Início » Antivírus e Segurança » Por que as perguntas de segurança não são seguras

Por que as perguntas de segurança não são seguras

Google fez estudo sobre o tema com dados de centenas de milhões de usuários

Avatar Por

“Qual o segundo nome da sua mãe?” ou “Em que colégio você fez o Ensino Médio?” são duas perguntas – entre outras – que tradicionalmente a gente precisa responder na hora de fazer o cadastro em um novo serviço online. Pois bem, uma pesquisa do Google revelou que as tais perguntas de segurança são ineficazes naquilo que se propõem a fazer: confirmar a sua identidade caso você esqueça a sua senha.

O buscador pegou “centenas de milhões” de perguntas secretas e suas respostas (ei, como fica a privacidade destes dados?!) para uma análise em profundidade do que as pessoas estavam usando para recuperar o acesso à conta no Google. Depois, simularam como um hacker tentaria acertar aquela resposta.

De acordo com o Google, existe uma falha bastante comum: elas são ou seguras, ou fáceis de lembrar, mas raramente cumprem os dois requisitos simultaneamente.

Google

Um hacker com acesso à pesquisa ficaria sabendo, por exemplo, que um quinto das pessoas que falam inglês respondeu pizza para a pergunta “Qual é a sua comida predileta?”. Os mesmos hackers têm 24% de chances de descobrir o nome do primeiro professor dos usuários que falam árabe (o Google não revelou a resposta). Também num cenário com dez tentativas, um atacante teria 21% de chances de adivinhar o nome do meio do pai de um usuário que fala espanhol.

Repare que em cada idioma existem padrões de comportamento – parte da chamada engenharia social, por assim dizer – que facilitam a exposição da pessoa ao risco.

O estudo também mostra que é difícil lembrar as respostas para uma série de perguntas. Quatro em cada dez usuários falantes de inglês e baseados nos Estados Unidos não conseguiram rememorar a informação quando mais precisaram. Ainda falando sobre o comportamento dos americanos, questões como o número do registro na biblioteca e do programa de milhagem da companhia aérea têm, respectivamente, taxas de lembrança de 22% e 9%.

O Google também testou a combinação de duas perguntas consideradas mais fáceis, mas ao mesmo tempo assertivas. Os usuários se lembram da cidade em que nasceram e o nome do meio do pai. Mas quando têm que responder às duas perguntas para recuperar a senha, a taxa de acerto chega a 59%. Adicionar mais perguntas de segurança só torna mais difícil para os internautas recuperar suas contas, “e isso não é uma boa solução“, concluem a chefe do laboratório anti-abuso, Elie Burzstein, e o engenheiro de software Ilan Caron.

Os pesquisadores recomendam, ao fim do artigo, que os donos de sites pensem em novas formas de autenticação. No caso específico do Google, a recomendação aos usuários é de que acessem a página sobre segurança para checar se todos os dados estão em dia. Lá também é possível ativar os recursos de receber códigos por SMS ou e-mail para recuperar uma conta. O buscador alega que só usa a pergunta secreta como último recurso. Vale lembrar que a autenticação em duas etapas também é uma realidade – oferecida pelo Google e Microsoft, entre outros gigantes da tecnologia.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Bruna Pratiz

Por que os navegadores são uma bosta! Simples. Quer mais segurança? Investe em um bom navegador como psafe internet, não sei se é o melhor mas comigo funciona super bem!

Isaac Ribeiro
Eu também sempre estabeleci respostas erradas e assim orientava os meus clientes. No início do mês, um deles precisou responder à pergunta secreta e não acertou de jeito nenhum. :D
Danillo Nunes
Os mesmos hackers têm 24% de chances de descobrir o nome do primeiro professor dos usuários que falam árabe (o Google não revelou a resposta)
Essa é fácil. Muhammed (o equivalente em árabe, na verdade). É uma tradição de casais islâmicos dar esse nome ao primeiro filho homem, por isso é o nome mais comum nos países que têm essa língua/religião.
Bruno Guerreiro
Também respondo tudo errado, e sou ainda pior, pois não lembro nem as respostas de coisas reais. Por exemplo, "qual nome da sua primeira escola?", na qual eu não tenho a menor ideia, só procurando mesmo (ou perguntando para minha mãe).
Delta Force
Com certeza pode não funcionar pra outras pessoas, mas no meu caso a única pessoa que sabe essas informações também possui minhas senhas. rsrs Adendo: meu primeiro cachorro morreu há 15 anos e meu cantor preferido é um roqueiro, mas eu sou conhecido por gostar de samba de raiz e MPB. Ah, e meu perfil no Facebook é totalmente limpo. Só tem meu nome, minha foto, endereço do perfil do LinkedIn e meu e-mail. :)
Thiago
Quando você está no site tem a opção de enviar o torpedo, você não precisa se preocupar com o app
Maycon Cruz
Isso vale somente para autenticação via SMS. Não sei se seria fazer isso tão facilmente em um app.
Christian Hartung
O segredo de uma boa mentira é que você tem que manter a história até o fim ;)
Anakin
Sempre respondi errado as perguntas hahaha ai um dia desse me ferrei em tentar recuperar uma conta antiga e não lembrava o nome do meu cachorro que eu nunca tive hahaha
Felippe
Eu uso uma espécie de código dentro da resposta pra dificultar que "adivinhem" e passei usá-lo personalizando todas as minhas respostas. Não faz muito sentido divulgar aqui qual é esse padrão, mas exemplificando com alguns aleatórios: repetir determinadas vezes a segunda letra das palavras ("pizza" vira "piizza") ou sempre colocar determinado número antes da penúltima letra ("piz88za").
Thiago
O problema é que agora estão clonando celulares para acabar com a autenticação em 2 etapas... Mas pelo menos exige mais esforço que esse método de perguntas.
Kawê A.
Nem lembro o que eu cadastrei como resposta dessas perguntas. Prefiro mil vezes usar verificação em duas etapas ou um app que possua um código temporário. Bem mais fácil.
kadug
O problema é que alguém próximo pode saber o nome do seu cantor preferido, ou descobrir via engenharia social. Se você tem alguém por perto a fim de ler suas conversas no Facebook, é um risco.
kadug
Eu respondo sempre alguma coisa que não é a resposta da pergunta, mas que sei que vou lembrar. Por exemplo: "qual é o nome do meio do seu pai?" R: "Casa de dois andares". É uma resposta sempre sem nexo e que obedece um "algorítimo" simples pra conseguir lembrar depois.
Daniel Luiz
Nesse caso sempre tem números fixos que o serviço te dá pra imprimir e guardar
Exibir mais comentários