La password di Pulcinella

La password di Pulcinella

Il servizio recupera-password di moltissimi siti e servizi può facilitare il malfattore che volesse avvantaggiarsi dei dati altrui. Lo sostiene un lettore
Il servizio recupera-password di moltissimi siti e servizi può facilitare il malfattore che volesse avvantaggiarsi dei dati altrui. Lo sostiene un lettore


Roma – Gentile Punto Informatico, vi scrivo per la prima volta perché mi sembra che non si sia fatto caso ad una questione che pure è di grande interesse sotto il profilo della sicurezza informatica, una questione che riguarda molti sistemi finanziari online e che dunque mi sembra sia di interesse più che certo per chi opera online con banche ecc.

Ciò di cui sto parlando sono i login di accesso. Come ormai tutti sanno quando si sottoscrive un servizio in rete, per esempio io ho aperto la mail di Yahoo! qualche tempo fa e l’ho fatto, ci viene chiesto di inserire una domanda (da scegliere tra quelle preconfezionate o da scrivere da zero) e una risposta. In questo modo ci dicono che possiamo recuperare la password di accesso se la si perde: si tratta di inserire in quel caso domanda giusta e risposta giusta e la password viene rispedita o fatta vedere di nuovo.

In sè credo che il meccanismo sia pregevole e utile. Ma oggi, trovandomi a registrarmi sul sito dei Monte dei Paschi di Siena, mi sono accorto che ci può essere un problema di sicurezza proprio molto ma molto grosso.

Nel form di paschiriscossione.it, infatti, c’è scritto ad un certo punto:

“Ora ti chiediamo di formulare una breve domanda di cui solo tu conosci la risposta (esempio: Dom – come si chiama il mio cane? Risp – Fido). Questa domanda ti sarà proposta nel caso in cui dimenticassi la tua password, per permetterti di recuperarla”.

A me sembra un suggerimento ben poco oculato. Chi conosce il nome del mio cane? Non solo un sacco di gente, compresi tutti i vicini, ma anche quei conoscenti che in un modo o nell’altro potrebbero avere magari una volta accesso al mio computer a casa oppure potrebbero conoscere la mia USERID o insomma avere già gli altri dati che potrebbero permettere di accedere ai servizi di quel sito senza esserne autorizzati.

Magari mi sbaglio però visto che si tratta di recuperare una password molto personale e molto importante credo che il suggerimento dovrebbe contemplare qualcosa di più complesso del nome del mio cane.

Grazie per lo straordinario lavoro che svolgete da anni

Franco B.
(Novara)

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 17 gen 2005
Link copiato negli appunti