Quando un modulo ti chiede il cognome da nubile di tua madre, non ti sta chiedendo un segreto. Ti sta chiedendo una riga dell’anagrafe.
Lì c’è tutta la critica; il resto sono dettagli. Una domanda di sicurezza è una password con tre difetti che una password normale non ha: non l’hai scelta tu, la risposta è indovinabile perché tanta gente risponde la stessa cosa, e spesso è scritta da qualche parte che non controlli. In cambio le viene concesso un privilegio enorme: può sostituire la tua password. È la porta di servizio del tuo account, ed è più fragile di quella principale.
Non è un’intuizione da addetti ai lavori. È quello che ha misurato Google.
Lo studio che nessuno legge prima di disegnare il modulo
Nel 2015, cinque ricercatori —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson e Mike Williamson— hanno presentato alla conferenza WWW, a Firenze, un lavoro il cui titolo dice già quasi tutto: Secrets, Lies, and Account Recovery. Non era un laboratorio con trenta volontari: hanno analizzato centinaia di milioni di risposte segrete e milioni di tentativi reali di recupero account.
La scoperta ha due metà. Quasi sempre se ne racconta una sola.
Prima metà: si indovinano
Il modello di minaccia del paper non è il cognato che ficca il naso: è qualcuno che attacca account in massa e ha bisogno di azzeccarne solo una frazione. Con quella lente, i numeri cambiano di significato.
Con un solo tentativo, un attaccante indovinerebbe il 19,7% delle risposte degli utenti anglofoni a «Qual è il tuo cibo preferito?». Uno. La risposta, se ci fossero dubbi, tende a essere proprio quella che stai pensando. Con dieci tentativi indovinerebbe il 39% delle risposte degli utenti coreani a «Città di nascita?». E con un solo tentativo si indovina il 3,8% delle risposte degli utenti ispanofoni alla domanda che Google serviva loro tradotta come «Primo cognome di tuo padre?».
Un 3,8% sembra poco finché non ti ricordi che l’attaccante non attacca il tuo account: ne attacca un milione. E non serve essere Google per costruire la lista. Gli autori l’hanno verificato: con appena mille risposte comprate su un servizio di crowdsourcing hanno messo insieme distribuzioni efficaci fra il 75% e l’80% quanto quella reale nell’arco di cento tentativi. L’esperimento è costato loro 100 dollari e meno di un giorno.
La cosa devastante è che nemmeno le domande progettate per essere uniche si salvano. Un numero di frequent flyer dovrebbe essere irripetibile per definizione; in pratica, un solo tentativo azzecca il 4,2% fra gli anglofoni. Il motivo è meraviglioso e ci torneremo: la gente mente, e mente in branco.
Seconda metà: si dimenticano
Qui l’argomento crolla del tutto, perché l’unico motivo per cui continuiamo a
usare le domande di sicurezza è la convinzione che siano affidabili. La
premessa era ragionevole: ricordare la tua città natale dovrebbe essere più
facile che ricordare xK4$mz. Non lo è. Il 40% degli utenti statunitensi
anglofoni non è stato capace di ricordare la propria risposta quando ne ha avuto
bisogno. Non l’avevano dimenticata in astratto: stavano provando a entrare nel
proprio account e non ci sono riusciti.
Ed è qui che compare l’inversione perfetta, quella che avrebbe dovuto uccidere questa tecnologia dieci anni fa. Più la domanda è sicura, peggio la si ricorda. Nella stessa popolazione, «Qual è il secondo nome di tuo padre?» —una domanda debole— aveva un 76% di risposte corrette. «Qual è stato il tuo primo numero di telefono?», parecchio più difficile da indovinare, scendeva al 55%. E le candidate teoricamente più sicure sprofondano: «Numero della tua tessera della biblioteca?» un 22%, «Numero frequent flyer?» un 9%.
Il tempo dà il colpo di grazia. Per «Qual è il tuo cibo preferito?», le risposte corrette erano il 74% a un mese, il 53% a tre mesi e appena il 47% a un anno. E i recuperi non si concentrano all’inizio: gli autori hanno scoperto che gli utenti non hanno più probabilità di recuperare l’account presto che tardi, quindi la maggior parte arriva alla domanda quando il ricordo è ormai evaporato.
La conclusione degli autori non lascia molto spazio all’interpretazione: sembra quasi impossibile trovare domande segrete che siano allo stesso tempo sicure e memorabili.
Mentire non ti salva, ti chiude fuori
La reazione sensata, quando capisci il problema, è mentire: se ti chiedono la città natale, rispondi «Reykjavík» e via.
Anche questo il paper l’ha misurato, con un sondaggio sulla popolazione statunitense. Fra chi ha ammesso di dare risposte false, il 37% lo faceva per complicare la vita a un attaccante, il 15% perché fosse più facile da ricordare —rileggilo— e un 31,9% per privacy, perché non aveva voglia di regalare la propria biografia a un’azienda.
Il problema è che indurire una risposta è un gesto prevedibile. È lì il 4,2% dei numeri frequent flyer: le bugie di tante persone si somigliano fra loro parecchio più delle verità. E il conto lo paghi nell’altra metà. Gli utenti statunitensi che hanno riempito «Qual è stato il tuo primo numero di telefono?» con qualcosa di sette cifre —una risposta plausibile— ricordavano la propria risposta il 55% delle volte. Quelli che hanno messo sei caratteri, cioè quelli che si sono inventati qualcosa, azzeccavano il 18%.
Mentire senza annotarselo non è una strategia di sicurezza. È buttare via la chiave.
In italiano la domanda non ha nemmeno senso
Torna al cognome da nubile di tua madre. In Italia tua madre, sposandosi, non ha mai smesso di chiamarsi così: il suo cognome da nubile è il suo cognome, e basta. Sta sul suo documento d’identità, sul certificato di matrimonio, sullo stato di famiglia e sul tuo certificato di nascita.
Non è una stranezza locale. Lo stesso paper cita uno studio di Griffith e Jakobsson che ha dedotto quel cognome per almeno il 30% dei residenti in Texas a partire dai registri pubblici di nascite e matrimoni; e Rabkin, che ha scoperto che il 16% delle domande usate nella pratica aveva risposte elencate di routine sui profili pubblici dei social network.
Un dato che risulta da un registro e compare sul tuo profilo non è un segreto condiviso. È informazione pubblica con davanti una casella per la password.
Cosa fare con il modulo che ti obbliga
A volte non c’è scampo: la banca pretende tre domande e non si va avanti. In quel caso, smetti di trattarle come domande e trattale per quello che sono.
- Rispondi con una password, non con la tua vita. A «Città di nascita?» si può rispondere con una stringa casuale del generatore, o con una frase che hai passato prima per il controllo. È l’unica risposta che non risulta da nessun registro.
- Annotala nel gestore, nella scheda stessa del sito. Non è facoltativo: è esattamente la differenza fra il 55% e il 18% di ricordo. La bugia funziona solo se la conservi.
- Se il servizio ti lascia scegliere un altro metodo di recupero, sceglilo. Nei dati di Google, l’SMS funzionava l’81% delle volte e l’email il 75%, contro il 61% delle domande segrete fra gli utenti statunitensi anglofoni —e solo il 44% fra i francesi—.
Google si è comportata di conseguenza, con i propri dati davanti: ha relegato le domande segrete a ultima spiaggia, sempre accompagnate da altri segnali. Quello che il paper raccomanda è che non si usino da sole.
Undici anni dopo, la tua assicurazione continua a chiederti il nome del tuo primo animale domestico. Rispondile con sedici caratteri casuali. Se lo merita.
Fonti: J. Bonneau, E. Bursztein, I. Caron, R. Jackson e M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Firenze · V. Griffith e M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, e A. Rabkin sulle domande di sicurezza nella pratica, entrambi citati nel lavoro precedente.