Le domande che i servizi online pongono ai loro utenti per consentire di riguadagnare l’accesso ad account di cui si è persa la password sono tutt’altro che efficaci, vanificate da risposte fin troppo ovvie o da risposte menzognere, difficilmente intuibili anche per l’utente che le ha fornite.
Lo studio , condotto da ricercatori di Google e dal ricercatore di Stanford e EFF Joseph Bonneau, prende in esame milioni di domande di sicurezza scelte dagli utenti di Google, Yahoo e di altri servizi online e i milioni di corrispondenti risposte fornite al momento della registrazione e nei tentativi di sbloccare gli account di cui si è dimenticata la password.
Una delle principali falle dei sistemi di sicurezza basati sulle domande è la facilità con cui statisticamente si possono intuire le risposte , sulla base di fattori culturali o demografici legati alla località in cui gli utenti vivono. Un esempio è costituito dalle domande relative al cibo preferito: puntando sulla pizza, con un solo tentativo è possibile indovinare la risposta nel 19,7 per cento dei casi, per i netizen parlanti inglese. Le risposte dei netizen che parlano spagnolo, invece, sono particolarmente fallibili riguardo ai nomi: nel 21 per cento dei casi, bastano 10 tentativi per indovinare il secondo nome del padre del detentore dell’account da violare. Allo stesso modo, l’uniformità delle risposte dei netizen coreani, basata su dati oggettivi relativi ad esempio alla densità di popolazione, in 10 tentativi permetteranno nel 39 per cento dei casi di indovinare la città di nascita dell’utente.
Domande e risposte che invece non si prestano ad inuizioni basate sulla statistica risultano essere difficilmente memorizzabili anche per gli stessi utenti detentori dell’account: solo il 55 per cento degli utenti statunitensi mostra, nel momento del bisogno, di riuscire a ricordare il proprio primo numero di telefono mobile. Il tempo , poi, erode la memoria e altera le preferenze: anche una domanda semplice come quella riguardo al cibo preferito, dopo un anno dalla prima risposta, produce riscontri non corrispondenti nel 53 per cento dei casi.
A creare ulterori difficoltà, poi, c’è il guizzo degli utenti che falsificano le proprie risposte : il 37 per cento del campione preso in condiserazione per lo studio ha ammesso di scegliere risposte non aderenti alla realtà per garantirsi una maggiore tutela, il 15 per cento fornisce risposte false perché ritiene siano più facilmente memorizzabili. Da un lato ciò complica le operazioni mnemoniche al momento del recupero della password, dall’altro apre la strada a risposte più intuibili per i malintenzionati.
Dallo studio emerge dunque che la capacità di ricordare le risposte è inversamente proporzionale alla loro sicurezza: proprio questa correlazione fa sottolineare ai ricercatori la necessità di appoggiarsi a soluzioni alternative. Come quelle che Mounatin View pone da tempo a presidio degli account dei propri utenti: sistemi di ri-autenticazione basati su codici inviati via SMS o a indirizzi email secondari si mostrano efficaci rispettivamente nell’80 per cento e nel 75 per cento dei casi.
Gaia Bottà