Sarebbero occorsi solo 45 minuti e le informazioni prese da Wikipedia e Facebook per forzare la casella e-mail registrata presso Yahoo da Sarah Palin, candidata alla vicepresidenza degli Stati Uniti per il Partito Repubblicano.

L'autore dell'attacco si chiama David Kernell e sostiene di non aver incontrato alcuna difficoltà nell'accedere alla casella gov.palin@yahoo.com: è bastato seguire le istruzioni trovate online.

L'esistenza di quell'account (ora rimosso insieme al fratello gov.sarah@yahoo.com) parrebbe motivata dalla necessità di sfuggire al controllo esercitato sulle caselle e-mail ufficiali. Kernell, una volta ottenuto l'accesso, se ne è vantato sul sito 4chan.org facendosi chiamare Rubico.

Il motivo per cui è stato tanto facile per Kernell accedere alla posta della Palin è piuttosto ovvio: se per recuperare una password persa il sistema richiede di inserire informazioni personali e queste stesse informazioni vengono sbandierate ai quattro venti sui siti di social networking (o di informazione, nel caso di personaggi pubblici), non servono abilità speciali per accedere alle caselle di posta di chicchessia, reimpostando o azzerando le password.

Intanto, però, in Rete si stanno accendendo discussione anche infiammate sulla sicurezza del Web 2.0 e sulla mancanza di privacy; qui, però, non si tratta di sicurezza del web né dell'esistenza di un Grande Fratello, quanto della mancanza di buonsenso da parte delle persone che nel web navigano.

Il problema, d'altra parte, è vecchio: non si dice sempre di non usare password banali o riconducibili a particolari della vita personale che altri potrebbero conoscere (il nome dell'animale domestico o dei figli, per esempio)? E se questra strategia vale per le password, a maggior ragione non dovrebbe valere per i servizi di recupero delle password stesse?

Non è una questione tecnica, ma di attenzione. Certo, i fornitori delle applicazioni web (posta elettronica in primis) possono impegnarsi per apportara miglioramenti ai loro servizi, ma da soli possono fare ben poco.

Esistono software che richiedono l'inserimento di tre risposte a tre diverse domande che riguardano argomenti personali (a esempio: il nome della madre, la scuola elementare frequentata, il nome dell'amico più caro) ma anche così non si può garantire l'inviolabilità.

Migliori sono quei servizi che consentono all'utente di impostare da sé la domanda da porre qualora la password andasse persa: un utente intelligente saprebbe elaborare con un minimo sforzo una domanda e una risposta non facilmente indovinabili, meglio se mascherate in qualche modo.

Altri ancora consentono di cambiare password solo inviando un link da seguire (e che scade entro poco tempo) a un indirizzo di posta alternativo specificato al momento dell'iscrizione, ma non tutti l'hanno o si ricordano come accedervi, se non lo usano spesso.

I sistemi sono tanti ma il centro della questione è che l'utente deve innanzitutto garantire da sé la propria sicurezza: non si può lamentare con Google e Yahoo se per recuperare la password basta sapere la data del suo matrimonio, in bella vista su Facebook.