Proton
Iscriviti con RSS
The cover image for a Proton blog about whether security questions are safe. The image shows two password fields, one with a shield containing a question mark and one with a triangle containing an exclamation mark

Le domande di sicurezza sono pessime per la sicurezza dell’account?

Condividi questa pagina

Qual è il nome del tuo primo animale domestico? In quale città sei nato?

Tutti noi abbiamo dovuto rispondere a queste domande per reimpostare una password dimenticata da tempo, ma considera come funziona. Molte di queste informazioni sono facilmente reperibili per altri (o facilmente dimenticate da te), rendendole una difesa scadente per i tuoi account online più importanti, dati personali e informazioni sensibili.

Le domande di sicurezza sono pensate per aiutare a reimpostare le password, riaprire account bloccati e, in ultima analisi, proteggere i tuoi spazi digitali da attacchi o violazioni, ma tale salvaguardia è considerata ampiamente fallace e inaffidabile(nuova finestra).

Un massiccio data breach di Yahoo(nuova finestra) ha evidenziato i pericoli di fare affidamento sulle domande di sicurezza per proteggere i tuoi account. Il data breach ha esposto i dati personali di mezzo miliardo di utenti, inclusi i loro nomi, indirizzi email, numeri di telefono e le domande e risposte di sicurezza utilizzate per il recupero dell’account.

Questo articolo esplorerà perché le domande di sicurezza sono in realtà pessime per la tua sicurezza e quali misure puoi adottare per proteggere meglio i tuoi dati privati più sensibili.

Cosa sono le domande di sicurezza?

Quando sei bloccato fuori da un account, è comune dover affrontare domande di sicurezza per riaccedere o reimpostare le password. Questo strato di sicurezza aggiuntivo è comune e utilizzato su molte piattaforme, da email e social media a siti di banking e shopping online.

Le risposte a domande come “Qual è il cognome da nubile di tua madre?” dovrebbero essere informazioni che solo tu conosci o pochi eletti — in teoria, quanto più oscura è la risposta, tanto migliore è la sicurezza.

Tuttavia, gli esperti hanno cominciato a mettere in dubbio l’efficacia(nuova finestra) di questo strato di sicurezza a causa delle vulnerabilità che sorgono quando si richiede alle persone di ricordare informazioni che possono essere dimenticate, modificate o scoperte da potenziali aggressori che indagano su Internet.

Perché le domande di sicurezza sono una pessima idea

Ci sono diverse ragioni per cui fare affidamento sulle domande di sicurezza per proteggerti è una cattiva idea. Si riduce a una coppia di realtà sfortunate: i potenziali aggressori sono più astuti di quanto si possa pensare e c’è più informazioni personali online di quanto si realizzi.

Ecco uno sguardo a perché le domande di sicurezza sono l’anello più debole delle misure di sicurezza:

  • Prevedibilità(nuova finestra): Domande di sicurezza popolari come “Qual è il tuo colore preferito?” possono essere troppo generiche e facilmente prevedibili, secondo il National Cyber Security Centre del Regno Unito(nuova finestra). Quando il pool di risposte possibili è piccolo, è molto più facile per un potenziale aggressore indovinare.
  • Scopribilità: In un’epoca in cui le persone gestiscono più account sui social media su diverse piattaforme, gli aggressori possono spesso trovare risposte alle domande di sicurezza con un po’ di ricerca nei tuoi profili pubblici. Possono costruire un profilo su di te basato sui tuoi post, sfruttando informazioni pubblicamente disponibili per eludere le misure di sicurezza e ottenere accesso al tuo account.
  • Dimenticanza: Preferenze e dettagli della vita cambiano nel tempo, spesso rendendo difficile per te ricordare le informazioni nel momento in cui ne hai bisogno. Questo riduce notevolmente l’affidabilità delle domande di sicurezza come strumento di sicurezza.

Il National Cybersecurity Centre incoraggia le persone ad usare metodi di autenticazione robusti quanto le password stesse e avverte contro il fare affidamento esclusivamente sulle domande di sicurezza(nuova finestra). Anche Google ha pubblicato uno studio(nuova finestra) sostenendo che le domande di sicurezza sono uno dei peggiori modi per proteggere la tua privacy online(nuova finestra).

“Il 40% degli utenti anglofoni degli Stati Uniti ha fallito nel ricordare le proprie risposte alle domande di sicurezza, secondo Google,” ha riferito Time(nuova finestra). “Quando le domande sono molto difficili, come chiedere il numero di frequent flyer di una persona, il tasso di ricordo scende al 9%.”

Attenzione a condividere troppo sui social media

Esplorando i tuoi account social, gli hacker possono spesso ottenere le informazioni che utilizzi per reimpostare le password, in particolare le risposte alle domande di sicurezza. Assicurati di considerare qualsiasi cosa tu condivida che potrebbe contenere le seguenti informazioni:

  • Nomi di famiglia
  • Data di nascita
  • Luogo di nascita
  • A quale scuola hai frequentato
  • Nomi degli animali domestici
  • Qualsiasi indirizzo, attuale o precedente
  • Dettagli della tua routine

Cosa c’è in gioco? I tuoi dati e la tua privacy

Se le risposte alle tue domande di sicurezza vengono mai compromesse, ciò può portare a violazioni della privacy su vasta scala.

  • Furto d’identità: Con l’accesso a qualcosa come il tuo conto in banca, non ci vorrebbe molto per un attaccante per impersonarti, aprire nuovi conti o commettere frodi con la tua identità rubata.
  • Account compromessi: Se le risposte alle tue domande di sicurezza vengono esposte in una violazione dei dati, qualsiasi account collegato alle risposte di quelle domande può essere in pericolo, poiché è comune per le persone riciclare le stesse su più account.

Quali sono le misure di sicurezza alternative migliori?

Conoscendo i pericoli che possono derivare dalle domande di sicurezza tradizionali, potresti considerare l’uso di metodi di autenticazione più efficaci e affidabili.

Autenticazione a due fattori (2FA), nota anche come verifica in due passaggi, richiede due forme di identificazione quando accedi a un account. Dopo aver inserito un nome utente e una password, la 2FA potrebbe richiederti di inserire un codice univoco generato da un’app di autenticazione mobile, collegare una chiave di sicurezza, o digitare un codice inviato al tuo telefono.

Ecco una panoramica delle migliori forme di 2FA:

  • Chiave di sicurezza: Le chiavi di sicurezza, note anche come chiavi hardware, aiutano a provare la tua identità quando accedi a un account, app o dispositivo. Ciò ti consente di accedere al tuo account utilizzando una chiave fisica, come una YubiKey(nuova finestra), che assomiglia a una chiavetta USB. Se scegli di utilizzare una chiave 2FA con il tuo Account Proton, ad esempio, devi inserire la tua chiave ogni volta che accedi.
  • Password monouso basate sul tempo: Puoi utilizzare un’app di autenticazione sul tuo smartphone per generare password a sei cifre che si rigenerano ogni 30 secondi per mantenere i codici aggiornati e rendere difficile l’accesso non autorizzato ai tuoi account per potenziali aggressori. Utilizzare TOTP può essere scomodo, tuttavia, poiché comporta l’inserimento di un codice in un breve lasso di tempo.

E i messaggi SMS?

I messaggi di testo sono considerati l’opzione meno sicura di 2FA, in quanto vulnerabili agli attacchi di scambio SIM. Gli SMS sono non criptati e insicuri, rendendo più facile per gli hacker intercettare i codici 2FA. Se vengono offerti più metodi 2FA, gli SMS dovrebbero essere evitati.

Le migliori pratiche per la sicurezza online

Con le minacce alla sicurezza informatica che diventano sempre più sofisticate e comuni, è importante rivalutare le pratiche di sicurezza e il ruolo che le domande di sicurezza giocano nella nostra difesa contro tali attacchi. Ecco due modi per potenziare la tua sicurezza online in questo momento:

  • Utilizza alias email: Questi ti permettono di mantenere privati i tuoi indirizzi email personali. Puoi utilizzare un servizio, come SimpleLogin di Proton, per generare indirizzi email distinti per i tuoi vari account online. In questo modo, puoi facilmente revocare un alias associato a uno specifico account nel caso in cui quest’ultimo venga compromesso.

Dai la priorità alla tua privacy

Puoi iniziare affidando la tua fiducia alle domande di sicurezza e utilizzando strumenti alternativi, come l’autenticazione a due fattori e servizi di posta elettronica sicura come Proton Mail, per rafforzare le tue difese.

È importante utilizzare i migliori strumenti disponibili per costruire un futuro dove la privacy sia lo standard.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

The Earth, a recycling symbol, and a warning sign representing a reminder to back up data on World Backup Day
en
Celebrate World Backup Day by learning from data loss stories, from family heirlooms to $500,000 in Bitcoin, and how to avoid a similar fate.
A desktop computer showing cleanup supplies and Proton apps for digital cleaning
en
  • Guide sulla privacy
Spring clean your digital life with Proton
Take control of your digital life by spring cleaning your inbox, passwords, and cloud storage using Proton's suite of privacy-first tools.
What is ePHI? The difference between PHI and ePHI explained
en
What is the difference between ePHI and PHI, and how can healthcare data can optimally be kept safe as it’s passed from one party to another?
A vial, Erlenmeyer flask, and a DNA double-helix being deleted.
en
If you used 23andMe, your data could soon be for sale. Here's how to delete your data from 23andMe — and why you might want to do so sooner than later.
European alternatives to US tech
en
Take back control of your digital life with privacy-focused European alternatives to US Big Tech apps and services.
A badge representing ISO 27001 certification for file sharing
en
What is ISO 27001 secure file collaboration? Learn about ISO 27001 certification and how to maintain ISO 27001 compliance for your business.