Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Algumas questões difíceis sobre as "perguntas de segurança"

Estudo da Google conclui que esse método de autenticação não é seguro nem confiável o suficiente para ser usado como o único mecanismo de recuperação de conta

Qual era o nome do seu primeiro animal de estimação?

Qual é a sua comida favorita?

Qual é o nome de solteira da sua mãe?

O que essas perguntas aparentemente aleatórias têm em comum? São todas exemplos conhecidos de "perguntas de segurança". Existe uma enorme chance de você já ter respondido a uma delas antes. Muitos serviços online usam essas "perguntas de segurança" para ajudar os usuários a recuperarem o acesso a contas caso esqueçam suas senhas ou como uma camada adicional de segurança contra logins suspeitos.

No entanto, apesar de sua prevalência, a segurança e eficácia dessas perguntas raramente foram estudadas a fundo. Como parte de nossos esforços para melhorar a segurança de contas, analisamos centenas de milhões de perguntas e respostas secretas que foram usadas para milhões de solicitações de recuperação de conta no Google. Em seguida, nos dedicamos a calcular a probabilidade de os hackers conseguirem adivinhar essas respostas.

Nossas descobertas, que estão resumidas em um artigo que apresentamos recentemente na WWW 2015, nos levaram a concluir que perguntas secretas não são seguras nem confiáveis o suficiente para serem usadas como o único mecanismo de recuperação de conta. O motivo é que possuem uma falha: as respostas a elas são seguras ou fáceis de lembrar, mas nunca ambos.


Respostas fáceis de lembrar não são seguras

Como já se pode imaginar, respostas fáceis de lembrar são as menos seguras. Respostas fáceis costumam conter informações conhecidas ou públicas ou fazem parte de um conjunto pequeno de respostas possíveis por questões culturais (por exemplo, um sobrenome comum em certos países).

Eis algumas informações específicas:

1 -  Em uma única tentativa, um hacker teria 19,7% de chance de descobrir a resposta dos usuários que falem inglês para a pergunta "Qual é a sua comida favorita?" ("pizza", aliás)

2 -  Em dez tentativas, um hacker teria quase 24% de chance de adivinhar a resposta dos usuários que falam árabe para a pergunta "Qual é o nome da sua professora favorita?"

3 -  Em dez tentativas, um hacker teria 21% de chance de adivinhar a resposta dos usuários que falam espanhol para a pergunta "Qual é o nome do meio do seu pai?".

4 -  Em dez tentativas, um hacker teria 39% de chance de adivinhar a resposta dos usuários que falam coreano para a pergunta "Em que cidade você nasceu?" e 43% de chance de adivinhar a comida favorita deles.

Muitos usuários diferentes também deram respostas idênticas a perguntas secretas que esperaríamos que fossem altamente seguras, como "Qual é o seu número de telefone?" ou "Qual é o número do seu programa de milhas aéreas?". Investigamos mais isso e descobrimos que 37% das pessoas fornecem intencionalmente respostas falsas às perguntas, pois acham que isso tornará mais difícil adivinhá-las. No entanto, isso acaba não dando certo porque as pessoas escolhem as mesmas respostas (falsas) e, na verdade, aumentam a probabilidade de invasão de um hacker.

Respostas difíceis não são usáveis

Todo mundo sabe que não é fácil lembrar qual foi a escola de ensino fundamental que a sua mãe frequentou ou qual é o número do seu cartão de biblioteca! Perguntas e respostas secretas difíceis não são muito usáveis. Eis algumas descobertas específicas sobre isso:

1 - 40% dos usuários que falam inglês nos EUA não conseguiam lembrar suas respostas para perguntas secretas quando necessário. Por sua vez, esses mesmos usuários conseguiam lembrar os códigos de redefinição enviados a eles por SMS mais de 80% das vezes e, por e-mail, quase 75% das vezes.

2 - Algumas das perguntas potencialmente mais seguras — "Qual é o número do seu cartão de biblioteca?" e "Qual é o número do seu programa de milhas aéreas?" — têm apenas 22% e 9% de taxas de sucesso, respectivamente.

3 -  Para os usuários que falam de inglês nos EUA, a pergunta mais fácil ("Qual é o nome do meio do seu pai?") teve uma taxa de sucesso de 76%, enquanto a pergunta potencialmente mais segura ("Qual foi seu primeiro número de telefone?"), teve uma taxa de sucesso de apenas 55%.

Por que simplesmente não adicionar mais perguntas secretas?

Obviamente, é mais difícil adivinhar a resposta correta para duas (ou mais) perguntas, em vez de uma. No entanto, adicionar mais perguntas também tem um porém: a chance de as pessoas recuperarem suas contas diminui significativamente. Fizemos uma análise subsequente para ilustrar essa ideia (o Google nunca faz várias perguntas de segurança).

De acordo com os nossos dados, a pergunta (e resposta) "mais fácil" é "Em que cidade você nasceu?". Os usuários se lembram da resposta mais de 79% das vezes. O segundo exemplo mais fácil é "Qual é o nome do meio do seu pai?", lembrado pelos usuários 74% das vezes. Se tivesse dez tentativas, um hacker teria 6,9% e 14,6% de chance de adivinhar as respostas corretas para essas perguntas, respectivamente.

No entanto, quando os usuários precisam responder a ambas, a diferença entre a segurança e a usabilidade das perguntas secretas se torna maior. A probabilidade de um hacker adivinhar ambas as respostas em dez tentativas é de 1%, mas os usuários se lembrarão delas apenas 59% das vezes. Adicionar mais perguntas secretas torna mais difícil para os usuários recuperar suas contas e, como resultado, não é uma boa solução.

A próxima questão: o que fazer?

Perguntas secretas há muito tempo são um recurso online comum de autenticação e recuperação de conta. No entanto, levando em consideração as descobertas acima, é importante que os usuários e proprietários de sites pensem duas vezes antes de utilizá-las.

Recomendamos que os usuários do Google certifiquem-se de que as informações de recuperação de sua conta do Google estejam atualizadas. É possível fazer isso com rapidez e facilidade em nosso site de Verificação de segurança. Por vários anos, usamos as perguntas de segurança para recuperação de conta somente como um último recurso quando mensagens SMS ou endereços de e-mail de backup não funcionam, e nunca as usaremos como a única prova de propriedade de conta.

Paralelamente, os proprietários de sites devem utilizar outros métodos de autenticação, como códigos de backup enviados por SMS ou endereços de e-mail secundários, para autenticar seus usuários e ajudá-los a recuperar o acesso às suas contas. Ambos são mais seguros e oferecem uma melhor experiência do usuário.

Fonte: CIO