Qualche giorno fa Paolo Attivissimo denunciava l’ingenuità del sistema di recupero password di alcune webmail, come quella di Yahoo.

Avendo appena avuto un’esperienza simile, mi permetto di condividere le tesi di Paolo. Proprio ieri, infatti, Yahoo mi ha avvisato sul mio indirizzo Gmail che qualcuno mi aveva cambiato la password di un vecchio account che non utilizzo più da quando ho felicemente dismesso Flickr.

Già questo è piuttosto incredibile. Non mi viene chiesta conferma del cambio password, semplicemente “vengo informato”, nel momento in cui leggo l’email ovviamente (sia benedetto il Push). Nel frattempo, il ladro di identità può fare quello che preferisce con il mio account.

Andiamo avanti. Nonostante sia un account vuoto e inutilizzato, utilizzo l’apposita procedura di reset per riappropriarmene, non si sa mai. Cambio la password con una ancora più complessa, una stringa casuale di dodici cifre alfanumeriche più caratteri speciali generata da 1Password, e cambio anche le domande di sicurezza, che peraltro erano già difficilmente intuibili.

Finito il tutto, chiudo, e ricevo conferma dell’operazione. A posto, penso, nessun danno. Dopo ben venti minuti, un’altra notifica, stessa storia: qualcuno ha cambiato la password al mio account. Controllo che non sia un semplice doppione e no, di nuovo non riesco ad accedere.

A questo punto rientro, cambio di nuovo, e si vede che nel frattempo il simpaticone si era addormentato, perché da allora tutto tace. Non ho cancellato l’account solo per il gusto di vedere se capitano ancora fatti simili.

Di certo, quanto successo è completamente inaccettabile, per un servizio vitale come l’email che può contenere dati molto importanti e personali. Per fortuna non usavo più Flickr o servizi collegati.

Forse la partnership con Microsoft inizia a dare i suoi frutti?