domande di sicurezza

Domande di sicurezza, sono la misura di protezione di cui hai bisogno?

Tutto quello che hai sempre voluto sapere sulle domande che forse non sono poi così sicure come credete

Le chiamano security question, hint e domande di sicurezza, quasi sempre si applicano prima di un accesso ad un portale online, verifica account o per il recupero password.


Ma concretamente, le security question garantiscono la sicurezza dell’accesso?

domande per la sicurezza utente

Ti sarà sicuramente capitato di dover accedere ad una piattaforma online o registrarvi su un portale e di trovarti di fronte la questione domanda di sicurezza.

Ebbene, facciamo mente locale in questo momento. Quasi sempre, il sito o il portale web ti chiede:

  • Città preferita
  • Nome dell’amico del cuore
  • Qual era il cognome da nubile di tua madre
  • Il nome del tuo primo animale domestico

e ancora

  • Il nome della tua squadra del cuore
  • Primo lavoro svolto
  • Qual è il tuo libro per bambini preferito
  • Qual è il tuo colore preferito

Potremmo continuare all’infinito ma queste sono tra le più diffuse domande di sicurezza che vengono poste all’utente per accertare la sua identità.
In alternativa, questo genere di suggerimenti di sicurezza dovrebbero servire all’utente per recuperare le credenziali dimenticate, in tutta sicurezza.

Domanda di sicurezza, il vero problema

In quanto specialisti ed esperti in cyber security da oltre dieci anni, possiamo affermare con certezza che le domande di sicurezza o suggerimenti di sicurezza non ti proteggono.

Non solo, le security question non rappresentano un buon repellente per gli accessi indesiderati per 2 motivi:

  • l’hacker indovina facilmente la riposta alle domande, in meno di 10 tentativi;
  • l’utente dimentica le risposte solo nel 50% dei casi e dunque procede con il cambio delle credenziali;

Sostanzialmente nel primo caso, possiamo tranquillamente affermare che l’utente medio è prevedibile. Solitamente, l’utente sceglierà risposte banali e facilmente verificabili da un hacker con un minimo di esperienza (attraverso le pagine dei social network, forum ai quali è iscritto o persino attraverso una normale ricerca su internet).

Nel secondo caso, laddove l’utente scelga una risposta complessa alla domanda di sicurezza, non se la ricorderà quando al momento opportuno.

Pensiamo ad esempio alla domanda: qual è nome del tuo primo animale domestico.

L’utente attento risponde in modo complesso con “7Jkwà2DIoèaX34.v%dS”, salva e procede. A distanza di qualche mese, quando gli verrà posta la stessa domanda sicuramente non sarà più in grado di ricordare la parola o magari dove la custodisce.

La conseguenza di quest’azione lo porterà inevitabilmente a procedere con il cambio password e indebolire seppur momentaneamente l’integrità dell’account.

Domanda di sicurezza o domande segrete: 3 casi di violazione account

Abbiamo a disposizione tre casistiche che possono dimostrare che la presenza di domande di sicurezza o domande segrete non sono necessariamente uno strumento difensivo contro l’azione di hacker e virus informatici. Tutti e tre i casi sono accaduti tra il 2014 e il 2016 e riguardano la violazione di account Apple (che fino a quel periodo venivano protetti dalla presenza delle hint o domande di sicurezza).

  • Violazione The Fappening, 2014: numerosi iPhone vengono hackerati e le foto degli tenti diffuse sul web;
  • Caso di violazione iPhone della giornalista Diletta Leotta, 2016: anche in questo caso venero divulgati contenuti video e foto dell’utente;
  • Violazione iPhone in casa Middleton, 2016: anche in questo caso vennero sottratti contenuti multimediali e venne richiesto il riscatto dall’hacker.

Domanda di sicurezza, meglio l’autenticazione a più fattori

Un consiglio degli esperti: abbandona la tecnica delle domande di sicurezza per proteggere un account

Per recuperare le credenziali di accesso e per proteggere l’identità degli utenti, noi consigliamo sempre di abbandonare la tecnica della domanda segreta e di affidarsi piuttosto ad un servizio di autenticazione a 2 o più fattori.

domande di sicurezza quanto sono sicure

Cos’è l’autenticazione a più fattori

Letteralmente, l’autenticazione a due o più fattori (o 2FA) oggi è da considerarsi lo strumenti più attendibile per la protezione degli account o per il recupero di credenziali (nome utente e password).

Per effettuare l’accesso ad un account, secondo la tecnica 2FA, l’utente procede al normale inserimento di nome utente e password.

Inoltre, come informazione aggiuntiva, il sistema invia un codice istantaneo sul dispositivo dell’utente (tramite SMS, chiamata vocale, email o tramite App apposita). Inserito anche questo codice, l’utente può accedere al servizio e confermare così la sua identità.

Oggi, la maggior parte dei servizi web come Facebook, Amazon, Outlook, Paypal e molti altri lo hanno implementato.

Onorato Informatica – Protezione servizi web

In questo articolo abbiamo potuto descrivere le problematiche che genera la protezione delle domande di sicurezza.

Ci auguriamo di essere riusciti nell’intento di mettervi al corrente dei rischi e delle alternative che potete adottare come sviluppatori o proprietari di servizi web.

Ecco per quale motivo vi consigliamo di seguire sempre, passo dopo passo, i nostri consigli di sicurezza informatica.

Lato tecnico, eseguire un Vulnerability Assessment dei vostri servizi web permetterà di analizzare quali vulnerabilità di sicurezza sono presenti nei portali web e come porvi rimedio. Questa soluzione vi salverà da ogni genere di accesso indesiderato, furto di credenziali e attacco ransomware.

Chi è Onorato Informatica?

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!