Proton
Iscriviti con RSS

Le domande di sicurezza sono pessime per la sicurezza dell’account?

Condividi questa pagina

Qual è il nome del tuo primo animale domestico? In quale città sei nato?

Tutti noi abbiamo dovuto rispondere a queste domande per reimpostare una password dimenticata da tempo, ma considera come funziona. Molte di queste informazioni sono facilmente reperibili per altri (o facilmente dimenticate da te), rendendole una difesa scadente per i tuoi account online più importanti, dati personali e informazioni sensibili.

Le domande di sicurezza sono pensate per aiutare a reimpostare le password, riaprire account bloccati e, in ultima analisi, proteggere i tuoi spazi digitali da attacchi o violazioni, ma tale salvaguardia è considerata ampiamente fallace e inaffidabile(nuova finestra).

Un massiccio data breach di Yahoo(nuova finestra) ha evidenziato i pericoli di fare affidamento sulle domande di sicurezza per proteggere i tuoi account. Il data breach ha esposto i dati personali di mezzo miliardo di utenti, inclusi i loro nomi, indirizzi email, numeri di telefono e le domande e risposte di sicurezza utilizzate per il recupero dell’account.

Questo articolo esplorerà perché le domande di sicurezza sono in realtà pessime per la tua sicurezza e quali misure puoi adottare per proteggere meglio i tuoi dati privati più sensibili.

Cosa sono le domande di sicurezza?

Quando sei bloccato fuori da un account, è comune dover affrontare domande di sicurezza per riaccedere o reimpostare le password. Questo strato di sicurezza aggiuntivo è comune e utilizzato su molte piattaforme, da email e social media a siti di banking e shopping online.

Le risposte a domande come “Qual è il cognome da nubile di tua madre?” dovrebbero essere informazioni che solo tu conosci o pochi eletti — in teoria, quanto più oscura è la risposta, tanto migliore è la sicurezza.

Tuttavia, gli esperti hanno cominciato a mettere in dubbio l’efficacia(nuova finestra) di questo strato di sicurezza a causa delle vulnerabilità che sorgono quando si richiede alle persone di ricordare informazioni che possono essere dimenticate, modificate o scoperte da potenziali aggressori che indagano su Internet.

Perché le domande di sicurezza sono una pessima idea

Ci sono diverse ragioni per cui fare affidamento sulle domande di sicurezza per proteggerti è una cattiva idea. Si riduce a una coppia di realtà sfortunate: i potenziali aggressori sono più astuti di quanto si possa pensare e c’è più informazioni personali online di quanto si realizzi.

Ecco uno sguardo a perché le domande di sicurezza sono l’anello più debole delle misure di sicurezza:

  • Prevedibilità(nuova finestra): Domande di sicurezza popolari come “Qual è il tuo colore preferito?” possono essere troppo generiche e facilmente prevedibili, secondo il National Cyber Security Centre del Regno Unito(nuova finestra). Quando il pool di risposte possibili è piccolo, è molto più facile per un potenziale aggressore indovinare.
  • Scopribilità: In un’epoca in cui le persone gestiscono più account sui social media su diverse piattaforme, gli aggressori possono spesso trovare risposte alle domande di sicurezza con un po’ di ricerca nei tuoi profili pubblici. Possono costruire un profilo su di te basato sui tuoi post, sfruttando informazioni pubblicamente disponibili per eludere le misure di sicurezza e ottenere accesso al tuo account.
  • Dimenticanza: Preferenze e dettagli della vita cambiano nel tempo, spesso rendendo difficile per te ricordare le informazioni nel momento in cui ne hai bisogno. Questo riduce notevolmente l’affidabilità delle domande di sicurezza come strumento di sicurezza.

Il National Cybersecurity Centre incoraggia le persone ad usare metodi di autenticazione robusti quanto le password stesse e avverte contro il fare affidamento esclusivamente sulle domande di sicurezza(nuova finestra). Anche Google ha pubblicato uno studio(nuova finestra) sostenendo che le domande di sicurezza sono uno dei peggiori modi per proteggere la tua privacy online(nuova finestra).

“Il 40% degli utenti anglofoni degli Stati Uniti ha fallito nel ricordare le proprie risposte alle domande di sicurezza, secondo Google,” ha riferito Time(nuova finestra). “Quando le domande sono molto difficili, come chiedere il numero di frequent flyer di una persona, il tasso di ricordo scende al 9%.”

Attenzione a condividere troppo sui social media

Esplorando i tuoi account social, gli hacker possono spesso ottenere le informazioni che utilizzi per reimpostare le password, in particolare le risposte alle domande di sicurezza. Assicurati di considerare qualsiasi cosa tu condivida che potrebbe contenere le seguenti informazioni:

  • Nomi di famiglia
  • Data di nascita
  • Luogo di nascita
  • A quale scuola hai frequentato
  • Nomi degli animali domestici
  • Qualsiasi indirizzo, attuale o precedente
  • Dettagli della tua routine

Cosa c’è in gioco? I tuoi dati e la tua privacy

Se le risposte alle tue domande di sicurezza vengono mai compromesse, ciò può portare a violazioni della privacy su vasta scala.

  • Furto d’identità: Con l’accesso a qualcosa come il tuo conto in banca, non ci vorrebbe molto per un attaccante per impersonarti, aprire nuovi conti o commettere frodi con la tua identità rubata.
  • Account compromessi: Se le risposte alle tue domande di sicurezza vengono esposte in una violazione dei dati, qualsiasi account collegato alle risposte di quelle domande può essere in pericolo, poiché è comune per le persone riciclare le stesse su più account.

Quali sono le misure di sicurezza alternative migliori?

Conoscendo i pericoli che possono derivare dalle domande di sicurezza tradizionali, potresti considerare l’uso di metodi di autenticazione più efficaci e affidabili.

Autenticazione a due fattori (2FA), nota anche come verifica in due passaggi, richiede due forme di identificazione quando accedi a un account. Dopo aver inserito un nome utente e una password, la 2FA potrebbe richiederti di inserire un codice univoco generato da un’app di autenticazione mobile, collegare una chiave di sicurezza, o digitare un codice inviato al tuo telefono.

Ecco una panoramica delle migliori forme di 2FA:

  • Chiave di sicurezza: Le chiavi di sicurezza, note anche come chiavi hardware, aiutano a provare la tua identità quando accedi a un account, app o dispositivo. Ciò ti consente di accedere al tuo account utilizzando una chiave fisica, come una YubiKey(nuova finestra), che assomiglia a una chiavetta USB. Se scegli di utilizzare una chiave 2FA con il tuo Account Proton, ad esempio, devi inserire la tua chiave ogni volta che accedi.
  • Password monouso basate sul tempo: Puoi utilizzare un’app di autenticazione sul tuo smartphone per generare password a sei cifre che si rigenerano ogni 30 secondi per mantenere i codici aggiornati e rendere difficile l’accesso non autorizzato ai tuoi account per potenziali aggressori. Utilizzare TOTP può essere scomodo, tuttavia, poiché comporta l’inserimento di un codice in un breve lasso di tempo.

E i messaggi SMS?

I messaggi di testo sono considerati l’opzione meno sicura di 2FA, in quanto vulnerabili agli attacchi di scambio SIM. Gli SMS sono non criptati e insicuri, rendendo più facile per gli hacker intercettare i codici 2FA. Se vengono offerti più metodi 2FA, gli SMS dovrebbero essere evitati.

Le migliori pratiche per la sicurezza online

Con le minacce alla sicurezza informatica che diventano sempre più sofisticate e comuni, è importante rivalutare le pratiche di sicurezza e il ruolo che le domande di sicurezza giocano nella nostra difesa contro tali attacchi. Ecco due modi per potenziare la tua sicurezza online in questo momento:

  • Utilizza alias email: Questi ti permettono di mantenere privati i tuoi indirizzi email personali. Puoi utilizzare un servizio, come SimpleLogin di Proton, per generare indirizzi email distinti per i tuoi vari account online. In questo modo, puoi facilmente revocare un alias associato a uno specifico account nel caso in cui quest’ultimo venga compromesso.

Dai la priorità alla tua privacy

Puoi iniziare affidando la tua fiducia alle domande di sicurezza e utilizzando strumenti alternativi, come l’autenticazione a due fattori e servizi di posta elettronica sicura come Proton Mail, per rafforzare le tue difese.

È importante utilizzare i migliori strumenti disponibili per costruire un futuro dove la privacy sia lo standard.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
  • Aggiornamenti dei prodotti
  • Proton Pass
Proton Pass product roadmap: Updates coming this winter/spring
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.