Proton
Iscriviti con RSS
The cover image for a Proton blog about whether security questions are safe. The image shows two password fields, one with a shield containing a question mark and one with a triangle containing an exclamation mark

Le domande di sicurezza sono pessime per la sicurezza dell’account?

Condividi questa pagina

Qual è il nome del tuo primo animale domestico? In quale città sei nato?

Tutti noi abbiamo dovuto rispondere a queste domande per reimpostare una password dimenticata da tempo, ma considera come funziona. Molte di queste informazioni sono facilmente reperibili per altri (o facilmente dimenticate da te), rendendole una difesa scadente per i tuoi account online più importanti, dati personali e informazioni sensibili.

Le domande di sicurezza sono pensate per aiutare a reimpostare le password, riaprire account bloccati e, in ultima analisi, proteggere i tuoi spazi digitali da attacchi o violazioni, ma tale salvaguardia è considerata ampiamente fallace e inaffidabile(nuova finestra).

Un massiccio data breach di Yahoo(nuova finestra) ha evidenziato i pericoli di fare affidamento sulle domande di sicurezza per proteggere i tuoi account. Il data breach ha esposto i dati personali di mezzo miliardo di utenti, inclusi i loro nomi, indirizzi email, numeri di telefono e le domande e risposte di sicurezza utilizzate per il recupero dell’account.

Questo articolo esplorerà perché le domande di sicurezza sono in realtà pessime per la tua sicurezza e quali misure puoi adottare per proteggere meglio i tuoi dati privati più sensibili.

Cosa sono le domande di sicurezza?

Quando sei bloccato fuori da un account, è comune dover affrontare domande di sicurezza per riaccedere o reimpostare le password. Questo strato di sicurezza aggiuntivo è comune e utilizzato su molte piattaforme, da email e social media a siti di banking e shopping online.

Le risposte a domande come “Qual è il cognome da nubile di tua madre?” dovrebbero essere informazioni che solo tu conosci o pochi eletti — in teoria, quanto più oscura è la risposta, tanto migliore è la sicurezza.

Tuttavia, gli esperti hanno cominciato a mettere in dubbio l’efficacia(nuova finestra) di questo strato di sicurezza a causa delle vulnerabilità che sorgono quando si richiede alle persone di ricordare informazioni che possono essere dimenticate, modificate o scoperte da potenziali aggressori che indagano su Internet.

Perché le domande di sicurezza sono una pessima idea

Ci sono diverse ragioni per cui fare affidamento sulle domande di sicurezza per proteggerti è una cattiva idea. Si riduce a una coppia di realtà sfortunate: i potenziali aggressori sono più astuti di quanto si possa pensare e c’è più informazioni personali online di quanto si realizzi.

Ecco uno sguardo a perché le domande di sicurezza sono l’anello più debole delle misure di sicurezza:

  • Prevedibilità(nuova finestra): Domande di sicurezza popolari come “Qual è il tuo colore preferito?” possono essere troppo generiche e facilmente prevedibili, secondo il National Cyber Security Centre del Regno Unito(nuova finestra). Quando il pool di risposte possibili è piccolo, è molto più facile per un potenziale aggressore indovinare.
  • Scopribilità: In un’epoca in cui le persone gestiscono più account sui social media su diverse piattaforme, gli aggressori possono spesso trovare risposte alle domande di sicurezza con un po’ di ricerca nei tuoi profili pubblici. Possono costruire un profilo su di te basato sui tuoi post, sfruttando informazioni pubblicamente disponibili per eludere le misure di sicurezza e ottenere accesso al tuo account.
  • Dimenticanza: Preferenze e dettagli della vita cambiano nel tempo, spesso rendendo difficile per te ricordare le informazioni nel momento in cui ne hai bisogno. Questo riduce notevolmente l’affidabilità delle domande di sicurezza come strumento di sicurezza.

Il National Cybersecurity Centre incoraggia le persone ad usare metodi di autenticazione robusti quanto le password stesse e avverte contro il fare affidamento esclusivamente sulle domande di sicurezza(nuova finestra). Anche Google ha pubblicato uno studio(nuova finestra) sostenendo che le domande di sicurezza sono uno dei peggiori modi per proteggere la tua privacy online(nuova finestra).

“Il 40% degli utenti anglofoni degli Stati Uniti ha fallito nel ricordare le proprie risposte alle domande di sicurezza, secondo Google,” ha riferito Time(nuova finestra). “Quando le domande sono molto difficili, come chiedere il numero di frequent flyer di una persona, il tasso di ricordo scende al 9%.”

Attenzione a condividere troppo sui social media

Esplorando i tuoi account social, gli hacker possono spesso ottenere le informazioni che utilizzi per reimpostare le password, in particolare le risposte alle domande di sicurezza. Assicurati di considerare qualsiasi cosa tu condivida che potrebbe contenere le seguenti informazioni:

  • Nomi di famiglia
  • Data di nascita
  • Luogo di nascita
  • A quale scuola hai frequentato
  • Nomi degli animali domestici
  • Qualsiasi indirizzo, attuale o precedente
  • Dettagli della tua routine

Cosa c’è in gioco? I tuoi dati e la tua privacy

Se le risposte alle tue domande di sicurezza vengono mai compromesse, ciò può portare a violazioni della privacy su vasta scala.

  • Furto d’identità: Con l’accesso a qualcosa come il tuo conto in banca, non ci vorrebbe molto per un attaccante per impersonarti, aprire nuovi conti o commettere frodi con la tua identità rubata.
  • Account compromessi: Se le risposte alle tue domande di sicurezza vengono esposte in una violazione dei dati, qualsiasi account collegato alle risposte di quelle domande può essere in pericolo, poiché è comune per le persone riciclare le stesse su più account.

Quali sono le misure di sicurezza alternative migliori?

Conoscendo i pericoli che possono derivare dalle domande di sicurezza tradizionali, potresti considerare l’uso di metodi di autenticazione più efficaci e affidabili.

Autenticazione a due fattori (2FA), nota anche come verifica in due passaggi, richiede due forme di identificazione quando accedi a un account. Dopo aver inserito un nome utente e una password, la 2FA potrebbe richiederti di inserire un codice univoco generato da un’app di autenticazione mobile, collegare una chiave di sicurezza, o digitare un codice inviato al tuo telefono.

Ecco una panoramica delle migliori forme di 2FA:

  • Chiave di sicurezza: Le chiavi di sicurezza, note anche come chiavi hardware, aiutano a provare la tua identità quando accedi a un account, app o dispositivo. Ciò ti consente di accedere al tuo account utilizzando una chiave fisica, come una YubiKey(nuova finestra), che assomiglia a una chiavetta USB. Se scegli di utilizzare una chiave 2FA con il tuo Account Proton, ad esempio, devi inserire la tua chiave ogni volta che accedi.
  • Password monouso basate sul tempo: Puoi utilizzare un’app di autenticazione sul tuo smartphone per generare password a sei cifre che si rigenerano ogni 30 secondi per mantenere i codici aggiornati e rendere difficile l’accesso non autorizzato ai tuoi account per potenziali aggressori. Utilizzare TOTP può essere scomodo, tuttavia, poiché comporta l’inserimento di un codice in un breve lasso di tempo.

E i messaggi SMS?

I messaggi di testo sono considerati l’opzione meno sicura di 2FA, in quanto vulnerabili agli attacchi di scambio SIM. Gli SMS sono non criptati e insicuri, rendendo più facile per gli hacker intercettare i codici 2FA. Se vengono offerti più metodi 2FA, gli SMS dovrebbero essere evitati.

Le migliori pratiche per la sicurezza online

Con le minacce alla sicurezza informatica che diventano sempre più sofisticate e comuni, è importante rivalutare le pratiche di sicurezza e il ruolo che le domande di sicurezza giocano nella nostra difesa contro tali attacchi. Ecco due modi per potenziare la tua sicurezza online in questo momento:

  • Utilizza alias email: Questi ti permettono di mantenere privati i tuoi indirizzi email personali. Puoi utilizzare un servizio, come SimpleLogin di Proton, per generare indirizzi email distinti per i tuoi vari account online. In questo modo, puoi facilmente revocare un alias associato a uno specifico account nel caso in cui quest’ultimo venga compromesso.

Dai la priorità alla tua privacy

Puoi iniziare affidando la tua fiducia alle domande di sicurezza e utilizzando strumenti alternativi, come l’autenticazione a due fattori e servizi di posta elettronica sicura come Proton Mail, per rafforzare le tue difese.

È importante utilizzare i migliori strumenti disponibili per costruire un futuro dove la privacy sia lo standard.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Family photos linked by AI, suggesting that your family photos may be used for training AI
en
Learn how Big Tech uses family photos to train AI, how it affects you, and how to protect your privacy to keep your memories out of datasets.
Microsoft has announced that, starting in June, you’ll no longer be able to save new passwords in the Microsoft Authenticator app.
en
If you want to use Microsoft’s password management features, you now need to step deeper into Microsoft’s walled garden. There's another way.
An illustration of a photo containing a parent and their child, overlayed on a cloud and an open padlock
en
Is your family’s photo collection safe? We surveyed 2,000 UK parents to uncover the truth about cloud storage risks, data breaches, and protecting precious memories.
en
Albums in Proton Drive makes it easier than ever to store and manage photos and videos while protecting your memories with end-to-end encryption.
What is SSO and why is it useful for businesses?
en
SSO allows employees to securely access all their work apps with just one login. Here's how SSO works and why businesses should consider it.
adolescence and the internet we handed to kids
en
Adolescence shows how platforms shape kids in harmful ways. Here's why transparent, open digital education must lead the change.