O Google publicou na quinta-feira (21/5) uma pesquisa a respeito do uso e da eficácia das chamadas “perguntas de segurança”, recurso utilizado por muitos sites para que usuários que tenham perdido ou esquecido suas senhas possam voltar a ter acesso aos sistemas.
“Analisamos o primeiro conjunto em larga escala de dados empíricos sobre perguntas secretas, com base na utilização deste recurso no Google. Centenas de milhões de perguntas secretas e milhões de solicitações de recuperação de acesso claramente demonstram que perguntas secretas oferecem pouca segurança e pouca confiabilidade”, diz o estudo intitulado “Segredos, Mentiras, e Recuperação de Contas: Lições obtidas no uso de perguntas envolvendo conhecimento pessoal no Google”. A pesquisa foi realizada por Elie Bursztein, Ilan Caron, Rob Jackson e Mike Williamson, do Google, e Joseph Bonneau, da Universidade de Stanford e da Electronic Frontier Foundation.
Os pesquisadores compararam o expediente de usar perguntas secretas com outros métodos de recuperação de acesso, tais como SMS (mensagens de texto via celular) e recuperação via e-mail. E o resultado foi que as perguntas secretas são ineficazes, o que levou o Google a optar pelas outras soluções, usando perguntas secretas apenas em conjunção com outros sinais, de modo a compensar a fraqueza das perguntas.
Perguntas de segurança típicas
Qual era o nome do seu primeiro animal de estimação? Qual é a sua comida favorita? Qual é o nome de solteira da sua mãe? – são exemplos conhecidos de perguntas de segurança.
Antes da pesquisa do Google, a prevalência, segurança e eficácia das perguntas secretas raramente foram estudadas a fundo.
“Como parte de nossos esforços constantes para melhorar a segurança de contas, analisamos centenas de milhões de perguntas e respostas secretas que foram usadas para milhões de solicitações de recuperação de conta no Google. Em seguida, nos dedicamos a calcular a probabilidade de os hackers conseguirem adivinhar essas respostas”, dizem os pesquisadores.
A fraqueza do método das perguntas de segurança é que as respostas a elas são seguras ou fáceis de lembrar, mas nunca ambos. Respostas fáceis de lembrar são menos seguras, já que costumam conter informações conhecidas ou públicas, ou então fazem parte de um conjunto pequeno de respostas possíveis por questões culturais, por exemplo, um sobrenome comum em certos países.
Recurso frágil
O trabalho dos pesquisadores revelou que, em uma única tentativa, um hacker teria 19,7% de chance de descobrir a resposta dos usuários falantes de inglês para a pergunta “Qual é a sua comida favorita?” A resposta seria “pizza”. Em dez tentativas, um hacker teria quase 24% de chance de adivinhar a resposta dos usuários falantes de árabe para a pergunta “Qual é o nome da sua professora favorita?”. E em também dez tentativas, um hacker teria 21% de chance de adivinhar a resposta dos usuários falantes de espanhol para a pergunta “Qual é o nome do meio do seu pai?”. Também em dez tentativas, um hacker teria 39% de chance de adivinhar a resposta dos usuários falantes de coreano para a pergunta “Em que cidade você nasceu?” e 43% de chance de adivinhar a comida favorita deles.
“Muitos usuários diferentes também deram respostas idênticas a perguntas secretas que esperaríamos que fossem altamente seguras, como ‘Qual é o seu número de telefone?’ ou ‘Qual é o número do seu programa de milhas aéreas?’. Investigamos mais isso e descobrimos que 37% das pessoas fornecem intencionalmente respostas falsas às perguntas, pois acham que isso tornará mais difícil adivinhá-las. No entanto, isso acaba não dando certo porque as pessoas escolhem as mesmas respostas falsas e, na verdade, sem querer, aumentam a probabilidade de invasão por um hacker”, explica o estudo.
Não adianta usar perguntas difíceis
A pesquisa apontou que, como já se esperava, perguntas e respostas secretas difíceis não são muito usáveis. Por exemplo, 40% dos usuários angloparlantes nos EUA não conseguiam lembrar suas respostas para perguntas secretas quando necessário. Por sua vez, esses mesmos usuários conseguiam lembrar os códigos de redefinição enviados a eles por SMS mais de 80% das vezes e, por e-mail, quase 75% das vezes.
Algumas das perguntas potencialmente mais seguras, tais como “Qual é o número do seu cartão de biblioteca?” e “Qual é o número do seu programa de milhas aéreas?” têm apenas 22% e 9% de taxas de recordação, respectivamente.
Para os usuários angloparlantes nos EUA, a pergunta mais fácil (“Qual é o nome do meio do seu pai?”) teve uma taxa de sucesso de 76%, enquanto a pergunta potencialmente mais segura (“Qual foi seu primeiro número de telefone?”), teve uma taxa de sucesso de apenas 55%.
Usando um número maior de perguntas secretas
É mais difícil para um hacker adivinhar a resposta correta para duas (ou mais) perguntas, em vez de uma. No entanto, adicionar mais perguntas é algo muitas vezes desvantajoso, já que a chance de as pessoas recuperarem suas contas diminui significativamente. Os estudiosos fizeram uma análise subsequente para ilustrar essa ideia.
De acordo com os dados da pesquisa, a pergunta mais fácil é “Em que cidade você nasceu?”. Os usuários se lembram da resposta mais de 79% das vezes. O segundo exemplo mais fácil é “Qual é o nome do meio do seu pai?”, lembrado pelos usuários 74% das vezes. Se tivesse dez tentativas, um hacker teria 6,9% e 14,6% de chance de adivinhar as respostas corretas para essas perguntas, respectivamente.
No entanto, quando os usuários precisam responder a ambas perguntas, a diferença entre a segurança e a usabilidade das perguntas secretas se torna maior. A probabilidade de um hacker adivinhar ambas as respostas em dez tentativas é de 1%. Só que, infelizmente, os usuários se lembrarão delas apenas 59% das vezes. Em suma, adicionar mais perguntas secretas torna mais difícil para os usuários recuperar suas contas, ou seja, não é uma boa solução.
A melhor solução
Perguntas secretas há muito tempo são um recurso on-line comum de autenticação e recuperação de conta. Entretanto, considerando as descobertas do estudo, é importante que usuários e proprietários de sites pensem duas vezes antes de utilizar perguntas secretas como recurso único para recuperar acesso a contas.
“Recomendamos que os usuários do Google certifiquem-se de que as informações de recuperação de sua conta do Google estejam atualizadas. É possível fazer isso com rapidez e facilidade em nosso site de Verificação de Segurança. Por vários anos, usamos as perguntas de segurança para recuperação de conta somente como um último recurso quando mensagens SMS ou endereços de e-mail de backup não funcionam, e nunca as usaremos como a única prova de propriedade de conta”, explica o Google.
A empresa recomenda que, em paralelo, os proprietários de sites utilizem outros métodos de autenticação, como códigos de backup enviados por SMS ou endereços de e-mail secundários, para autenticar seus usuários e ajudá-los a recuperar o acesso às suas contas. Ambos são mais seguros e oferecem uma melhor experiência do usuário.
Verificação em duas etapas
No caso do Google, em particular, o usuário pode se beneficiar de um recurso bastante poderoso: a verificação em duas etapas, que, em substituição ao envio de códigos via SMS, pode optar pelo uso de um aplicativo residente em um e apenas um dispositivo móvel, que fornece uma chave única de acesso – composta de seis algarismos – que expira a cada minuto. Mais informações a respeito, no site oficial do recurso.