Cos'hanno in comune il cognome da nubile di tua mamma, il primo animale domestico che hai avuto e l'anno nel quale hai incontrato la tua dolce metà?
È probabile che, l'ultima volta che hai dovuto ricordare uno di questi dati personali, tu fossi alle prese con una domanda di sicurezza.
Contenuti:
Di solito, una domanda di sicurezza rappresenta una misura secondaria per verificare la tua identità quando tenti di accedere a un account privato. Il suo scopo consiste nell'aggiungere un ulteriore livello di sicurezza, basato sul fatto che un utente non autorizzato non risponderà in modo corretto e, di conseguenza, gli verrà negato l'accesso.
Potresti dover rispondere a una domanda di sicurezza sul telefono, oppure mentre cerchi di entrare in un account online. È semplice configurare le domande di sicurezza, ed è anche comodo fornire le risposte; probabilmente è questo il motivo per cui sono ancora usate spesso dalle imprese, nonostante gli esperti di sicurezza informatica concordino sul fatto che non sono sicure.
Che si tratti di creare o rispondere a domande di sicurezza, è possibile ridurne i rischi comprendendo quali sono le loro vulnerabilità più comuni e mettendo in pratica alcune regole d'oro.
Cosa sono le domande di sicurezza?
Le domande di sicurezza sono una forma di autenticazione: ad esempio, una persona al telefono o una richiesta sul dispositivo potrebbe sottoporti una domanda per verificare la tua identità. L'utilità delle domande di sicurezza si basa sul presupposto che tu sia l'unica persona in grado di fornire la risposta corretta.
Domande di sicurezza scelte dall'utente
Questo tipo di domande assomiglia un po' a un questionario. In qualità di titolare dell'account, sei tu a decidere quali debbano essere le domande di sicurezza: di solito puoi selezionarle da un elenco e impostare le specifiche risposte.
Queste domande di sicurezza possono essere a risposta aperta e, in molti casi, riguardano informazioni personali sulla tua famiglia o sul tuo passato.
Domande di sicurezza definite dal sistema
A differenza del caso precedente, questo tipo di domande di sicurezza assomiglia più a un quiz a sorpresa: il richiedente sceglie infatti la domanda da sottoporti e conosce già la risposta corretta.
Ad esempio, la tua banca potrebbe usare domande definite dal sistema quando la contatti telefonicamente per richiedere assistenza sul conto. Dal momento che la banca può accedere senza problemi a un gran numero di informazioni personali e finanziarie che ti riguardano, le domande definite dal sistema sono facili da implementare:
ad esempio, "qual è stato il tuo ultimo acquisto?" oppure "chi altro è autorizzato a prelevare denaro dal tuo conto?" sono eccellenti domande di sicurezza. Per te sarà infatti semplice rispondere, mentre per altri sarà molto difficile.
Questo articolo è dedicato alle domande di sicurezza più comuni definite dagli utenti, alle loro vulnerabilità e ai metodi per migliorarne la sicurezza.
Perché le domande di sicurezza non sono sicure
Se ti è mai capitato di sentir parlare del "problema delle password", le vulnerabilità delle domande di sicurezza probabilmente ti saranno familiari. In breve, il problema è rappresentato da una combinazione di mediocri misure di sicurezza informatica e di elevata suscettibilità alle violazioni.
Gli utenti tendono infatti a scegliere password facili da ricordare, che purtroppo però risultano anche molto semplici da violare. Allo stesso modo, probabilmente anche le domande di sicurezza e le relative risposte potrebbero essere scelte in modo frettoloso, prediligendo la facilità di memorizzazione.
In sostanza, proprio come avviene con le password, le domande di sicurezza impongono una responsabilità eccessiva agli utenti per la tutela della loro privacy. Sotto molti aspetti, le domande di sicurezza sono addirittura più vulnerabili rispetto alle password: ecco perché.
Le aziende scelgono sempre le stesse domande di sicurezza
Poiché le stesse domande personali hanno risposte identiche, utilizzarle su diversi siti web significa che, se un malintenzionato ne venisse a conoscenza (ad esempio, a causa di una violazione di dati), potrebbe accedere in un sol colpo a più siti o account.
Le risposte alle domande di sicurezza sono troppo facili da violare
Come già forse sospetti, il presupposto in base al quale solo tu sei in grado di rispondere a una domanda di sicurezza ha un vizio di fondo. Per un criminale informatico o un intruso intenzionato a violare il tuo account, trovare la risposta necessaria per accedervi può essere un gioco da ragazzi.
Le risposte alle domande di sicurezza possono essere scoperte nei seguenti modi:
Tecniche comuni di pirateria informatica. Come per qualsiasi altra informazione personale, i criminali possono usare strategie di ingegneria sociale come il phishing per violare i tuoi dati o le stesse risposte alle domande di sicurezza.
Supposizione. Affidarsi alle probabilità o usare indizi estrapolati dal contesto può rendere le risposte facili da indovinare, soprattutto quando la loro scelta è limitata.
Ricerche approfondite. Se le tue risposte possono essere attinte da informazioni di dominio pubblico, ai criminali informatici basta cercare un po' per riuscire a trovarle.
Amici e familiari. I membri della tua famiglia, le persone con cui hai rapporti conflittuali oppure gli/le ex partner potrebbero già sapere le risposte, perché conoscono la storia della tua vita.
Una domanda di sicurezza è come un suggerimento per una password contenente molti indizi: potrebbe svelare fin troppe informazioni a un potenziale hacker. La domanda probabilmente permetterà di capire il formato della risposta (lettere o numeri) e potrebbe persino indicare una gamma ristretta di risposte.
Alcune domande di sicurezza sono migliori di altre
Come accennato in precedenza, le domande di sicurezza non garantiscono un livello di protezione adeguato; alcune sono comunque migliori di altre, perciò scegliere con cura le domande può ridurre i rischi associati a questo metodo di autenticazione.
Ciò che rende più o meno sicure tali domande si basa sulle risposte che possono suggerire agli utenti. Le risposte più sicure sono sostanzialmente affini alle password forti: devono essere univoche e difficili da indovinare.
Esempi di mediocri domande di sicurezza
Una domanda di sicurezza mediocre è troppo difficile perché l'utente possa rispondere in modo corretto, oppure è troppo facile da indovinare per un criminale.
Domanda di sicurezza mediocre | Perché è inadeguata? |
---|---|
Qual è il cognome da nubile di tua madre? | Troppo comune. Proprio come avviene con le password, è una pessima idea usare le stesse domande e risposte di sicurezza su diversi siti. Se venissero violate, potrebbero essere sfruttate per accedere a tutti gli account che ne fanno uso. |
Quando compi gli anni? | Non privata. I criminali informatici possono reperire facilmente questa informazione esaminando i tuoi profili social o siti di registrazione. |
Quand'è il tuo anniversario di matrimonio? | Non pertinente. Le domande dovrebbero essere applicabili al maggior numero possibile di utenti, affinché tutti possano usarle per finalità di sicurezza. |
Qual è il tuo gusto preferito di gelato? | Non costante. Le risposte alle domande che riguardano preferenze personali possono cambiare nel tempo, pertanto gli utenti potrebbero fare fatica a ricordarle. |
Qual è il tuo colore preferito? | Troppo prevedibile. Esiste un numero sterminato di colori diversi, ma di solito gli utenti sono più propensi a scegliere "blu" o un altro dei sette colori dell'arcobaleno, rispetto ad esempio a cremisi". |
Esempi di domande di sicurezza migliori
Una buona domanda di sicurezza presenta tutte le caratteristiche di cui è invece priva una domanda mediocre; in altre parole, per te sarà semplice rispondere, mentre per un criminale informatico risulterà molto difficile.
Domanda di sicurezza migliore | Cosa la rende migliore? |
---|---|
Come si chiama il tuo responsabile preferito al lavoro? | Unica. Una buona domanda di sicurezza dovrebbe essere originale, perciò evita le solite domande banali. |
Qual è il tuo personaggio cattivo preferito dei film? | Privata o comunque inaccessibile. È improbabile che un utente metta per iscritto o pubblichi un'informazione di questo tipo. |
Qual è il cognome da nubile della tua nonna materna? | Applicabile. Non è semplice formulare una domanda che sia applicabile in modo universale, perciò è bene fornire diverse opzioni. Tali domande dovrebbero comunque essere pertinenti per il maggior numero possibile di persone. |
In quale via abitavi quando frequentavi il primo anno delle superiori? | Costante. Le domande riguardanti il passato dell'utente sono statiche. |
Come si chiamava il peluche preferito della tua infanzia? | Imprevedibile. Le domande dovrebbero avere il maggior numero possibile di risposte diverse. |
Scegliere una buona domanda di sicurezza significa trovare un punto di equilibrio: le domande associate a risposte più univoche e diverse sono senz'altro più sicure, ma al tempo stesso rischiano di essere difficili da ricordare per gli utenti. Oltre a seguire le indicazioni di cui sopra, l'ideale sarebbe quindi scegliere domande le cui risposte siano inequivocabili e semplici da ricordare.
Le migliori prassi per scegliere domande di sicurezza (più) sicure
Puoi sfruttare al meglio le domande di sicurezza adottando questi consigli utili.
Creazione delle domande (da parte delle aziende)
Le domande di sicurezza non sono affatto una cattiva idea quando si parla di misure di tutela aggiuntive. In futuro si auspica che tutte le imprese adottino un secondo fattore di autenticazione più sicuro, ma nel frattempo le domande di sicurezza sono meglio di niente.
Consiglio utile: aiuta le persone ad adottare buone prassi in merito alle domande di sicurezza
Il protocollo relativo alle domande di sicurezza dovrebbe facilitare il più possibile l'adozione di comportamenti sicuri da parte degli utenti: per farlo, ti consigliamo di implementare le seguenti misure.
Utilizza un'ampia gamma di domande e permetti agli utenti di scegliere quelle che preferiscono.
Crea domande "migliori" che rispecchino le caratteristiche sopra descritte.
Impedisci agli utenti di scegliere risposte comuni e senza senso, come "123456".
Richiedi periodicamente agli utenti di aggiornare le proprie domande e risposte.
Infine, nell'ambito di un piano di sicurezza informatica su scala più ampia, le imprese dovrebbero mantenere al sicuro i dati sensibili degli utenti mediante un'archiviazione crittografata end-to-end, per ridurre il rischio di violazioni dei dati personali.
Creazione delle risposte (da parte degli utenti)
Alla luce di quanto detto sinora, se possibile scegli sempre un secondo fattore di autenticazione alternativo; se tale opzione non fosse disponibile, puoi comunque scegliere domande di sicurezza migliori a cui sono associate risposte più difficili da indovinare.
Consiglio utile: usa informazioni false
Dal momento che le risposte alle domande di sicurezza presentano vulnerabilità simili a quelle delle password, per proteggerle è possibile adottare metodi analoghi.
Applica alle tue risposte di sicurezza le stesse strategie che usi per le password. Fai in modo che siano univoche, lunghe almeno venti caratteri e costituite da una sequenza casuale di caratteri alfanumerici e simboli. Se il formato della risposta è limitato, indica una risposta "sbagliata".
Questo metodo migliora in modo significativo la sicurezza, ma introduce anche un rischio: potresti dimenticare la falsa risposta o la "password".
Per evitarlo, puoi salvare la risposta alla domanda nel tuo gestore di password.
Alternative più sicure alle domande di sicurezza
Le aziende tecnologiche continuano a sviluppare metodi nuovi e sempre più affidabili per verificare l'identità delle persone, con l'obiettivo di semplificare l'autenticazione e contrastare gli attacchi informatici. A seconda del modo in cui si classificano i numerosi tipi di autenticazione, si contano fino a otto tipologie o "fattori" diversi.
Per ora, limitiamoci a quelli di base. Il modo più semplice per classificare i fattori di autenticazione è il seguente:
qualcosa che conosci
qualcosa che sei
qualcosa che possiedi
Le password e le domande di sicurezza ricadono nella categoria "qualcosa che conosci". Ecco alcune delle alternative più popolari a questo tipo di autenticazione.
Autenticazione biometrica
L'autenticazione biometrica sfrutta le tue caratteristiche fisiche uniche per identificarti; è "qualcosa che sei". Le impronte digitali e il riconoscimento facciale sono gli identificatori biometrici più comuni.
Il vantaggio legato all'autenticazione biometrica è che si basa su caratteristiche che solo tu possiedi, che sono difficili da rubare e che ti accompagnano sempre. Dovresti comunque essere consapevole dei rischi legati all'associazione delle tue caratteristiche fisiche immutabili con l'accesso ai tuoi account.
Metodi di autenticazione senza password
Negli ultimi tempi si è parlato molto di autenticazione senza password, grazie agli sforzi della FIDO (Fast Identity Online) Alliance, un'associazione di imprese globale di cui NordPass fa parte e il cui obiettivo è ridurre la dipendenza del mondo dalle password.
L'autenticazione senza password è un'ampia categoria di autenticazione definita da ciò che non è. Riconoscendo le vulnerabilità dei tipi di autenticazione basati su "qualcosa che sai", come password e domande di sicurezza, l'autenticazione senza password ricorre a una combinazione di altri fattori e si concentra sulla facilità d'uso.
Un metodo standard di autenticazione senza password si affida a "qualcosa che possiedi", come un token fisico. La chiave Yubikey è un esempio.
Autenticazione a più fattori
Fermo restando che non esiste un tipo di autenticazione del tutto inviolabile, il metodo a più fattori utilizza diversi fattori per verificare la tua identità. L'utilizzo combinato di più fattori permette di adottare un approccio di sicurezza informatica basato su diversi livelli di protezione. Anche se i metodi di autenticazione possono essere imperfetti se presi singolarmente, quando vengono usati insieme diventano molto più robusti.
L'autenticazione a più fattori è una buona prassi in materia di sicurezza informatica e rimane saldamente in cima all'elenco delle raccomandazioni per la cybersecurity, in termini di indicazioni generali e conformità normativa.
È importante sottolineare che la forza di questo metodo si basa sulla sua diversità. Quando si usano diversi metodi di autenticazione combinati ma non eterogenei, come ad esempio password e domande di sicurezza, si parla di autenticazione a due fattori.
Per creare un'autenticazione a più fattori, è necessario aggiungere "qualcosa che possiedi" o "qualcosa che sei" all'autenticazione tramite password o domanda di sicurezza.
In conclusione
Le domande di sicurezza sono vulnerabili nei confronti di frodi e hacker, perciò si tratta di un fattore di autenticazione imperfetto. Tuttavia, dal momento che sono facili da implementare e che le imprese sono sempre più esortate a migliorare la cybersicurezza, è probabile che le domande di autenticazione continueranno a esistere ancora a lungo. A tal proposito, a scanso di equivoci, aggiungerle come secondo fattore è meglio di niente.
Gli utenti possono proteggersi dalle vulnerabilità più comuni delle domande di sicurezza trattandole, in sostanza, come se fossero delle password e conservando le risposte (false) nel proprio gestore di password.
Allo stesso modo, le aziende che non hanno ancora adottato metodi di autenticazione più sicuri possono spronare gli utenti a prendere le misure necessarie per tutelarsi, seguendo le buone prassi consigliate ed eseguendo adeguate verifiche della sicurezza dei dati.