Quando vengono creati degli account su alcuni siti vengono proposte delle domande e risposte di sicurezza per verificare l’identità nel caso in cui ci si dimentichi la password.
Peccato che le domande siano spesso le stesse e peccato che le risposte siano in chiaro nel profilo utente dei social network, o siano facilmente ottenibili con sistemi di social engineering.
Post paranoico del venerdì? Non credo: George Bronk è stato arrestato lo scorso ottobre per aver hackerato circa 3.200 account di posta elettronica con il sistema descritto sopra: faceva passare il profilo della vittima, tentava di collegarsi al suo servizio di posta elettronica dicendo di aver perso la password, rispondeva correttamente alla domanda di sicurezza e voilà!
Il malfattore non si limitava a questo, ma frugava nella mail per cercare elementi con cui ricattare la vittima.
Le lezioni che si imparano da questa notizia di cronaca sono molte, magari un controllo al proprio profilo dei servizi online di posta elettronica non guasterebbe.
Solo un piccolo suggerimento: non è detto che si debbano impostare delle risposte giuste alle domande di sicurezza. Bisogna darsi delle regole, magari legate a dei ricordi o delle associazioni che solo l’utente conosce.
Per esempio, quando viene chiesto il nome del primo gatto o cane potrebbe essere il nome di chi ve l’ha regalato o il luogo dove l’avete trovato. Il nome della scuola elementare o media o superiore che avete frequentato potrebbe essere il nome dell’insegnante che vi stava più antipatica o della compagna/o piu’ simpatica/o. E così via.
Lascia un commento