Per la vostra sicurezza: le domande di sicurezza non sono sicure

Le domande di sicurezza nel sistema Apple.
Le domande di sicurezza nel sistema Apple.
Marco Valerio Principato
Di
Pubblicato il: 26/05/2015
Commenti Commenta | Permalink

Google sta cercando di portare l’utenza ad accettare l’idea dell’intima insicurezza di un sistema come quello della domanda di sicurezza. Ma lo scopo è davvero (solo) la sicurezza?

Google sta preparando il terreno. Non è, banalmente, una questione di scelte. Nemmeno di optare per sistemi diversi, come il Token USB, rivenduto ieri come novità ma, in realtà, già discusso da Google a ottobre dello scorso anno.

La ricerca di Google recentemente pubblicata volge a far concentrare l’attenzione sull’inaffidabilità della domanda di sicurezza, il sistema più usato per tentare di recuperare l’accesso a un’utenza della quale si fossero dimenticate le credenziali di accesso.

In altre parole, i famosi “Cognome da nubile di tua madre?”, oppure “Numero della tua tessera sanitaria?” e altre fantasiose domande, spesso personalizzabili, che si sceglie di farsi fare qualora la controparte abbia bisogno di ri-identificare il titolare di un’utenza.

Google vuole dimostrare che quel sistema non è affidabile e, dunque, auspica che il più presto possibile vada in disuso e venga sostituito dall’autenticazione a due fattori, certamente meno rischiosa sotto il profilo dei tentativi di “sostituzione di persona telematica”.

Bisogna però pensare anche ad altre questioni. Quando Google a suo tempo aveva proposto l’impiego di una chiavetta USB, su queste pagine avevamo espresso dubbi ricordando che, pochi mesi prima, era in circolazione una pericolosa infezione in grado di attaccare tutti i dispositivi USB chiamata BadUSB.

Di quell’infezione non si è più parlato, se si esclude un articolo di Nikkei BPNet in lingua giapponese, uscito il 20 maggio u.s., che tradotto da Google evidenzia ancora un certo grado di attenzione su quel tema. Francamente avrei qualche perplessità ad affidare l’autenticazione a un dispositivo USB se non dietro certe garanzie, e Google questo lo sa benissimo.

L’alternativa è il farsi identificare attraverso un numero di cellulare, ossia la mira che tutti i grandi circuiti stanno perseguendo. Il che ha i suoi pro e i suoi contro: per esempio, cosa si fa nel caso in cui il proprio smartphone fosse perso o rubato? Senza contare che l’affidare la sicurezza delle proprie utenze a un sistema del genere equivale a consegnare ai giganti una prova certa della propria identità, che è esattamente quello che cercano, di certo non “per la nostra sicurezza”, ma “per la loro certezza di poter sorvegliare e tracciare con accuratezza totale”.

In realtà non è vero che la domanda di sicurezza non sia sicura. Lo è in funzione dell’intelligenza con la quale viene configurata. Certo, se come domanda di sicurezza scelgo “Qual è la tua data di nascita?” mi sto praticamente tagliando le gambe da solo, ma se scelgo cose del tipo “Come chiamavi da piccolo Zia Assunta?” (laddove la risposta non sia scontata, come per esempio “zia ciocia”, o qualcosa del genere), di rischi ce ne sarebbero un po’ meno.

A questo si aggiunga che la gente, nonostante tutte le storie di intromissioni e di furti di identità che si leggono, continua imperterrita a impiegare password come “qwerty” o “1234”: verrebbe da concludere chi è causa del suo mal, pianga sé stesso.

Ma questa irresponsabile e colpevole tendenza ai giganti fa comodo. La stanno sfruttando per arrivare, tra breve, a fare muro e ad opporsi all’impiego delle password sapendo che, non essendo possibile per tutti impiegare mezzi come il riconoscimento dell’impronta digitale o dell’iride, occorrerà un metodo diverso grazie al quale, se ben studiato, ci sarà un triplo risultato:

  • la caramellina per l’utenza, che si sente più “tutelata” e più sicura;
  • la grossa fetta di torta per i giganti, che con l’autenticazione a due fattori basata sul numero di cellulare avranno mezzi per perfezionare le proprie schedature all’ennesima potenza;
  • la pulizia etnica automatica di tutte le utenze di fantasia, che assai difficilmente rappresentano valore per il mondo dell’online advertising, della profilazione e della sentiment analaysis.

Benvenuti nel terzo millennio, epoca in cui dalla schedatura non si sfugge a meno di sforzi materiali e, soprattutto, intellettuali non da poco.


Marco Valerio Principato (2072 articoli)

Informatico sin dal 1980, esperto di Internet ed elettronica e attivo in Rete dal 1999, ha curato articoli in diverse pubblicazioni specifiche tra cui Punto Informatico (direzione P. De Andreis) e CompuServe Magazine. Laureato con lode in Scienze della Comunicazione, è responsabile di questo sito.


Commenti (Facebook)
Commenti (locali)




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.