skip to main | skip to sidebar
18 commenti

Come rubare la password della mail

Password di posta, rubarle è così facile


L'articolo è stato aggiornato dopo la pubblicazione iniziale. 

Avete una casella di posta che offre la possibilità di recuperare la password perduta o di reimpostarla se rispondete correttamente alla domanda d'emergenza? Attenti alla domanda che avete scelto, e soprattutto alla sua risposta, perché si prestano a un furto di password talmente facile che a un lettore è addirittura capitato di commetterlo senza accorgersene. Sì, sì, dicono tutti così, lo so.

Il lettore, che chiameremo Ugo (ma il suo vero nome è Ugo), ha visitato la pagina web di accesso alla propria posta presso un noto fornitore di caselle gratuite, che chiameremo Yahoo (ma il cui vero nome è Yahoo, anche se il trucchetto vale anche per altri fornitori, come Gmail), e ha digitato solo il proprio nome utente invece del proprio indirizzo di posta completo: invece di ugo @ ymail.com ha digitato solo ugo.  Poi ha immesso la propria password. Yahoo gli ha risposto che la password era sbagliata, e così Ugo ha usato la procedura di recupero di nome utente e password.

Ha immesso il nome utente, che è risultato valido. Yahoo ha chiesto di rispondere alla domanda di emergenza che dovrebbe autenticare l'utente. La domanda era "Qual è la tua squadra del cuore?". Ha immesso la propria squadra prediletta, che è stata accettata. La seconda domanda era uguale alla prima. A questo punto Ugo si è trovato di fronte alla schermata di reimpostazione password e ha immesso la password nuova che intendeva usare. Fatto questo, ha avuto accesso alla casella... e si è accorto che era quella di qualcun altro.

Cos'è successo? Ugo ha un account di posta su Yahoo che ha il suffisso ymail.com, ma Yahoo offre anche account con altri suffissi, come Yahoo.it. Di conseguenza lo stesso nome utente può corrispondere a caselle differenti. Questo spiega l'equivoco iniziale.

Ma l'episodio rivela la pericolosità di questi sistemi di reimpostazione password basati su domande: se le risposte sono facilmente intuibili, rubare l'account a qualcuno ed entrare in possesso della sua corrispondenza personale, delle sue foto e di tutti gli altri dati personali legati a quell'account è un attimo.

L'esperienza di Ugo viene confermata da un articolo di due ricercatori dell'Università di Edimburgo e un loro collega di quella di Cambridge, che hanno dimostrato che un aspirante intruso ha una possibilità su 80 di indovinare le risposte alle domande di sicurezza più frequenti, come per esempio il cognome da nubile della madre o il nome della prima scuola, nel giro di tre tentativi. Se poi l'intruso fa un po' di ricerca sul proprio bersaglio, per esempio tramite i dati che il bersaglio ha pubblicato nei social network, indovinare le risposte diventa ancora più facile.

Va ricordato che questo trucchetto fu alla base di un furto di e-mail piuttosto famoso: quello della candidata alla vicepresidenza statunitense Sarah Palin, nel 2008.

La soluzione è comunque semplice, ma va adottata: dare risposte non veritiere, o non prevedibili, alle domande d'emergenza: per esempio, se la domanda è "Come si chiamava il tuo primo partner amoroso?", rispondete "Fuffi" o un altro nome di fantasia (e segnatevelo). Naturalmente, se il nome del vostro primo partner amoroso era davvero Fuffi, usate un altro nome. Ma credo che in questo caso abbiate altri problemi più gravi di quello della tutela della vostra casella di posta.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (18)
Fuffi (sospirone di nostalgia)... come hai fatto ad indovinare il nome del mio primo amore?
:-)
È solo un sorriso x iniziare bene la giornata, non è spam !
Qualche tempo fa "Le Iene" fecero vedere come fosse facile aprire una casella di posta elettronica grazie alle domande di sicurezza, proprio intortando un inviato grazie ad una fanciulla.
Io metto sempre una domanda che fa riferimento ad una città, tipo "In quale città sei nato" eccetera, ma ovviamente come risposta segno una città che non esiste...
In pratica, va gestito come una seconda password. Inutile mettere numeri, simboli eccetera nella password principale se poi la risposta alla domanda segreta è "Roma" o "Sampdoria" o simili ;)
Una buona strategia è quella di rispondere in maniera del tutto incoerente tipo "alzo la persiana" a "cartone animato preferito?" e magari criptarla anche con numeri e simboli :)
Però quel "segnatevelo" alla fine, non è mica una delle prime cose da NON suggerire per quanto riguarda le password?

A proposito, sbaglio o the dark side of Il Disinformatico, anche conosciuta con l'acronimo NSFW non è più stata aggiornata da quasi un anno?
Io ho utilizzato un generatore di password (1password) anche per le risposte alle "domande segrete" (però a questo punto non servono più a nulla).
La posta di Libero.it ha ovviato questo problema con questo sistema:


"Sul tuo Libero ID sono impostate la domanda e risposta segreta. Tuttavia, per impedire un possibile accesso illecito, la domanda segreta può essere utilizzata solamente dopo un periodo di inattività sul portale di Libero.it di almeno 7 giorni.
Per poter avviare il processo di recupero password tramite domanda segreta, ritorna quindi in questa area tra alcuni giorni."

Ciaooo
L'"anomalia" sta nella procedura di ripristino della password: non dovrebbe essere svolta online, dovrebbe essere invece inviata una nuova password ad una casella di posta alternativa (della quale non bisogna aver perso la password!).

In ogni caso la sicurezza dei propri dati è effimera quando si parla di posta elettronica, dato che per definizione il protocollo di comunicazione della posta non è sicuro (le nostre mail viaggiano tra svariati server e, potenzialmente, sotto gli occhi di svariati operatori: analogamente un impiegato allo sportello della banca può vedere i movimenti e il saldo del nostro c/c). Basti pensare che il campo "mittente" delle mail può essere impostato con qualsiasi nome: sfido poi il destinatario a capire se il mittente reale è veramente chi dice di essere.
Ciao Paolo,

la frase "ha una probabilità su 80 di indovinare" andrebbe sostituita con "ha una possibilità su 80 di indovinare", il che significa che la probabilita' di indovinare e' pari ad 1/80.

Saluti,
Umberto
Grazie Umberto, ho aggiornato l'articolo.
A beh... Quando mi chiedono la domanda segreta premo i tasti sulla tastiera a caso... come ghopghvbosvèOV
@ Domenico_T e Francesco:
Il problema nel fare come dite voi è che poi se vi scordate davvero la password son cavoli amari.

Quindi sì, prendiamo atto che la domanda di sicurezza non è una cosa da prendere sottogamba, però dobbiamo anche trovare qualcosa che ci ricordiamo sicuramente anche dopo mesi e mesi che non la usiamo. Una cosa che trovo molto utile è ad esempio il numero di tessera Frequent Flyer, un po' difficile da indovinare a caso, ma che sono certo di non dimenticare (devo solo ricordarmi di quale compagnia aerea).
Premessa l'assurdità di questo sistema di recupero password, perché non utilizzate Keepass? Nelle note alla singola voce, potete anche inserire la domanda segreta (se il servizio ve la pone obbligatoriamente) e come risposta incollate una passphrase casuale che vi fate generare da Keepass.

Tra l'altro di questo software esistono le versioni per Linux, Mac, Windows, per dispositivi mobili e anche come Portable per chiavette USB.

Maggiori info qui http://keepass.info
Turz,
Il problema nel fare come dite voi è che poi se vi scordate davvero la password son cavoli amari.

Uhm no, perché comunque scelgo la risposta alla domanda segreta con lo stesso criterio che uso per la password ossia qualcosa-facile-da-ricordare-per-me-ma-impossibile-da-capire-per-gli-altri.

Uso una risposta completamente slegata dalla domanda ma comunque sempre qualcosa di ricordabile ;)
Io segno sempre una password inventata che non c'entra niente con la domanda.

Poi me la segno tranquillamente in un file txt.

Però il txt si trova su un volumetto crittografatissimo e super backuppato dalla password impossibile che conosco solo io!
Se Ugo tifasse per la scafatese non ci sarebbero problemi, ma il fatto è che qua in Italia c'è un unico sport e 3 squadre da tifare. A me piace la soluzione di alcune webmail "fatti una domanda e datti una risposta". Così che in modo letterale possa chiedermi cose del tipo:

-è di legno-

oppure

-era spietato ma viveva in un mondo violento-

ecc...

Io so perfettamente che significa ma lo so solo io, stile "The Millionaire" insomma.
@Domenico_T, Fozzillo, boxbuilder:
Tre ottime soluzioni, avete passato l'esame ;-)
@boxbuilder: E per i provider non marzulliani che fai?

Per chi ha più dimestichezza con le lingue che coi computer, segnalo anche la possibilità di farsi fare la domanda in tedesco e rispondere in francese o viceversa. Tutto sta a ricordarselo, come ricorda giustamente Domenico_T. Nel caso di password non di uso quotidiano (incluse le domande di riserva che si usano una volta ogni morte di pa...ssword), che sia qualcosa di ricordabile anche a distanza di anni.
@Turz
@boxbuilder: E per i provider non marzulliani che fai?

beh, diciamo così.. se mi chiede qual è il nome di mia madre da nubile io so comunque cosa rispondergli e ricordarmi il percorso tortuoso che ha fatto il mio cervello per arrivare alla risposta "Marcel Duchamp"