Pesquisa do Google prova que perguntas de segurança não são muito seguras
| |Se você já criou uma conta online, provavelmente também já teve que definir uma pergunta de segurança, como “Qual o nome da sua professora da 1ª série?”, “Qual o primeiro sobrenome da sua mãe?” ou “Qual o nome de seu primeiro animal de estimação?”. Mas apesar de passarem até um certo grau de confiança, uma pesquisa divulgada pelo Google nesta quinta-feira mostrou que elas não são lá muito boas no que se propõem a fazer, que é ajudar o usuário na recuperação de acesso a uma conta.
Segundo o artigo assinado pelos engenheiros Elie Bursztein e Illan Caron, as respostas para a boa parte delas são quase sempre ou inseguras ou difíceis de lembrar – o que as torna pouco confiáveis para serem usadas “como único mecanismo de recuperação de conta”.
A conclusão veio após os engenheiros Elie Bursztein e Ilan Caron analisarem centenas de milhões de perguntas e soluções definidas por usuários. O estudo revelou que hackers têm quase 20% de chance de acertar, de primeira, a questão “Qual é a sua comida favorita?” feita em inglês, já que é esse o percentual de usuários que escolhe “Pizza” como resposta. E é esse só um dos exemplos.
Em dez tentativas, um invasor tem 39% de chance de adivinhar a solução para a pergunta “Em que cidade você nasceu?” em coreano. Esse número ainda sobe para 43% quando a dúvida é “Qual é a sua comida favorita?”. Ou seja, as respostas dificilmente variam, o que as torna inseguras. O problema se estende até mesmo nas perguntas que envolvem números de telefone, pois pelo menos 37% dos usuários informam combinações falsas para facilitar a própria vida ou “dificultar” a de hackers.
Mas e no caso das soluções mais complexas? De acordo com o artigo, elas são sim mais seguras. Porém, os usuários raramente conseguem guardar as respostas na memória: pelo menos 40% dos que falam inglês não conseguiam lembrá-las quando necessário, por exemplo. Por isso mesmo, “perguntas e respostas difíceis não são muito usáveis”, o que as coloca no mesmo patamar das fáceis. E ainda mostra que optar por códigos de recuperação de conta enviados por SMS ou e-mail pode ser bem mais inteligente.