“Qual o segundo nome da sua mãe?” ou “Em que colégio você fez o Ensino Médio?” são duas perguntas – entre outras – que tradicionalmente a gente precisa responder na hora de fazer o cadastro em um novo serviço online. Pois bem, uma pesquisa do Google revelou que as tais perguntas de segurança são ineficazes naquilo que se propõem a fazer: confirmar a sua identidade caso você esqueça a sua senha.

O buscador pegou “centenas de milhões” de perguntas secretas e suas respostas (ei, como fica a privacidade destes dados?!) para uma análise em profundidade do que as pessoas estavam usando para recuperar o acesso à conta no Google. Depois, simularam como um hacker tentaria acertar aquela resposta.

De acordo com o Google, existe uma falha bastante comum: elas são ou seguras, ou fáceis de lembrar, mas raramente cumprem os dois requisitos simultaneamente.

Um hacker com acesso à pesquisa ficaria sabendo, por exemplo, que um quinto das pessoas que falam inglês respondeu pizza para a pergunta “Qual é a sua comida predileta?”. Os mesmos hackers têm 24% de chances de descobrir o nome do primeiro professor dos usuários que falam árabe (o Google não revelou a resposta). Também num cenário com dez tentativas, um atacante teria 21% de chances de adivinhar o nome do meio do pai de um usuário que fala espanhol.

Repare que em cada idioma existem padrões de comportamento – parte da chamada engenharia social, por assim dizer – que facilitam a exposição da pessoa ao risco.

O estudo também mostra que é difícil lembrar as respostas para uma série de perguntas. Quatro em cada dez usuários falantes de inglês e baseados nos Estados Unidos não conseguiram rememorar a informação quando mais precisaram. Ainda falando sobre o comportamento dos americanos, questões como o número do registro na biblioteca e do programa de milhagem da companhia aérea têm, respectivamente, taxas de lembrança de 22% e 9%.

O Google também testou a combinação de duas perguntas consideradas mais fáceis, mas ao mesmo tempo assertivas. Os usuários se lembram da cidade em que nasceram e o nome do meio do pai. Mas quando têm que responder às duas perguntas para recuperar a senha, a taxa de acerto chega a 59%. Adicionar mais perguntas de segurança só torna mais difícil para os internautas recuperar suas contas, “e isso não é uma boa solução“, concluem a chefe do laboratório anti-abuso, Elie Burzstein, e o engenheiro de software Ilan Caron.

Os pesquisadores recomendam, ao fim do artigo, que os donos de sites pensem em novas formas de autenticação. No caso específico do Google, a recomendação aos usuários é de que acessem a página sobre segurança para checar se todos os dados estão em dia. Lá também é possível ativar os recursos de receber códigos por SMS ou e-mail para recuperar uma conta. O buscador alega que só usa a pergunta secreta como último recurso. Vale lembrar que a autenticação em duas etapas também é uma realidade – oferecida pelo Google e Microsoft, entre outros gigantes da tecnologia.

Receba mais sobre Google na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da GloboNews, palestrante, mediador e apresentador de eventos. Tem passagem pela CBN e pelo TechTudo. Já apareceu no Jornal Nacional, da TV Globo, e publicou artigos na Galileu e no jornal O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Relacionados

O que é Stack Overflow?
O que é Stack Overflow?
Como recuperar sua conta Google caso tenha esquecido o e-mail do Gmail
Como recuperar sua conta Google caso tenha esquecido o e-mail do Gmail
Manda nudes? Entenda se é possível fazer isso de maneira segura
Manda nudes? Entenda se é possível fazer isso de maneira segura
Por que HTTPS não quer dizer “site seguro”
Por que HTTPS não quer dizer “site seguro”
4 coisas sobre segurança do Wi-Fi que você precisa saber
4 coisas sobre segurança do Wi-Fi que você precisa saber
O que é cibersegurança?
O que é cibersegurança?
Como proteger dispositivos IoT [smart TVs, speakers e câmeras IP]
Como proteger dispositivos IoT [smart TVs, speakers e câmeras IP]
Como se proteger de redirects do Google Ads (e falso aviso de vírus) no Chrome
Como se proteger de redirects do Google Ads (e falso aviso de vírus) no Chrome
Google Chrome terá proteção em tempo real contra phishing
Google Chrome terá proteção em tempo real contra phishing
Como funciona o YouTube?
Como funciona o YouTube?