Come ho hackerato le domande di sicurezza del mio ID Apple

Perché domande come “Qual è il cognome da nubile di tua madre?” e “Cosa hai fatto la scorsa estate?” non vi proteggono.

Agli inizi del 2012, ho comprato un MacBook. A quel tempo, non sapevo molte cose sui gadget e non stavo pensando di comprare un altro dispositivo Apple. Ho acceso il portatile e ho creato un account Apple. Come richiesto, ho scelto una password e diverse domande di sicurezza.

Quattro anni dopo, avevo anche un iPad, e ovviamente avevo acquistato diverse app interessanti (alcune delle quali le ho trovate in questa lista creata dai miei colleghi). Il mio account è diventato prezioso per me e ho iniziato a pensare a come proteggerlo. Ecco perché mi sono deciso a utilizzare la verifica in due passaggi.

Non è stato così facile come sarebbe dovuto essere; Apple non mi permetteva di modificare nulla nella scheda di sicurezza fino a quando non avrei risposto perfettamente alle mie domande di sicurezza. E le risposte che inserivo non erano esatte.

Quando ho provato a modificare le domande di sicurezza, ho scoperto che la mail secondaria che avevo utilizzato per realizzare queste operazioni non era stata verificata. Non so ancora il motivo per cui Apple considerasse attiva una mail non verificata, ma lo ha fatto ed è iniziato un circolo senza fine.

Ho cliccato diverse volte sul link per verificare la mail ma non ho ricevuto e-mail di conferma. Stava andando tutto a rotoli. Non era un buon momento per chiedere l’aiuto dell’assistenza tecnica, quindi avevo solo una scelta: dovevo hackerare le mie domande di sicurezza.

Perché hackerare le domande?

Le domande che avevo scelto quattro anni fa non erano poi così difficili. Ma pensando alle risposte, ho capito che chiunque avrebbe potuto scoprirle leggendo il mio CV o il mio account dei social network.

Qual è stato il tuo primo lavoro?

La risposta a questa domanda si può trovare facilmente su LinkedIn.

Dove si sono incontrati tuo padre e tua madre?

I miei genitori sono cresciuti, si sono incontrati e si sono sposati nella stessa città in cui sono nato io. Tanta gente ha la stessa storia. E tanta gente scrive sui social la propria città natale (e i social network spesso chiedono di farlo!). Questa domanda non è completamente sicura.

Qual è il tuo libro per bambini preferito?

Beh, da bambino avevo diversi libri preferiti, ma la risposta più probabile era Lo Hobbit, di J.R.R Tolkien. Così come le altre risposte, questa non era proprio un segreto: in primo luogo il libro è molto famoso. In secondo luogo, i miei amici dell’università e i miei compagni di classe sanno che ho scritto diverse tesine su Lo Hobbit. La mia quasi conclusa tesi finale riguardava le undici traduzioni di Lo Hobbit in russo! Alla fine, l’unico mistero sulle mie domande era se quattro anni fa avevo scritto il nome abbreviato o il nome completo – “Lo Hobbit, Andata e ritorno“.

security-questions-screenshot-en

Se già sapevo tutte le risposte, perché quelle che scrivevo non andavano bene? È semplice: la lingua del mio account era l’inglese, quindi le domande di sicurezza venivano mostrate in inglese. Ma quattro anni fa avevo risposto in russo. Quando ho cambiato le lingue e ho inserito nuovamente le stesse domande, queste coincidevano. Ma anche per chi non cambia lingua, le domande di sicurezza possono diventare problematiche: utilizzate correttamente le lettere maiuscole? Le abbreviazioni? I nickname?

Ho iniziato a pensare a cosa rende buona una domanda (e una risposta) di sicurezza.

Qual è una buona domanda di sicurezza? Se doveste scegliere una domanda da una lista, quale scegliereste?

Cinque criteri ci aiutano a distinguere delle buone domande di sicurezza da quelle pessime.

1. Segretezza – le domande devono essere difficili da indovinare o cercare. Ad esempio, la domanda preferita da tutti, qual è il cognome da nubile di tua madre, non è proprio il massimo. Non vi farò perdere tempo per spiegarvi i 9000 modi per scoprirlo.

2. Stabilità – le domande non devono cambiare nel tempo. Evitate le domande in cui si chiede cosa si “preferisce”: il vostro lavoro, cibo, gruppo musicale, film, ristorante, località turistica preferito potrebbe cambiare tra qualche anno.

3. Memoria – inseriamo molto spesso le password, ma è raro dover rispondere a domande di sicurezza. Anche se quando siete un adolescente ricordate il nome del vostro insegnante delle elementari, potreste dimenticarlo non appena avrete trenta o sessant’anni. Quindi cercate di non scegliere domande le cui risposte dimenticherete nel giro di una decennio o due.

4. Semplicità – alcune domande possono avere diverse risposte corrette. Dove hai dato il tuo primo bacio? La risposta potrebbe essere “New York”, “New York City”, “NYC”, “Central Park”, o qualche altra opzione. Non fate in modo che possiate facilmente sbagliare; evitate domande a cui potete rispondere in tanti modi.

5. Scegliete la varietà – le domande a cui si risponde con un semplice “sì” o “no” sono orribili. Anche uno straniero avrebbe il 50% di possibilità di azzeccare la risposta. Si può rispondere a delle buone domande di sicurezza in un’infinità di modi (e dovreste essere l’unica persona che conosce la risposta esatta).

Attenzione al phishing dei social media

Avrete sicuramente visto sui social media qualche intervista o quiz che vi fa diventare nostalgici e vi invita a condividere i “primi 7 posti in cui ho lavorato…” o “il tuo primo viaggio in aereo…”. Tutte queste cose sono un tesoro per gli ingegneri sociali. Effettivamente, questi spesso diventano criminali.myfirstsevenjob-flashmob-is-bad

Se volete, potete anche cambiare la risposta della peggiore domanda di sicurezza, in maniera tale che nessuno possa indovinarla (qual è il cognome da nubile di tua madre? XCU*(&S1042!, ma ovviamente, anche voi dovete stare attenti a non confondervi).

Ancor meglio, potete prendere il cognome da nubile Woodhouse e rimuovere tutte le vocali: wdhs. Anche unirlo alla data di nascita 04.08.80 per ottenere 04wd08hs80. Non è un trucchetto geniale, ma è molto meglio dell’originale.

Questo tipo di metodo è il migliore per quelle domande di sicurezza a cui dovete spesso rispondere (ad esempio, quando chiamate la vostra banca. Se è una cosa che dovete ricordare sempre, ricorderete facilmente la combinazione).

Fondamentalmente, esistono modi migliori per proteggere i vostri account piuttosto che utilizzare domande di sicurezza (ad esempio, la verifica in due passaggi).

Consigli