Pplware

Pergunta de segurança? Um hacker pode adivinhá-la “facilmente”

 E de os utilizadores recordarem as suas respostas às perguntas?

A Google analisou centenas de milhões de processos de pedidos à Google para recuperação das respectivas contas e concluiu que as  perguntas secretas não são suficientemente seguras nem fidedignas para serem utilizadas exclusivamente como ferramenta de recuperação de contas. As respostas ou são seguras ou fáceis de lembrar – mas raramente ambas.

Qual era o nome do seu primeiro animal de estimação?

Qual é a sua comida favorita?

Qual é o nome de solteira da sua mãe?

O que é que estas questões aparentemente aleatórias têm em comum? Todas elas são exemplos conhecidos das habituais “questões de segurança”. Provavelmente, já teve de responder, pelo menos, a uma delas. Muitos serviços on-line usam este tipo de questões para ajudar os utilizadores a recuperarem a acesso às suas contas nos casos de terem esquecido as palavras-passe ou para adicionarem mais um nível de a segurança para protecção do utilizador em relação a acessos suspeitos

Porém, apesar da prevalência das questões de segurança a verdade é que a sua real eficácia raramente foi estudada em profundidade.  As  conclusões da Google, resumidas num paper permitem concluir que este tipo de perguntas secretas não são suficientemente seguras nem fidedignas para serem utilizadas exclusivamente como ferramenta de recuperação de contas. É que elas encerram em si uma falha fundamental: as suas respostas ou são seguras ou fáceis de lembrar – mas raramente ambas.

Respostas fáceis não são seguras

Não é surpresa que as respostas fáceis de lembrar são menos seguras. As respostas fáceis, contêm, muitas vezes, informação pública ou sobejamente conhecida pelo público em geral e, nalguns casos, até fazem parte de um pequeno grupo de possíveis respostas devido a questões culturais (como por exemplo os apelidos em alguns países).

Eis algumas das conclusões específicas:

Muitos utilizadores diferentes revelaram respostas idênticas para as questões secretas que normalmente se poderiam esperar que fossem altamente seguras, tais como “Qual é o seu número de telefone? ou “Qual é o seu número de passageiro frequente? A Google investigou e descobriu que  37% das pessoas indicaram propositadamente respostas erradas para este tipo de questões a pensar que, desta forma, seria mais difícil descobrir. No entanto, estas respostas acabam por ter o efeito contrário pois as pessoas escolhem a mesma resposta (errada) e aumenta a possibilidade de um atacante a poder contornar.

Respostas difíceis não são utilizáveis

A grande surpresa foi que não é fácil lembrar qual a escola primária que a sua mãe frequentou ou até o número do seu cartão de leitor da biblioteca! As perguntas e respostas difíceis são muitas vezes complicadas de utilizar. Eis algumas conclusões interessantes:

Porque não adicionar mais questões de segurança?

De acordo com os dados publicados, a pergunta e resposta mais fácil é ” Qual a cidade onde nasceu” – os utilizadores lembram-se da resposta em 79% das vezes. A segunda mais fácil é a questão “Qual é o nome do meio do seu pai?” – lembrado pelos utilizadores em 74% das vezes. Caso o hacker tivesse 10 tentativas para adivinhar estas respostas, teria cerca de 6.9% e 14.6% de hipóteses para adivinhar a resposta correcta, respectivamente.

Mas, quando os utilizadores têm de responder a ambas as questões, a distância entre a segurança e a utilidade torna-se grande. A probabilidade que um hacker adivinhar a resposta para ambas as questões em 10 tentativas é apenas de 1% enquanto que os utilizadores conseguem recordar ambas as respostas em 59% dos casos. Adicionar mais perguntas secretas torna o processo de recuperação das contas mais difícil e não é uma boa solução.

A Próxima Questão é: O que fazer?

As perguntas secretas são há muito utilizadas em processos de autenticação e de recuperação de contas online. Mas, tendo em conta, estas conclusões é importante para os utilizadores e proprietários de websites pensarem neste assunto.

Exit mobile version