La password? Troppo facile carpirla

Ricerca Usa: facilissimo rispondere alle domande personali e segrete dei sistemi di sicurezza delle webmail

MILANO – Non è un segreto, se almeno i nostri cari e gli amici lo sanno. E allora perché continuare a proteggere le nostre password e gli accessi alle caselle di posta web con domande cui anche il nostro vicino saprebbe rispondere in un batter d’occhio? Se lo chiede Microsoft, che ha appena pubblicato una ricerca in collaborazione con la Carnegie Mellon University che dimostra quanto sia semplice scovare le password altrui. E che propone anche le alternative: per esempio, usare persone fidate di nostra conoscenza che funzionino da doppio controllo al posto nostro.

DOMANDE PERSONALI – Sul banco degli imputati ci sono i 4 principali provider mondiali di webmail: Microsoft stessa, con la sua Hotmail, Google con Gmail, Yahoo e Aol. Per il quartetto la tipologia di controllo in caso di smarrimento della password per accedere alla posta è lo stesso, ovvero rispondere a una domanda (solitamente all’interno di una lista di quesiti preconfezionati), come la classica “il nome da nubile di tua madre”, o ancora, “la città in cui sei nato”, “il nome del tuo animale domestico” e via dicendo. A risposta esatta, si viene reindirizzati alla propria casella di posta, e tutto procede tranquillamente. Anzi, a quel punto è possibile cambiare la password scordata con una nuova di zecca. Ma tale pratica, avvertono gli specialisti, è assai rischiosa perché ci rende vulnerabili al furto della nostra identità elettronica e a rischio di attacchi, soprattutto se siamo utenti che amano comprare online, su Amazon piuttosto che su eBay.

LO STUDIO – Microsoft e l’università Carnegie Mellon hanno chiesto ai conoscenti di 32 utenti delle più conosciute webmail di rispondere al posto loro alle domande di sbarramento per riavere il proprio account: in un caso su cinque queste persone erano in grado di superare la barriera ed entrare nelle caselle degli amici. Troppo semplice dunque eludere la sicurezza, ecco perché lo stesso studio propone anche una soluzione al problema. L’utente potrà scegliere una serie di persone “fidate” che garantiranno al posto suo quando costui smarrirà la password e verrà rigettato dal sistema. Sarà a loro che automaticamente il software di sicurezza della webmail si rivolgerà, consegnando un codice di recupero della password. Mettendo insieme i vari codici raccolti dagli amici, l’utente sfortunato dimostrerà così di essere il vero proprietario e potrà riavere il suo account. Ma più che un sistema di sicurezza, la soluzione ricorda una caccia al tesoro in piena regola.

Eva Perasso
23 giugno 2009

Fonti: www.corriere.it

0 commenti, commenta qui: