risposta, legate ai vari servizi offerti da BigG, al fine di cercare di risalire al livello di somiglianza tra le varie risposte e, addirittura, la facilità con la quale è possibile indovinarle.

I risultati della ricerca, riassunti in questo documento, e presentati anche alla recente World Wide Web Conference 2015 (WWW 2015), evidenziano la seguente considerazione: il meccanismo di protezione dettato dalle domande di sicurezza non è sufficientemente sicuro da poter essere utilizzato come strumento autonomo, questo perchè esso fallisco in un punto fondamentale, ovvero che le risposte alle domande sono o troppo sicure oppure troppo facili da ricordare, ma difficilmente hanno entrambe le proprietà.

Di seguito un’infogratica che riassume la situazione (cliccate sull’immagine per ingrandirla).

le risposte facili non sono sicure

Non è una sorpresa, le risposte semplici, ovvero quelle che si ricordano facilmente, non sono sicure. Tale categoria molto spesso contiene parole molto utilizzate oppure addirittura informazioni disponibili pubblicamente.

Non solo, è stato identificato anche il fatto che molte persone utilizzano la stessa risposta alla medesima domanda, specialmente quando per quest’ultima ci si aspetterebbe una risposta piuttosto sicura, prendiamo ad esempio “Qual è il tuo numero telefonico?” o “Qual è il numero del tuo volo più frequente?”. Come se non bastasse, c’è anche chi è solito attribuire una risposta falsa (anche qui molto spesso uguale tra più utenti) alle domande proposte.

le risposte DIFFICILI SONO SCONSIGLIATE

E’ un dato di fatto: non è facile ricordarsi le scuole elementari frequentate da vostra made, cosi come non lo è il numero della vostra tessera per la libreria. Per questo e per altri motivi, quasi nessuno utilizza una combinazione piuttosto difficile per domande-risposte. Una tecnica robusta ma, purtroppo, non adottata.

Quindi, come comportarsi?

Le domande di sicurezza sono state utilizzate, e lo sono tutt’oggi, come uno dei metodi principali per il recupero e la protezione dei dati personali depositati online. Una tecnica semplice quanto efficace se utilizzata con consapevolezza, oppure rischiosa se seguita in maniera apparentemente corretta ma in realtà errata come descritto in questo articolo.

Il consiglio di Google, e dei suoi studiosi, è rivolto ai gestori dei servizi web, dei portali più o meno grandi, nonchè alla banche online, piattaforme di e-commerce, etc, ed incoraggia l’utilizzo e la migrazione verso tecniche alternative alle comuni security questions, come ad esempio la conferma via SMS, l’email alternativa, token di terze parti, e simili, strade parallele ma rivolte verso lo stesso obiettivo, la sicurezza, cioè l’ultimo dei fattori da sottovalutare.

Ci piacerebbe discutere con voi ed ascoltare la vostra opinione nei commenti sottostanti.