Skip to main content
La fine delle domande di sicurezza: perché la KBA è morta

La fine delle domande di sicurezza: perché la KBA è morta

March 12, 2025

6

min read

Strategia di sicurezza

La fine delle domande di sicurezza
Figura 1: il declino delle credenziali di conoscenza statica

Il paradosso del “cognome da nubile della madre”

Per 30 anni, le banche e le compagnie telefoniche si sono affidate all’autenticazione basata sulla conoscenza (KBA).
“Qual era la sua prima auto?”
“In quale via è cresciuto?”

Nel 2010, questa era un’informazione “segreta”.
Nel 2025, è di dominio pubblico.

La minaccia dello scraping tramite LLM

Gli agenti di IA generativa possono ora estrarre 15 anni di cronologia dei social media in pochi secondi.

  • Quella foto della sua prima Honda Civic su Instagram (2014)? L’IA conosce la sua prima auto.
  • Quel post “Throwback Thursday” sulla casa della sua infanzia? L’IA conosce la sua via.

Credenziali statiche vs. dinamiche

Le password e le risposte sono statiche. Una volta rubate (o indovinate), restano valide per sempre finché non vengono cambiate.
La voce è dinamica.

  • Non può essere rubata da un database.
  • Richiede la “prova di vita” (liveness) per funzionare.
  • Cambia in modo sottile con il tempo e il contesto, il che rende impossibile “riprodurla” con efficacia contro i rilevatori moderni.

Il costo dell’attrito

Oltre alla sicurezza, la KBA è la causa numero 1 di frustrazione dei clienti.

  • Tempo medio per rispondere a 3 domande KBA: 45-60 secondi.
  • Tasso di fallimento: 15-20% (clienti legittimi che dimenticano le risposte).
  • Tempo di autenticazione vocale: 3 secondi (passiva).

Il percorso da seguire

Il settore sta passando ai fattori di “inerenza” (ciò che si è) rispetto ai fattori di “conoscenza” (ciò che si sa).
Se la sua sicurezza dipende dalla memoria dei suoi clienti, è già stato violato.

Passi alla biometria.

Tags:

KBAAutenticazioneIngegneria socialeCybersecurity