Stuart Schechter, Rachna Dhamija, Andy Ozment e Ian Fischer hanno pubblicato uno studio, nell'ambito dell'Università di Harward, circa il comportamento delle persone di fronte ad evidenti compromissioni della credibilità di un sito.

{mosgoogle right}

I ricercatori hanno analizzato, infatti, i comportamenti di gruppi di persone appositamente composti, per esaminare gli atteggiamenti e le azioni di questi ultimi in caso di evidente dubbio sull'autenticità del sito che si ha davanti, nel caso specifico quello di una banca.

Lo studio, di cui ne dà riassunta notizia anche ArsTechnica, lascia trasparire risultati davvero allarmanti sulla presenza di spirito delle persone sottoposte a test. Premesso che alcune banche, quale metodo di ulteriore autenticazione mirato a individuare possibili intromissioni che permettano a malintenzionati di carpire i dati di accesso ad account online, hanno introdotto un sistema chiamato "Image authentication". Tale sistema consiste nel presentare delle ripetute richieste di verificare il contenuto delle immagini di autenticazione prima di inserire la password.

Lo studio è consultabile a questo indirizzo in formato PDF e non si è certo limitato a questo. Nel dettaglio, per verificare l'efficacia delle tecniche di autenticazione, le "cavie" sono state divise in 3 gruppi. Il primo composto da utenti a cui è stato di svolgere le normali operazioni bancarie online di domenica pomeriggio; il secondo ha avuto simili istruzioni, ma gli è stato raccomandato di fare particolare attenzione alla sicurezza; il terzo composto da persone che con le proprie user ID e password avrebbero utilizzato i propri accessi all'Home Banking. Nei gruppi erano comprese persone con il ruolo di "role-player", il che però non svaluta affatto lo studio, in considerazione dell'ambiente nel quale si è svolto.

I gruppi hanno iniziato la fase di test con degli "stadi" artificialmente compromessi di sicurezza, progressivamente sempre più marcati. Al presentarsi di una pagina di Login, sulla barra degli indirizzi è stato rimosso "https://" ed è stato sostituito con "http://". Ebbene, tutti e 63 i partecipanti hanno inserito regolarmente nome e password.

E' stata quindi alterata la fase di presentazione delle immagini di autenticazione, con un annuncio che recitava "Il servizio è in aggiornamento: qualora queste immagini non compaiano entro le prossime 48 ore, avvertire il servizio clienti". In questo secondo caso, 58 persone su 60 hanno ugualmente inserito nome e password.

Successivamente è stato inviato un bel certificato falso ai browser dei partecipanti, che ha prodotto il laconico avviso di certificato scaduto o non valido. Ebbene, in questo terzo test, 30 su 57 persone, nonostante l'avviso, hanno ritenuto opportuno inserire nome e password.

Dall'analisi dei risultati, come si evince dallo studio, differenze non troppo grandi hanno distinto i "role players" da coloro che stavano effettivamente utilizzando i propri dati per accedere. Comunque tali da destare serie perplessità non solo sull'efficacia dei sistemi di autenticazione, ma anche sulla "presenza psicofisica" e sul grado di vigilanza dimostrata dalla gran parte dei campioni del test. Invece, lo studio considera estremamente negativo il fatto che la consapevolezza del proprio status di "role player" infici seriamente l'atteggiamento da tenere verso siti dove la sicurezza sia il fondamentale valore da osservare.

Da questo studio dobbiamo trarre insegnamento: manteniamo sempre alto il grado di vigilanza nell'effettuare operazioni di Home Banking ed altre simili online, ormai esposte a rischio esattamente come nella vita reale.

Condividere questa pagina su: