Attenzione alle domande di sicurezza

Quando vengono creati degli account su alcuni siti vengono proposte delle domande e risposte di sicurezza per verificare l’identità nel caso in cui ci si dimentichi la password.

Peccato che le domande siano spesso le stesse e peccato che le risposte siano in chiaro nel profilo utente dei social network, o siano facilmente ottenibili con sistemi di social engineering.

Post paranoico del venerdì? Non credo: George Bronk è stato arrestato lo scorso ottobre per aver hackerato circa 3.200 account di posta elettronica con il sistema descritto sopra: faceva passare il profilo della vittima, tentava di collegarsi al suo servizio di posta elettronica dicendo di aver perso la password, rispondeva correttamente alla domanda di sicurezza e voilà!

Il malfattore non si limitava a questo, ma frugava nella mail per cercare elementi con cui ricattare la vittima.

Le lezioni che si imparano da questa notizia di cronaca sono molte, magari un controllo al proprio profilo dei servizi online di posta elettronica non guasterebbe.

Solo un piccolo suggerimento: non è detto che si debbano impostare delle risposte giuste alle domande di sicurezza. Bisogna darsi delle regole, magari legate a dei ricordi o delle associazioni che solo l’utente conosce.

Per esempio, quando viene chiesto il nome del primo gatto o cane potrebbe essere il nome di chi ve l’ha regalato o il luogo dove l’avete trovato. Il nome della scuola elementare o media o superiore che avete frequentato potrebbe essere il nome dell’insegnante che vi stava più antipatica o della compagna/o piu’ simpatica/o. E così via.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Attenzione alle domande di sicurezza”

  1. Eh, gia`. Sarebbe importante che le domande di sicurezza fossero “aperte”. L’utente inserisce sia la domanda che la rispsota. Cosi` facendo, una domanda tipo “quante piastrelle rosse ci sono nella prima riga in alto nel muro del bagno?” sarebbe assai difficile da rispondere anche per uno che abbia accesso al mio profilo di FB.

    O anche “il numero di serie del tuo contatore del gas”.

    1. IMHO le domande libere non devono essere esplicative. Nel tuo esempio, la prima domanda potrebbe essere “Piastrelle rosse?” e la seconda “Gas?”
      Quando c’e’ una domanda aperta io le scrivo cosi’, molto generiche.

Spazio per un commento