Por que as perguntas de segurança não são seguras
Google fez estudo sobre o tema com dados de centenas de milhões de usuários
“Qual o segundo nome da sua mãe?” ou “Em que colégio você fez o Ensino Médio?” são duas perguntas – entre outras – que tradicionalmente a gente precisa responder na hora de fazer o cadastro em um novo serviço online. Pois bem, uma pesquisa do Google revelou que as tais perguntas de segurança são ineficazes naquilo que se propõem a fazer: confirmar a sua identidade caso você esqueça a sua senha.
O buscador pegou “centenas de milhões” de perguntas secretas e suas respostas (ei, como fica a privacidade destes dados?!) para uma análise em profundidade do que as pessoas estavam usando para recuperar o acesso à conta no Google. Depois, simularam como um hacker tentaria acertar aquela resposta.
De acordo com o Google, existe uma falha bastante comum: elas são ou seguras, ou fáceis de lembrar, mas raramente cumprem os dois requisitos simultaneamente.
Um hacker com acesso à pesquisa ficaria sabendo, por exemplo, que um quinto das pessoas que falam inglês respondeu pizza para a pergunta “Qual é a sua comida predileta?”. Os mesmos hackers têm 24% de chances de descobrir o nome do primeiro professor dos usuários que falam árabe (o Google não revelou a resposta). Também num cenário com dez tentativas, um atacante teria 21% de chances de adivinhar o nome do meio do pai de um usuário que fala espanhol.
Repare que em cada idioma existem padrões de comportamento – parte da chamada engenharia social, por assim dizer – que facilitam a exposição da pessoa ao risco.
O estudo também mostra que é difícil lembrar as respostas para uma série de perguntas. Quatro em cada dez usuários falantes de inglês e baseados nos Estados Unidos não conseguiram rememorar a informação quando mais precisaram. Ainda falando sobre o comportamento dos americanos, questões como o número do registro na biblioteca e do programa de milhagem da companhia aérea têm, respectivamente, taxas de lembrança de 22% e 9%.
O Google também testou a combinação de duas perguntas consideradas mais fáceis, mas ao mesmo tempo assertivas. Os usuários se lembram da cidade em que nasceram e o nome do meio do pai. Mas quando têm que responder às duas perguntas para recuperar a senha, a taxa de acerto chega a 59%. Adicionar mais perguntas de segurança só torna mais difícil para os internautas recuperar suas contas, “e isso não é uma boa solução“, concluem a chefe do laboratório anti-abuso, Elie Burzstein, e o engenheiro de software Ilan Caron.
Os pesquisadores recomendam, ao fim do artigo, que os donos de sites pensem em novas formas de autenticação. No caso específico do Google, a recomendação aos usuários é de que acessem a página sobre segurança para checar se todos os dados estão em dia. Lá também é possível ativar os recursos de receber códigos por SMS ou e-mail para recuperar uma conta. O buscador alega que só usa a pergunta secreta como último recurso. Vale lembrar que a autenticação em duas etapas também é uma realidade – oferecida pelo Google e Microsoft, entre outros gigantes da tecnologia.