Da quando è sbarcato in Italia, Netflix ha avviato gli utenti a una serie di pratiche e abitudini “particolari” di cui, in fondo, gli utenti restano comunque responsabili. Tra queste, quella di condividere le password (e quindi gli account) è una delle più endemiche. Ora però, il servizio di streaming sta iniziando a testare vari metodi per bloccare o almeno limitare questa pratica. Decisione che ha creato non poco polemiche.
Anche se non è la priorità assoluta di Netflix, la direzione imboccata mostra un risvolto sicuramente positivo dal punto di vista della cybersecurity.
Il test limitato che Netflix ha introdotto negli ultimi giorni è fondamentalmente una forma di autenticazione a due fattori, molto simile a quelle attive – si spera – sulla maggior parte dei nostri altri account online.
Alcuni utenti hanno iniziato a visualizzare il seguente prompt quando si preparano a guardare la propria serie preferita: “Se non vivi con il proprietario di questo account, hai bisogno del tuo account per continuare a guardare”.
Sotto l’avviso, si visualizza un’opzione per ottenere un codice inviato via email o sms al proprietario dell’account, che deve essere inserito per continuare la visione.
Una fonte vicina a Netflix, come riportato da diversi quotidiani statunitensi, sostiene che l’azienda sia ancora nelle fasi iniziali di “sperimentazione” e valuta lo sforzo come un modo sia per verificare chi sta usando quali account sia per minimizzare i problemi di sicurezza inerenti alla condivisione non autorizzata.
Un bonus per la sicurezza
Questo giro di vite sulla condivisione delle password non è certo un gesto altruistico. Sia ben chiaro. Le stesse clausole di Netflix specificano che l’account “non può essere condiviso con individui al di fuori della famiglia”. Impostare questo sistema è un chiaro tentativo di porre fine alla pratica degli account condivisi. Ma agisce anche, indirettamente, per migliorare la nostra sicurezza.
Perché? Qual è il danno se si condivide la password con cugini e conoscenti? Ci sono molti modi per cui la pratica può rivelarsi dannosa. La più elementare è evidente: chi sceglie di condividere il proprio log-in magari con un solo amico, non potrà sapere mai se anche l’amico rimarrà “ligio” al favore concesso o non inizi invece a “prestare” a sua volta l’account anche ad altre persone.
Il vero rischio, molto più grande, è che più il “cerchio” delle password si allarga, più rischiamo che la password venga compromessa. E dato quanto spesso le persone riutilizzano le password su più siti e servizi, ciò significa che la nostra esposizione potrebbe estendersi ben oltre l’account di Netflix.
Tra l’altro, la pratica di provare ad inserire nomi utente e password rubati in vari servizi per vedere cosa funziona, nota come credential stuffing, rimane sempre una tecnica molto popolare.
Immaginiamoci, quindi, di aver prestato l’account a un conoscente che è stato vittima di un furto di credenziali: automaticamente – complice anche la brutta abitudine di riutilizzare sempre la stessa password – gli utenti potrebbero ritrovarsi svuotato il conto o vedere acquisti non autorizzati essere stati addebitati sull’account Amazon. Questo semplicemente per aver voluto far un favore ad un amico… E non si tratta di un’ipotesi remota, tra il 2018 e il 2019 sono stati oltre 20 miliardi di tentativi di credential stuffing; numero che nel 2020 secondo alcune stime è raddoppiato.
Anche quando Disney+ ha fatto il suo debutto, migliaia di account sono immediatamente spuntati sui mercati del dark web grazie a criminal hacker che hanno semplicemente preso di mira utenti avvezzi a riutilizzare le password.
La decisione di Netflix, quindi, di dover avere uno step in più per accedere al proprio account non sembra proprio così insensata. Richiedere l’inserimento di un codice per accedere al proprio account Netflix non impedisce, tra l’altro, di condividere le proprie credenziali. Aggiunge sicuramente un “livello di fastidio” sia per noi che per il nostro “beneficiario”, ma assicura anche che dei perfetti sconosciuti non stiano approfittando di un servizio che paghiamo e permette di limitare il credential stuffing diminuendo il numero di dispositivi che hanno collegata la “combinazione magica” di utente e password. Al momento non è chiaro se Netflix espanderà questo test o esplorerà altri modi per porre un freno alla condivisione delle password. Non abbassiamo la guardia!
© RIPRODUZIONE RISERVATA