In generale, i codici EPP non aiutano a prevenire il furto / il dirottamento del dominio, almeno nelle estensioni generiche di primo livello.
Prima del 2006, era possibile rubare .com / .net (possibilmente altre estensioni) purché a) non fossero bloccati eb) il legittimo proprietario del dominio non si opponesse ad esso. b) in particolare potrebbe accadere quando l'e-mail del registrante era scaduta, era scaduta o la posta di notifica è rimasta spam.
Con l'introduzione del codice EPP la pratica di rubare / dirottare i nomi di dominio è diventata più difficile.
Quanto segue si applica alle estensioni generiche di primo livello (i ccTLD hanno spesso regole diverse):
Per trasferire un nome di dominio ad un altro registrar, è necessario il cosiddetto codice EPP e lo stato di blocco del registrar deve essere revocato. Che si traduce nel sollevamento dello stato clientTransferProibito.
Il codice EPP viene spesso inviato all'indirizzo e-mail del registrant, ma a volte può essere recuperato online. Dipende dal registrar. Il registrar è anche il luogo in cui si solleva il blocco del trasferimento.
Talvolta vengono rubati nomi di dominio preziosi. Implica spesso l'acquisizione dell'account di posta elettronica amministrativo. Se un hacker può assumere il controllo del tuo indirizzo e-mail, può a) reimpostare la password al registrar (possono essere applicate domande sulla sicurezza a seconda del registrar), b) rilevare l'account registrar, c) sbloccare il dominio e recuperare l'EPP codice, d) trasferisci il dominio lontano - o semplicemente scherzi con le impostazioni DNS, ad esempio per eseguire un reindirizzamento dannoso.
Lo stato EPP è in realtà un punto controverso. Solo perché un dominio non ha alcun flag impostato, non significa che tu possa pasticciarlo. Se invece riesci a modificare l'account registrar, è quasi certamente game over.
Per riassumere, il modo migliore per proteggere i nomi di dominio è assicurarsi che l'e-mail amministrativa sia sicura e aggiornata e scegliere con attenzione il registrar.
Alcuni registrar hanno funzionalità di sicurezza avanzate come 2FA, notifiche automatiche via e-mail, mentre altri potrebbero ancora memorizzare password in testo normale e dovrebbero essere evitate solo per questo motivo.
Va da sé che l'account utente del registrar deve essere protetto con una password unica e difficile da indovinare, e non fa male se il nome utente non è troppo prevedibile.
Un'ultima nota: l'e-mail amministrativa viene visualizzata nel registro whois, in quanto tale è un'informazione pubblica. Pertanto, è una buona idea utilizzare un indirizzo e-mail per il tuo account registrar, diverso da quello elencato nel record whois.
Riferimento:
ICANN: codici di stato EPP | Cosa significano e perché dovrei sapere?