Ormai una parte dei ricordi, dei documenti e altro sono su internet; per non parlare dei vari giochi di ruolo e di strategia. Ognuno di questi siti ci fa entrare solo se inseriamo il nostro nickname e la relativa password; ma... se ce la dimentichiamo? Ogni sito ha un sistema per ricuperare l'accesso in caso di smarrimento password: spedizione di una nuova password alla nostra email, per esempio; oppure, molti siti prevedono una cosiddetta domanda segreta, a cui abbiamo risposto al momento dell'iscrizione.
Questo sembra un buon livello di sicurezza: chi potrebbe rispondere ad una domanda con la stessa nostra risposta? Ebbene: non è così! Alcuni ricercatori della Carnegie Mellon University, in collaborazione con Microsoft, hanno presentato uno studio al simposio IEEE per la sicurezza, secondo il quale è abbastanza probabile indovinare la risposta, quindi per niente segreta.
Un esempio che ha fatto il giro del mondo fu l'intrusione nella casella postale su Yahoo del governatore dell'Alasca (Sarah Polin), durante la campagna elettorale per la presidenza degli Stati Uniti; i "ladri" risposero alla domanda segreta inserendo il nome della località in cui la politica incontrò la prima volta il marito, notizia evidentemente pubblica.
Certo, per una persona che non ha vita pubblica potrebbe essere difficile recuperare una simile informazione; però i nostri amici potrebbero saperla e magari non sono proprio amici: se qualcuno entrasse nella nostra utenza del gioco di strategia preferito e ci cancellasse quanto abbiamo messo su faticosamente, non saremmo proprio contenti, che ne dite?
Le probabilità di intrusione aumentano per quei siti che impongono domande semplici (luogo di nascita, per esempio), ma anche negli altri casi non sembra così difficile: nell'esperimento presentato, più del 15% delle persone sotto esame hanno indovinato le risposte di persone sconosciute! I casi favorevoli aumentano se si tratta di persone che si conoscono, come gli amici o personaggi pubblici (fino a poco meno del 30%). Sembrano percentuali basse, ma se la base è rappresentata da qualche milione di utenti internet, i casi favorevoli sono comunque troppi. Siamo quindi nella situazione in cui il sistema di password, magari a prova di spyware, con anche un controllo di lunghezza minima, obbligatorietà di lettere maiuscole, minuscole e cifre (cioè una combinazione molto sicura), viene superato da un sistema di recupero password alla portata di molti. È come usare una serratura a prova di ladro e lasciare la chiave sotto lo zerbino!
Un modo per ricuperare la sicurezza nei casi di "domanda segreta" sarebbe di rispondere con una serie di caratteri senza senso compiuto, meglio se casuali; però, se abbiamo dimenticato la password, come facciamo a ricordarci della risposta segreta? Anzi: si è anche trovato che entro pochi mesi questa risposta, anche se vera, viene dimenticata: chi si ricorda se all'iscrizione abbiamo usato l'articolo davanti al nome, se abbiamo messo delle virgole oppure usato le maiuscole? Più che una sicurezza, questo meccanismo sembra più un ostacolo.
Come consiglio, meglio usare i siti che, in caso di smarrimento della password, ne spediscono una nuova alla nostra mail: attenzione però alla password usata per entrare nella mail! Il tutto rischia di presentarsi come un serpente che si morde la coda!
Personalmente, ho risolto in altro modo: l'eventuale risposta alla domanda segreta è sempre una sequenza casuale di caratteri, almeno una ventina e la password... non me la scordo mai! Come? La scrivo sul palmare, in un software con sicurezza a 128 bit: c'è un'altra password da ricordare, ma questa volta è una sola! Per cose importanti, tipo banca e altro, meglio non usare il browser per memorizzare la password di un sito: alcuni browser sono ben protetti, ma perché rischiare?
Nessun commento:
Posta un commento