Perguntas para lembrar senhas na web não funcionam, diz Google

• 0

“Qual é o nome do seu animal de estimação?”, “qual a sua comida preferida?”, “qual é o nome do meio do seu pai?”. Essas são típicas perguntas de sistema segurança, aquelas usadas por serviços on-line para ajudar o usuário a recuperar acesso a uma conta, caso tenha esquecido sua senha.

Essas perguntas funcionam também como uma camada extra de segurança contra logins suspeitos. Mas qual é a eficácia delas? De acordo com uma pesquisa feita pelo Google, elas não funcionam tão bem quanto deveriam.

Elie Bursztein, chefe de pesquisa antiabuso, e Ilan Caron, engenheiro de software da companhia de buscas, analisaram milhares de perguntas e respostas secretas para tentar descobrir se elas realmente são seguras. Os pesquisadores concluíram que as perguntas secretas não são confiáveis nem seguras o suficiente para serem usadas como o único mecanismo de recuperação de conta. Isso porque as respostas para essas perguntas normalmente são fáceis de lembrar.

A análise mostrou que o problema das perguntas são as respostas. Quando elas são fáceis demais, não são seguras. Mas, quando são mais complexas o usuário não consegue se lembrar e recuperar sua conta.

Segundo Bursztein e Caron, o problema das respostas mais fáceis é que elas costumam conter informações públicas ou fazem parte de um conjunto pequeno de respostas possíveis por questões culturais (por exemplo, um sobrenome comum em certos países).

Fazendo a análise de dados, os pesquisadores descobriram que, com apenas um chute, um hacker teria 19,7% de chance de adivinhar a resposta para “qual é sua comida favorita” de falantes de língua inglesa – que seria pizza. Já para falantes de coreano, um hacker teria 39% de descobrir com dez tentativas a resposta para a mesma pergunta.

Com dez palpites, um invasor teria probabilidade de 21% de acertar “qual é nome do meio do seu pai?” para falantes de espanhol.

Os pesquisadores também descobriram que muitos usuários tinham respostas idênticas para perguntas mais difíceis – e que passam a impressão de serem mais seguras – como “qual seu telefone?”. Mais de 37% das pessoas dá respostas propositalmente falsas para esse tipo de pergunta achando que será mais difícil de adivinhar, quando, na verdade, acabam dando a mesma resposta falsa.

Respostas difíceis

O problema é óbvio: elas não fáceis de lembrar. A pesquisa mostra que 40% dos norte-americanos não conseguia se lembrar desse tipo de resposta ao tentar recuperar sua conta.

A resposta para “qual é o número do seu cartão da biblioteca?”, que parece ser uma pergunta segura, só foi lembrada em 22% dos casos. Já uma pergunta mais fácil como “qual o nome do meio do seu pai?” teve uma taxa de lembrança de 76%.