ProtonBlog
Iscriviti con RSS

Le domande di sicurezza sono pessime per la sicurezza dell’account?

Condividi questa pagina

Qual è il nome del tuo primo animale domestico? In quale città sei nato?

Tutti noi abbiamo dovuto rispondere a queste domande per reimpostare una password dimenticata da tempo, ma considera come funziona. Molte di queste informazioni sono facilmente reperibili per altri (o facilmente dimenticate da te), rendendole una difesa scadente per i tuoi account online più importanti, dati personali e informazioni sensibili.

Le domande di sicurezza sono pensate per aiutare a reimpostare le password, riaprire account bloccati e, in ultima analisi, proteggere i tuoi spazi digitali da attacchi o violazioni, ma tale salvaguardia è considerata ampiamente fallace e inaffidabile(new window).

Un massiccio data breach di Yahoo(new window) ha evidenziato i pericoli di fare affidamento sulle domande di sicurezza per proteggere i tuoi account. Il data breach ha esposto i dati personali di mezzo miliardo di utenti, inclusi i loro nomi, indirizzi email, numeri di telefono e le domande e risposte di sicurezza utilizzate per il recupero dell’account.

Questo articolo esplorerà perché le domande di sicurezza sono in realtà pessime per la tua sicurezza e quali misure puoi adottare per proteggere meglio i tuoi dati privati più sensibili.

Cosa sono le domande di sicurezza?

Quando sei bloccato fuori da un account, è comune dover affrontare domande di sicurezza per riaccedere o reimpostare le password. Questo strato di sicurezza aggiuntivo è comune e utilizzato su molte piattaforme, da email e social media a siti di banking e shopping online.

Le risposte a domande come “Qual è il cognome da nubile di tua madre?” dovrebbero essere informazioni che solo tu conosci o pochi eletti — in teoria, quanto più oscura è la risposta, tanto migliore è la sicurezza.

Tuttavia, gli esperti hanno cominciato a mettere in dubbio l’efficacia(new window) di questo strato di sicurezza a causa delle vulnerabilità che sorgono quando si richiede alle persone di ricordare informazioni che possono essere dimenticate, modificate o scoperte da potenziali aggressori che indagano su Internet.

Perché le domande di sicurezza sono una pessima idea

Ci sono diverse ragioni per cui fare affidamento sulle domande di sicurezza per proteggerti è una cattiva idea. Si riduce a una coppia di realtà sfortunate: i potenziali aggressori sono più astuti di quanto si possa pensare e c’è più informazioni personali online di quanto si realizzi.

Ecco uno sguardo a perché le domande di sicurezza sono l’anello più debole delle misure di sicurezza:

  • Prevedibilità(new window): Domande di sicurezza popolari come “Qual è il tuo colore preferito?” possono essere troppo generiche e facilmente prevedibili, secondo il National Cyber Security Centre del Regno Unito(new window). Quando il pool di risposte possibili è piccolo, è molto più facile per un potenziale aggressore indovinare.
  • Scopribilità: In un’epoca in cui le persone gestiscono più account sui social media su diverse piattaforme, gli aggressori possono spesso trovare risposte alle domande di sicurezza con un po’ di ricerca nei tuoi profili pubblici. Possono costruire un profilo su di te basato sui tuoi post, sfruttando informazioni pubblicamente disponibili per eludere le misure di sicurezza e ottenere accesso al tuo account.
  • Dimenticanza: Preferenze e dettagli della vita cambiano nel tempo, spesso rendendo difficile per te ricordare le informazioni nel momento in cui ne hai bisogno. Questo riduce notevolmente l’affidabilità delle domande di sicurezza come strumento di sicurezza.

Il National Cybersecurity Centre incoraggia le persone ad usare metodi di autenticazione robusti quanto le password stesse e avverte contro il fare affidamento esclusivamente sulle domande di sicurezza(new window). Anche Google ha pubblicato uno studio(new window) sostenendo che le domande di sicurezza sono uno dei peggiori modi per proteggere la tua privacy online(new window).

“Il 40% degli utenti anglofoni degli Stati Uniti ha fallito nel ricordare le proprie risposte alle domande di sicurezza, secondo Google,” ha riferito Time(new window). “Quando le domande sono molto difficili, come chiedere il numero di frequent flyer di una persona, il tasso di ricordo scende al 9%.”

Attenzione a condividere troppo sui social media

Esplorando i tuoi account social, gli hacker possono spesso ottenere le informazioni che utilizzi per reimpostare le password, in particolare le risposte alle domande di sicurezza. Assicurati di considerare qualsiasi cosa tu condivida che potrebbe contenere le seguenti informazioni:

  • Nomi di famiglia
  • Data di nascita
  • Luogo di nascita
  • A quale scuola hai frequentato
  • Nomi degli animali domestici
  • Qualsiasi indirizzo, attuale o precedente
  • Dettagli della tua routine

Cosa c’è in gioco? I tuoi dati e la tua privacy

Se le risposte alle tue domande di sicurezza vengono mai compromesse, ciò può portare a violazioni della privacy su vasta scala.

  • Furto d’identità: Con l’accesso a qualcosa come il tuo conto in banca, non ci vorrebbe molto per un attaccante per impersonarti, aprire nuovi conti o commettere frodi con la tua identità rubata.
  • Account compromessi: Se le risposte alle tue domande di sicurezza vengono esposte in una violazione dei dati, qualsiasi account collegato alle risposte di quelle domande può essere in pericolo, poiché è comune per le persone riciclare le stesse su più account.

Quali sono le misure di sicurezza alternative migliori?

Conoscendo i pericoli che possono derivare dalle domande di sicurezza tradizionali, potresti considerare l’uso di metodi di autenticazione più efficaci e affidabili.

Autenticazione a due fattori (2FA), nota anche come verifica in due passaggi, richiede due forme di identificazione quando accedi a un account. Dopo aver inserito un nome utente e una password, la 2FA potrebbe richiederti di inserire un codice univoco generato da un’app di autenticazione mobile, collegare una chiave di sicurezza, o digitare un codice inviato al tuo telefono.

Ecco una panoramica delle migliori forme di 2FA:

  • Chiave di sicurezza: Le chiavi di sicurezza, note anche come chiavi hardware, aiutano a provare la tua identità quando accedi a un account, app o dispositivo. Ciò ti consente di accedere al tuo account utilizzando una chiave fisica, come una YubiKey(new window), che assomiglia a una chiavetta USB. Se scegli di utilizzare una chiave 2FA con il tuo Account Proton, ad esempio, devi inserire la tua chiave ogni volta che accedi.
  • Password monouso basate sul tempo: Puoi utilizzare un’app di autenticazione sul tuo smartphone per generare password a sei cifre che si rigenerano ogni 30 secondi per mantenere i codici aggiornati e rendere difficile l’accesso non autorizzato ai tuoi account per potenziali aggressori. Utilizzare TOTP può essere scomodo, tuttavia, poiché comporta l’inserimento di un codice in un breve lasso di tempo.

E i messaggi SMS?

I messaggi di testo sono considerati l’opzione meno sicura di 2FA, in quanto vulnerabili agli attacchi di scambio SIM. Gli SMS sono non criptati e insicuri, rendendo più facile per gli hacker intercettare i codici 2FA. Se vengono offerti più metodi 2FA, gli SMS dovrebbero essere evitati.

Le migliori pratiche per la sicurezza online

Con le minacce alla sicurezza informatica che diventano sempre più sofisticate e comuni, è importante rivalutare le pratiche di sicurezza e il ruolo che le domande di sicurezza giocano nella nostra difesa contro tali attacchi. Ecco due modi per potenziare la tua sicurezza online in questo momento:

  • Utilizza alias email: Questi ti permettono di mantenere privati i tuoi indirizzi email personali. Puoi utilizzare un servizio, come SimpleLogin di Proton, per generare indirizzi email distinti per i tuoi vari account online. In questo modo, puoi facilmente revocare un alias associato a uno specifico account nel caso in cui quest’ultimo venga compromesso.

Dai la priorità alla tua privacy

Puoi iniziare affidando la tua fiducia alle domande di sicurezza e utilizzando strumenti alternativi, come l’autenticazione a due fattori e servizi di posta elettronica sicura come Proton Mail, per rafforzare le tue difese.

È importante utilizzare i migliori strumenti disponibili per costruire un futuro dove la privacy sia lo standard.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p