Gaia Bottà

Domanda di sicurezza? Risposta sbagliata

Uno studio di Google analizza l'efficacia delle domande di sicurezza in funzione del recupero delle password. Statistica, menzogne e memoria fallace fanno propendere per altri metodi

Roma - Le domande che i servizi online pongono ai loro utenti per consentire di riguadagnare l'accesso ad account di cui si è persa la password sono tutt'altro che efficaci, vanificate da risposte fin troppo ovvie o da risposte menzognere, difficilmente intuibili anche per l'utente che le ha fornite.

Lo studio, condotto da ricercatori di Google e dal ricercatore di Stanford e EFF Joseph Bonneau, prende in esame milioni di domande di sicurezza scelte dagli utenti di Google, Yahoo e di altri servizi online e i milioni di corrispondenti risposte fornite al momento della registrazione e nei tentativi di sbloccare gli account di cui si è dimenticata la password.

Una delle principali falle dei sistemi di sicurezza basati sulle domande è la facilità con cui statisticamente si possono intuire le risposte, sulla base di fattori culturali o demografici legati alla località in cui gli utenti vivono. Un esempio è costituito dalle domande relative al cibo preferito: puntando sulla pizza, con un solo tentativo è possibile indovinare la risposta nel 19,7 per cento dei casi, per i netizen parlanti inglese. Le risposte dei netizen che parlano spagnolo, invece, sono particolarmente fallibili riguardo ai nomi: nel 21 per cento dei casi, bastano 10 tentativi per indovinare il secondo nome del padre del detentore dell'account da violare. Allo stesso modo, l'uniformità delle risposte dei netizen coreani, basata su dati oggettivi relativi ad esempio alla densità di popolazione, in 10 tentativi permetteranno nel 39 per cento dei casi di indovinare la città di nascita dell'utente.
Domande e risposte che invece non si prestano ad inuizioni basate sulla statistica risultano essere difficilmente memorizzabili anche per gli stessi utenti detentori dell'account: solo il 55 per cento degli utenti statunitensi mostra, nel momento del bisogno, di riuscire a ricordare il proprio primo numero di telefono mobile. Il tempo, poi, erode la memoria e altera le preferenze: anche una domanda semplice come quella riguardo al cibo preferito, dopo un anno dalla prima risposta, produce riscontri non corrispondenti nel 53 per cento dei casi.

A creare ulterori difficoltà, poi, c'è il guizzo degli utenti che falsificano le proprie risposte: il 37 per cento del campione preso in condiserazione per lo studio ha ammesso di scegliere risposte non aderenti alla realtà per garantirsi una maggiore tutela, il 15 per cento fornisce risposte false perché ritiene siano più facilmente memorizzabili. Da un lato ciò complica le operazioni mnemoniche al momento del recupero della password, dall'altro apre la strada a risposte più intuibili per i malintenzionati.

Dallo studio emerge dunque che la capacità di ricordare le risposte è inversamente proporzionale alla loro sicurezza: proprio questa correlazione fa sottolineare ai ricercatori la necessità di appoggiarsi a soluzioni alternative. Come quelle che Mounatin View pone da tempo a presidio degli account dei propri utenti: sistemi di ri-autenticazione basati su codici inviati via SMS o a indirizzi email secondari si mostrano efficaci rispettivamente nell'80 per cento e nel 75 per cento dei casi.

Gaia Bottà
Notizie collegate
  • Digital LifePassword, nulla è cambiatoProgressioni numeriche e ingenuità restano abusate nella scelta delle chiavi d'accesso ai servizi. Ai vertici della classifica restano "123456" e "password"
  • SicurezzaGoogle, USB per l'autenticazione utenteMountain View prova a semplificare l'autenticazione a doppio fattore implementando il supporto per la chiavetta USB "universale", un sistema basato su standard industriali che in futuro si farà ancora più facile e immateriale
  • SicurezzaCircolano 5 milioni di password GoogleUn archivio contenenti tutte le credenziali necessarie a entrare negli account personali degli utenti di Mountain View è disponibile in rete. Nessuna conferma ufficiale, ma Big G sta investigando
15 Commenti alla Notizia Domanda di sicurezza? Risposta sbagliata
Ordina
  • se nella domanda segreta hanno scritto "il nome della mamma della password" secondo voi cosa puo' essere la password? un nome??? oppure?
  • Tramite l'applicazione dell'ingegneria sociale, e con una
    motivazione, si può riuscire abbastanza facilmente a crackare
    una domanda di sicurezza in un sistema di login. Quindi
    usarla cambia molto poco a livello di sicurezza.
  • "Da un lato ciò complica le operazioni mnemoniche al momento del recupero della password, dall'altro apre la strada a risposte più intuibili per i malintenzionati"

    Eh? Da quando una risposta falsa aiuta i malintenzionati? Una risposta falsa implica che non vi è alcun collegamento evidente tra la domanda e la risposta. Se a me piacesse Gigi D'alessio e alla domanda "qual è il tuo autore preferito?" rispondo "Tokio Hotel" voglio vedere come farebbero ad indovinarla. Il top è quando si usano risposte errate, con errori di ortografia e altro.

    P.S. No, non mi piace né Gigi D'alessio né i Tokio Hotel.
    non+autenticato
  • - Scritto da: Luca

    > P.S. No, non mi piace né Gigi D'alessio né i
    > Tokio
    > Hotel.
    E vorrei pure vedere! si può tranquillamente mentire senza bisogno di essere masochisti....
    (non saprei dire quale dei 2 "artista/gruppo" sia peggio... una bella gara...)
    Sorride
    non+autenticato
  • Era per scrivere risposte che nessuno darebbe mai, nemmeno sotto minaccia armata. A bocca apertaA bocca aperta
    non+autenticato
  • - Scritto da: Luca

    >
    > Eh? Da quando una risposta falsa aiuta i
    > malintenzionati? Una risposta falsa implica che
    > non vi è alcun collegamento evidente tra la
    > domanda e la risposta. Se a me piacesse Gigi
    > D'alessio e alla domanda "qual è il tuo autore
    > preferito?" rispondo "Tokio Hotel" voglio vedere
    > come farebbero ad indovinarla.

    Ti sei risposto da solo.
    Per una risposta falsa, nella maggior parte dei casi, si sceglierà una risposta più comune, magari molto più comune della risposta che avresti dato sinceramente...
  • In realtà è proprio il contrario. Non mi ritengo un intellettuale, ma ho comunque una certa cultura. Voglio vedere il cracker di turno ad indovinare il personaggio che posso mettere in risposta alla domanda "qual è il tuo personaggio storico preferito?" considerando che ci posso mettere anche "frulululala".
    non+autenticato
  • ami il sistema piu' invasivo e tracciante... del resto non e' il solo (anzi).

    la domanda di sicurezza funge benone invece... il "problema" e' 1)l'utente e 2)chi imposta il servizio... l'utente non deve essere utonto, e la 'domanda di sicurezza' deve poter essere liberamente impostabile dall'utente medesimo (e non la solita minchiata preimpostata del cibo o del nome della madre)
    non+autenticato
  • beh oddio può andere bene anche la ca...ta del nome della mamma... nessuno dice che tu non possa mentire... tutto sommato il "nome della mamma" se parti dal presupposto che puoi mentire non è più "guessabile" di altre cose pure per uno che ti conosca....
    non+autenticato
  • - Scritto da: Abitudinari o
    > beh oddio può andere bene anche la ca...ta del
    > nome della mamma... nessuno dice che tu non possa
    > mentire... tutto sommato il "nome della mamma" se
    > parti dal presupposto che puoi mentire non è più
    > "guessabile" di altre cose pure per uno che ti
    > conosca....
    mentire porta a dimenticarti la vera risposta, e il range delle risposte menzognere e' cmq basso. CERTO, se uno prende la domanda "qual'e' il nome di tua madre" e decide nella sua mente che a quella domanda risponde con la formula della rezione deuterio-trizio.. allora va meglio.. (deve pero' ricordarsi questo espediente... e torniamo all'utente-utonto... )
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Abitudinari o
    > > beh oddio può andere bene anche la ca...ta del
    > > nome della mamma... nessuno dice che tu non
    > possa
    > > mentire... tutto sommato il "nome della mamma"
    > se
    > > parti dal presupposto che puoi mentire non è più
    > > "guessabile" di altre cose pure per uno che ti
    > > conosca....
    > mentire porta a dimenticarti la vera risposta, e
    > il range delle risposte menzognere e' cmq basso.
    > CERTO, se uno prende la domanda "qual'e' il nome
    > di tua madre" e decide nella sua mente che a
    > quella domanda risponde con la formula della
    > rezione deuterio-trizio.. allora va meglio..
    > (deve pero' ricordarsi questo espediente... e
    > torniamo all'utente-utonto...
    > )

    Beh oddio basta che usi quello della tua fidanzata invece che quello della mamma è più semplice del della formula e ugualmente "mnemonico".
    "Peccato" che lo sia solo per te.
    La associazione deve essere "semplice" (senza più di uno step di "indirezione) e "esclusiva" (ovvero non deducibile da terzi anche se ti conoscono) chi ti conosce sa il nome della tua mamma (forse) ma non sa che tu hai deciso di mentire ne quale bugia hai deciso di raccontare.
    Il deuterio puoi tranquillamente lasciarlo dove sta.
    Occhiolino
    non+autenticato
  • - Scritto da: 6 giaguar
    > - Scritto da: bubba
    > > - Scritto da: Abitudinari o
    > > > beh oddio può andere bene anche la
    > ca...ta
    > del
    > > > nome della mamma... nessuno dice che tu
    > non
    > > possa
    > > > mentire... tutto sommato il "nome della
    > mamma"
    > > se
    > > > parti dal presupposto che puoi mentire
    > non è
    > più
    > > > "guessabile" di altre cose pure per uno
    > che
    > ti
    > > > conosca....
    > > mentire porta a dimenticarti la vera
    > risposta,
    > e
    > > il range delle risposte menzognere e' cmq
    > basso.
    > > CERTO, se uno prende la domanda "qual'e' il
    > nome
    > > di tua madre" e decide nella sua mente che a
    > > quella domanda risponde con la formula della
    > > rezione deuterio-trizio.. allora va meglio..
    > > (deve pero' ricordarsi questo espediente... e
    > > torniamo all'utente-utonto...
    > > )
    >
    > Beh oddio basta che usi quello della tua
    > fidanzata invece che quello della mamma è più
    > semplice del della formula e ugualmente
    > "mnemonico".
    cos'e' una battuta? nome della mamma o fidanzata stanno dentro lo stesso misero range di nomi da bruteforzare... (e come utente c'e' sempre il rischio che ti dimentichi, mentendo, cosa avevi messo). la cosa migliore come dicevo e' scriversi anche la domanda.
    alla peggio c'e' la 2ipotesi che dicevo. entrambe presuppongono uno non-utonto pero', visto che uno se la deve 'marchiare in mente' come regola nel 2'caso, e nel primo deve fare lo sforzo di crearsi la domanda (oltre che ovviamente il sw deve permetterlo).... certocerto 2fa,otp e antani in teoria sono cose migliori, ma presuppongono tracciamento/correlazioni-tra-te-e-l'account molto piu stringenti..
    non+autenticato
  • Ho sempre trovato fastidiose le domande di sicurezza all'iscrizione, tipo il nome del tuo cane o quello di tua mamma da nubile.
    Se voglio, posso dare un n. di telefono per la ri-autenticazione.
    Ma con tutti i servizi collegati ad un account google (mail, drive, youtube ecc.), mi è impossibile dimenticarla.
    non+autenticato
  • - Scritto da: rico
    > Ho sempre trovato fastidiose le domande di
    > sicurezza all'iscrizione, tipo il nome del tuo
    > cane o quello di tua mamma da
    > nubile.
    > Se voglio, posso dare un n. di telefono per la
    > ri-autenticazione.
    > Ma con tutti i servizi collegati ad un account
    > google (mail, drive, youtube ecc.), mi è
    > impossibile
    > dimenticarla.

    indovino se dico che la risposta che hai messo e' "vaffanculo"?A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Come dimenticarsi la "Lingua salmistrata in salsa di banane"
    non+autenticato