Uno studio condotto da Stuart Schechter, A. J. Bernheim Brush e Serge Egelman presentato all’IEEE Symposium on Security and Privacy ha rivelato dati molto interessanti sulle abitudini degli utenti di Internet per quanto riguarda l’utilizzo delle domande segrete sempre più spesso utilizzate dai servizi online.
Queste procedure consentono di recuperare i dati di accesso ad un portale semplicemente indicando la risposta ad una domanda che dovremmo conoscere solo noi. La ricerca, chiamata “IT’s no secret: Measuring the security and reliability of authentication via secret questions” e svolta grazie alla partecipazione di 130 volontari (64 uomini e 66 donne), ha dimostrato che effettivamente le cose non vanno come dovrebbero.
Il 17% dei partecipanti all’analisi è riuscito a oltrepassare facilmente l’ostacolo della domanda segreta di account di altre persone e in gran parte dei casi le domande non erano poi così segrete, ma piuttosto riferite ad argomenti molto popolari e conosciuti, ai quali è facile dare una risposta.
Affermano i ricercatori nel report dello studio:
Abbiamo condotto uno studio sugli utenti per misurare l’affidabilità e la sicurezza delle domande usate dai quattro provider email. Abbiamo chiesto ai partecipanti di rispondere a queste domande e poi ai loro conoscenti di indovinare le loro risposte. I conoscenti con i quali i partecipanti non avrebbero voluto condividere le loro password sono riusciti ad indovinare il 17% delle risposte. I partecipanti dimenticano il 20% delle risposte personali nel giro di sei mesi. E c’è di più: il 13% delle risposte è stato scoperto entro cinque tentativi, individuando le più popolari risposte di altri partecipanti, anche se questa debolezza è parzialmente da attribuire all’omogeneità geografica dei partecipanti allo studio.
Sono stati, in passato, effettuati anche parecchi altri studi di questo genere, i quali non hanno fatto altro che confermare questa tendenza ad utilizzare risposte molto semplici e facilmente individuabili anche da persone con le quali non vorremmo mai condividere i nostri account personali.