Cerca nel blog

2010/03/12

Come rubare la password della mail

Password di posta, rubarle è così facile


L'articolo è stato aggiornato dopo la pubblicazione iniziale. 

Avete una casella di posta che offre la possibilità di recuperare la password perduta o di reimpostarla se rispondete correttamente alla domanda d'emergenza? Attenti alla domanda che avete scelto, e soprattutto alla sua risposta, perché si prestano a un furto di password talmente facile che a un lettore è addirittura capitato di commetterlo senza accorgersene. Sì, sì, dicono tutti così, lo so.

Il lettore, che chiameremo Ugo (ma il suo vero nome è Ugo), ha visitato la pagina web di accesso alla propria posta presso un noto fornitore di caselle gratuite, che chiameremo Yahoo (ma il cui vero nome è Yahoo, anche se il trucchetto vale anche per altri fornitori, come Gmail), e ha digitato solo il proprio nome utente invece del proprio indirizzo di posta completo: invece di ugo @ ymail.com ha digitato solo ugo.  Poi ha immesso la propria password. Yahoo gli ha risposto che la password era sbagliata, e così Ugo ha usato la procedura di recupero di nome utente e password.

Ha immesso il nome utente, che è risultato valido. Yahoo ha chiesto di rispondere alla domanda di emergenza che dovrebbe autenticare l'utente. La domanda era "Qual è la tua squadra del cuore?". Ha immesso la propria squadra prediletta, che è stata accettata. La seconda domanda era uguale alla prima. A questo punto Ugo si è trovato di fronte alla schermata di reimpostazione password e ha immesso la password nuova che intendeva usare. Fatto questo, ha avuto accesso alla casella... e si è accorto che era quella di qualcun altro.

Cos'è successo? Ugo ha un account di posta su Yahoo che ha il suffisso ymail.com, ma Yahoo offre anche account con altri suffissi, come Yahoo.it. Di conseguenza lo stesso nome utente può corrispondere a caselle differenti. Questo spiega l'equivoco iniziale.

Ma l'episodio rivela la pericolosità di questi sistemi di reimpostazione password basati su domande: se le risposte sono facilmente intuibili, rubare l'account a qualcuno ed entrare in possesso della sua corrispondenza personale, delle sue foto e di tutti gli altri dati personali legati a quell'account è un attimo.

L'esperienza di Ugo viene confermata da un articolo di due ricercatori dell'Università di Edimburgo e un loro collega di quella di Cambridge, che hanno dimostrato che un aspirante intruso ha una possibilità su 80 di indovinare le risposte alle domande di sicurezza più frequenti, come per esempio il cognome da nubile della madre o il nome della prima scuola, nel giro di tre tentativi. Se poi l'intruso fa un po' di ricerca sul proprio bersaglio, per esempio tramite i dati che il bersaglio ha pubblicato nei social network, indovinare le risposte diventa ancora più facile.

Va ricordato che questo trucchetto fu alla base di un furto di e-mail piuttosto famoso: quello della candidata alla vicepresidenza statunitense Sarah Palin, nel 2008.

La soluzione è comunque semplice, ma va adottata: dare risposte non veritiere, o non prevedibili, alle domande d'emergenza: per esempio, se la domanda è "Come si chiamava il tuo primo partner amoroso?", rispondete "Fuffi" o un altro nome di fantasia (e segnatevelo). Naturalmente, se il nome del vostro primo partner amoroso era davvero Fuffi, usate un altro nome. Ma credo che in questo caso abbiate altri problemi più gravi di quello della tutela della vostra casella di posta.

Nessun commento: