Chiunque (o quasi) con un pò di pazienza può tentare la violazione degli account di conoscenti o estranei sfruttando le falle di sicurezza dei server dei fornitori di servizi on-line. Di solito l'attacco parte dalla casella di posta elettronica della vittima. Se si riesce a violare e "metterla al sicuro" con una password diversa da quella inserita dall'utente, si spalancano tutti gli altri servizi Internet utilizzati. E' infatti proprio la casella di posta a rivelare spesso quali altri account possiede la vittima. Quasi tutti i fornitori di servizi mail, offrono una funzione per il recupero della password dimenticata: basta rispondere a una domanda di sicurezza e su richiesta ne inviano una nuova all'indirizzo e-mail.
Il rischio di questo procedimento è che molte "domande segrete" permettono anche ad altre persone di rispondere facilmente. Fatto ciò, un malintenzionato può subito impostare una nuova password e impedirci l'accesso alla posta. Tutto questo è reso ancora più semplice dal fatto che spesso l'utente può soltanto scegliere una delle poche domande predefinite. La maggior parte degli utenti inseriscono una risposta che possono ricordare facilmente anche dopo anni. Però spesso amici e conoscenti conoscono le risposte e perfino un perfetto sconosciuto potrebbe riuscire ad accedere all'account provando e riprovando più volte, perchè in genere il numero di tentativi non è limitato.
Le risposte a domande come la squadra preferita, l'animale domestico sono spesso reperibili nei social network come Facebook e simili. Molti utenti forniscono spontaneamente informazioni su di sè e sui propri interessi senza pensarci su più di tanto. Sono più sicuri i servizi che, dopo aver ricevuto la risposta corretta alla domanda di sicurezza, procedono ad esempio inviando una e-mail a un indirizzo alternativo o tramite sms a un numero di cellulare indicato in precedenza dall'utente. Molti servizi internet poi, si dimostrano poi fin troppo indulgenti nella gestione della scelta di una password: per esempio alcuni accettano password uguali ad un nome utente.
Per proteggersi da questi attacchi è necessario per le domande di sicurezza, impostare risposte insensate e che conoscete soltanto voi. In alternativa, disattivate del tutto la domanda di sicurezza e definite una password diversa per ogni servizio, sia che si tratti di una casella di posta che l'accesso ad una web community. Per la vostra sicurezza, vi consigliamo inoltre di usare password di almeno 8 caratteri e formate da una combinazione di lettere, cifre e caratteri speciali.
Nessun commento:
Posta un commento