Studio: Domande segrete Non salvaguardare le password

Anche se il tuo coniuge non conosce la tua password e-mail, lui o lei probabilmente conosce abbastanza informazioni per ottenerlo.

Provider di posta elettronica gratuiti spesso presenti una cosiddetta "domanda segreta" come meccanismo di verifica per reimpostare una password dell'account. Ma la risposta è spesso facilmente ipotizzabile da altre persone che conoscono il titolare del conto, secondo un nuovo studio che verrà rilasciato durante il Simposio IEEE su Sicurezza e Privacy questa settimana a Oakland, California.

In altri casi, gli estranei possono fornire con successo le risposte ad alcune domande, che è il modo in cui la candidata repubblicana alla vicepresidenza Sarah Palin ha perso il controllo del suo account Yahoo. Lo studente universitario accusato di requisire l'account, David Kernell, ha detto che ci sono voluti meno di un'ora di ricerca online per trovare le giuste risposte per le domande di sicurezza per l'account di Palin.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Lo studio ha esaminato le domande utilizzate da Yahoo, Google, Microsoft e AOL nel marzo 2008. In un test, i ricercatori hanno accoppiato due persone insieme, con il titolare dell'account e-mail dicendo che non si sarebbero fidati dell'altro persona con la loro password. Quando viene presentata la domanda segreta del titolare del conto, l'altra persona ha indovinato giusto il 17% delle volte.

Tra due persone che si fidano l'una dell'altra, un partner è stato in grado di fornire la risposta giusta per un account Hotmail il 28% delle volte, lo studio ha detto.

Anche con le domande scritte da un utente - il sistema che Google ora impiega - un estraneo completo potrebbe indovinare la risposta il 15% delle volte entro cinque tentativi.

Una parte del problema è che le domande sono così insignificanti che un po 'di ricerca su Internet può far apparire elenchi di programmi TV preferiti, bibite, birre, attori, ecc. che aiutano a rendere possibili ipotesi più mirate. Inoltre, i dati geografici aiutano con domande come "Qual è la tua squadra sportiva preferita", afferma lo studio.

"I nostri risultati non ci danno la sicurezza che le domande personali di oggi rendono segreta l'autenticazione adeguata", hanno scritto gli autori. "Quelli che sono difficili da indovinare sono meno propensi a essere scelti dagli utenti in primo luogo, e quando vengono scelti hanno meno probabilità di essere ricordati."

Anche se Yahoo contemporaneamente presentava il set più memorabile di domande al momento, i partecipanti allo studio hanno dimenticato le proprie risposte entro sei mesi. Gli autori hanno scritto che Yahoo ha sostituito tutte le nove domande di autenticazione personale a febbraio.

Non c'è una soluzione facile al problema. Molti altri siti Web dipendono dall'invio di una e-mail all'account di una persona per verificare una persona, ma dal momento che l'account e-mail stesso deve essere verificato, pone un problema.

Una possibile soluzione per tenere lontani gli attacchi di indovinamento statistico sarebbe penalizzare le risposte sbagliate a seconda della loro popolarità. La dimensione della penalità, scrivono gli autori, dipenderebbe dalla possibilità che l'utente legittimo risponda con più risposte popolari prima di ottenere quella giusta.

I dati nello studio suggeriscono che se una persona indovina erroneamente due risposte popolari per una domanda raramente ricevono una terza domanda.

Inoltre, gli autori consigliano di eliminare le domande statisticamente ipotizzabili più del 10% delle volte, come "Qual è la tua città preferita?" Hanno definito una risposta statisticamente ipotetica se è tra le cinque risposte più popolari fornite da altri partecipanti al loro studio.

Un altro meccanismo di autenticazione potrebbe essere un SMS (Short Message Service) inviato dal provider di posta elettronica a una persona cellulare. Ma questo pone anche domande di sicurezza, dal momento che i telefoni sono rubati e persi, e la trasmissione via SMS ha problemi di sicurezza, hanno scritto.

Lo studio è stato scritto da Stuart Schechter e A.J. Berheim Pennello di Microsoft Research e Serge Egelman della Carnegie Mellon University.