Quanto è facile cambiare password Google ad un telefono rubato

Mentre il mondo della tecnologia si sta spostando verso un futuro senza password e una sempre maggiore dipendenza dalle autenticazioni biometriche, ci dobbiamo basare su qualcosa di sorprendentemente semplice e potente che potrebbe minare la nostra vita digitale: il codice di accesso al telefono. 

Questo semplice codice numerico il più delle volte composto da quattro cifre, consente infatti non solo di accedere al nostro smartphone, ma, con pochi passaggi, di cambiare anche la password del nostro account Google e potenzialmente a password di conti bancari e altro, per arrivare a veri e propri furti di identità.

Segui AndroidWorld su News

La storia nasce da un articolo sul Wall Street Journal in cui la giornalista Joanna Stern, grazie ai suoi contatti con la polizia, rivela come per un malintenzionato sia sorprendentemente facile ottenere il codice di accesso di un iPhone, per esempio chiedendo di condividere una foto che avete appena scattato o sotto minaccia.

Dopo aver rubato il dispositivo, il ladro può accedere a tutte le informazioni personali e persino di cambiare la password dell'ID Apple, con tutte le conseguenze del caso esposte in apertura.

Ma non è una questione riservata al mondo della mela. Il noto Mishaal Rahman ha infatti dimostrato come anche gli utenti Android sono esposti allo stesso pericolo.

Se un ladro che si è impadronito del telefono conosce il codice di accesso, può infatti cambiare la password dell'account Google in pochi passi:

non sto scherzando. Se un ladro conosce il passcode del tuo telefono Android, PUÒ CAMBIARE LA PASSWORD DEL TUO ACCOUNT GOOGLE. Dovevo solo andare su Impostazioni> Google> Gestisci il tuo account Google> Sicurezza> Password> Password dimenticata> Usa il blocco dello schermo> Tocca SÌ sul telefono o sul tablet. — Mishaal Rahman (@MishaalRahman) 25 febbraio 2023

Vi chiederete dove vanno a finire le altre modalità di accesso, come l'autenticazione a due fattori o l'impronta digitale.

Il problema è che l'autenticazione a due fattori può essere facilmente superata utilizzando il metodo "Tocca Sì sul tuo telefono o tablet" quando si accede all'account Google. E ovviamente il telefono è in mano al malintenzionato.

Per quanto riguarda l'autenticazione biometrica, è superata dal codice di accesso, che infatti è richiesto come alternativa.

E Google cosa ne pensa? Interrogata sulla questione, la GrandeG ha risposto laconicamente di essere sempre alla ricerca di modi per migliorare la sicurezza dell'account per gli utenti per aiutare a mantenere i dati sensibili e l'accesso al sicuro dai criminali.

La casa di Mountain View afferma come le loro politiche di accesso e recupero dell'account cercano di trovare un equilibrio tra consentire agli utenti legittimi di mantenere l'accesso ai propri account in scenari del mondo reale e tenere fuori i malintenzionati. Il possesso fisico di un telefono e la conoscenza del codice di accesso sono, in generale, forti segnali di proprietà del dispositivo che utilizziamo quotidianamente per contrastare gli attacchi agli account utente e per aiutare gli utenti legittimi a riottenere l'accesso in scenari comuni, come dimenticare la password dell'account.

Secondo Google, ci sono meccanismi di recupero ragionevoli e limitati nel tempo come il numero di telefono o l'email di recupero, a patto che siano stati impostati. 

Quindi problemi nostri? Parzialmente. Esperti e GrandeG consigliano innanzitutto di impostare un codice alfanumerico per l'accesso al telefono, in modo da renderne più difficile il riconoscimento. Inoltre è consigliato utilizzare sempre l'autenticazione biometrica per l'accesso (per rendere più difficile a un malintenzionato di vedere il PIN) e di impostare autenticazione a due fattori e numero di telefono o email di recupero.

Certo il codice alfanumerico è un'altra password da ricordare e non potrebbe essere inserita in un gestore di password, ma al momento, almeno finché Google e Apple non cambiano le loro politiche che permettono di reimpostare la password tramite un metodo di autenticazione su singolo dispositivo, è l'unica soluzione.