Proton

Qual è il nome del tuo primo animale domestico? In quale città sei nato?

Tutti noi abbiamo dovuto rispondere a queste domande per reimpostare una password dimenticata da tempo, ma considera come funziona. Molte di queste informazioni sono facilmente reperibili per altri (o facilmente dimenticate da te), rendendole una difesa scadente per i tuoi account online più importanti, dati personali e informazioni sensibili.

Le domande di sicurezza sono pensate per aiutare a reimpostare le password, riaprire account bloccati e, in ultima analisi, proteggere i tuoi spazi digitali da attacchi o violazioni, ma tale salvaguardia è considerata ampiamente fallace e inaffidabile(nuova finestra).

Un massiccio data breach di Yahoo(nuova finestra) ha evidenziato i pericoli di fare affidamento sulle domande di sicurezza per proteggere i tuoi account. Il data breach ha esposto i dati personali di mezzo miliardo di utenti, inclusi i loro nomi, indirizzi email, numeri di telefono e le domande e risposte di sicurezza utilizzate per il recupero dell’account.

Questo articolo esplorerà perché le domande di sicurezza sono in realtà pessime per la tua sicurezza e quali misure puoi adottare per proteggere meglio i tuoi dati privati più sensibili.

Cosa sono le domande di sicurezza?

Quando sei bloccato fuori da un account, è comune dover affrontare domande di sicurezza per riaccedere o reimpostare le password. Questo strato di sicurezza aggiuntivo è comune e utilizzato su molte piattaforme, da email e social media a siti di banking e shopping online.

Le risposte a domande come “Qual è il cognome da nubile di tua madre?” dovrebbero essere informazioni che solo tu conosci o pochi eletti — in teoria, quanto più oscura è la risposta, tanto migliore è la sicurezza.

Tuttavia, gli esperti hanno cominciato a mettere in dubbio l’efficacia(nuova finestra) di questo strato di sicurezza a causa delle vulnerabilità che sorgono quando si richiede alle persone di ricordare informazioni che possono essere dimenticate, modificate o scoperte da potenziali aggressori che indagano su Internet.

Perché le domande di sicurezza sono una pessima idea

Ci sono diverse ragioni per cui fare affidamento sulle domande di sicurezza per proteggerti è una cattiva idea. Si riduce a una coppia di realtà sfortunate: i potenziali aggressori sono più astuti di quanto si possa pensare e c’è più informazioni personali online di quanto si realizzi.

Ecco uno sguardo a perché le domande di sicurezza sono l’anello più debole delle misure di sicurezza:

  • Prevedibilità(nuova finestra): Domande di sicurezza popolari come “Qual è il tuo colore preferito?” possono essere troppo generiche e facilmente prevedibili, secondo il National Cyber Security Centre del Regno Unito(nuova finestra). Quando il pool di risposte possibili è piccolo, è molto più facile per un potenziale aggressore indovinare.
  • Scopribilità: In un’epoca in cui le persone gestiscono più account sui social media su diverse piattaforme, gli aggressori possono spesso trovare risposte alle domande di sicurezza con un po’ di ricerca nei tuoi profili pubblici. Possono costruire un profilo su di te basato sui tuoi post, sfruttando informazioni pubblicamente disponibili per eludere le misure di sicurezza e ottenere accesso al tuo account.
  • Dimenticanza: Preferenze e dettagli della vita cambiano nel tempo, spesso rendendo difficile per te ricordare le informazioni nel momento in cui ne hai bisogno. Questo riduce notevolmente l’affidabilità delle domande di sicurezza come strumento di sicurezza.

Il National Cybersecurity Centre incoraggia le persone ad usare metodi di autenticazione robusti quanto le password stesse e avverte contro il fare affidamento esclusivamente sulle domande di sicurezza(nuova finestra). Anche Google ha pubblicato uno studio(nuova finestra) sostenendo che le domande di sicurezza sono uno dei peggiori modi per proteggere la tua privacy online(nuova finestra).

“Il 40% degli utenti anglofoni degli Stati Uniti ha fallito nel ricordare le proprie risposte alle domande di sicurezza, secondo Google,” ha riferito Time(nuova finestra). “Quando le domande sono molto difficili, come chiedere il numero di frequent flyer di una persona, il tasso di ricordo scende al 9%.”

Attenzione a condividere troppo sui social media

Esplorando i tuoi account social, gli hacker possono spesso ottenere le informazioni che utilizzi per reimpostare le password, in particolare le risposte alle domande di sicurezza. Assicurati di considerare qualsiasi cosa tu condivida che potrebbe contenere le seguenti informazioni:

  • Nomi di famiglia
  • Data di nascita
  • Luogo di nascita
  • A quale scuola hai frequentato
  • Nomi degli animali domestici
  • Qualsiasi indirizzo, attuale o precedente
  • Dettagli della tua routine

Cosa c’è in gioco? I tuoi dati e la tua privacy

Se le risposte alle tue domande di sicurezza vengono mai compromesse, ciò può portare a violazioni della privacy su vasta scala.

  • Furto d’identità: Con l’accesso a qualcosa come il tuo conto in banca, non ci vorrebbe molto per un attaccante per impersonarti, aprire nuovi conti o commettere frodi con la tua identità rubata.
  • Account compromessi: Se le risposte alle tue domande di sicurezza vengono esposte in una violazione dei dati, qualsiasi account collegato alle risposte di quelle domande può essere in pericolo, poiché è comune per le persone riciclare le stesse su più account.

Quali sono le misure di sicurezza alternative migliori?

Conoscendo i pericoli che possono derivare dalle domande di sicurezza tradizionali, potresti considerare l’uso di metodi di autenticazione più efficaci e affidabili.

Autenticazione a due fattori (2FA), nota anche come verifica in due passaggi, richiede due forme di identificazione quando accedi a un account. Dopo aver inserito un nome utente e una password, la 2FA potrebbe richiederti di inserire un codice univoco generato da un’app di autenticazione mobile, collegare una chiave di sicurezza, o digitare un codice inviato al tuo telefono.

Ecco una panoramica delle migliori forme di 2FA:

  • Chiave di sicurezza: Le chiavi di sicurezza, note anche come chiavi hardware, aiutano a provare la tua identità quando accedi a un account, app o dispositivo. Ciò ti consente di accedere al tuo account utilizzando una chiave fisica, come una YubiKey(nuova finestra), che assomiglia a una chiavetta USB. Se scegli di utilizzare una chiave 2FA con il tuo Account Proton, ad esempio, devi inserire la tua chiave ogni volta che accedi.
  • Password monouso basate sul tempo: Puoi utilizzare un’app di autenticazione sul tuo smartphone per generare password a sei cifre che si rigenerano ogni 30 secondi per mantenere i codici aggiornati e rendere difficile l’accesso non autorizzato ai tuoi account per potenziali aggressori. Utilizzare TOTP può essere scomodo, tuttavia, poiché comporta l’inserimento di un codice in un breve lasso di tempo.

E i messaggi SMS?

I messaggi di testo sono considerati l’opzione meno sicura di 2FA, in quanto vulnerabili agli attacchi di scambio SIM. Gli SMS sono non criptati e insicuri, rendendo più facile per gli hacker intercettare i codici 2FA. Se vengono offerti più metodi 2FA, gli SMS dovrebbero essere evitati.

Le migliori pratiche per la sicurezza online

Con le minacce alla sicurezza informatica che diventano sempre più sofisticate e comuni, è importante rivalutare le pratiche di sicurezza e il ruolo che le domande di sicurezza giocano nella nostra difesa contro tali attacchi. Ecco due modi per potenziare la tua sicurezza online in questo momento:

  • Utilizza alias email: Questi ti permettono di mantenere privati i tuoi indirizzi email personali. Puoi utilizzare un servizio, come SimpleLogin di Proton, per generare indirizzi email distinti per i tuoi vari account online. In questo modo, puoi facilmente revocare un alias associato a uno specifico account nel caso in cui quest’ultimo venga compromesso.

Dai la priorità alla tua privacy

Puoi iniziare affidando la tua fiducia alle domande di sicurezza e utilizzando strumenti alternativi, come l’autenticazione a due fattori e servizi di posta elettronica sicura come Proton Mail, per rafforzare le tue difese.

È importante utilizzare i migliori strumenti disponibili per costruire un futuro dove la privacy sia lo standard.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.