Pesquisa do Google prova que perguntas de segurança não são muito seguras

Se você já criou uma conta online, provavelmente também já teve que definir uma pergunta de segurança, como “Qual o nome da sua professora da 1ª série?”, “Qual o primeiro sobrenome da sua mãe?” ou “Qual o nome de seu primeiro animal de estimação?”. Mas apesar de passarem até um certo grau de confiança, uma pesquisa divulgada pelo Google nesta quinta-feira mostrou que elas não são lá muito boas no que se propõem a fazer, que é ajudar o usuário na recuperação de acesso a uma conta.

Segundo o artigo assinado pelos engenheiros Elie Bursztein e Illan Caron, as respostas para a boa parte delas são quase sempre ou inseguras ou difíceis de lembrar – o que as torna pouco confiáveis para serem usadas “como único mecanismo de recuperação de conta”.

A conclusão veio após os engenheiros Elie Bursztein e Ilan Caron analisarem centenas de milhões de perguntas e soluções definidas por usuários. O estudo revelou que hackers têm quase 20% de chance de acertar, de primeira, a questão “Qual é a sua comida favorita?” feita em inglês, já que é esse o percentual de usuários que escolhe “Pizza” como resposta. E é esse só um dos exemplos.

Em dez tentativas, um invasor tem 39% de chance de adivinhar a solução para a pergunta “Em que cidade você nasceu?” em coreano. Esse número ainda sobe para 43% quando a dúvida é “Qual é a sua comida favorita?”. Ou seja, as respostas dificilmente variam, o que as torna inseguras. O problema se estende até mesmo nas perguntas que envolvem números de telefone, pois pelo menos 37% dos usuários informam combinações falsas para facilitar a própria vida ou “dificultar” a de hackers.

Mas e no caso das soluções mais complexas? De acordo com o artigo, elas são sim mais seguras. Porém, os usuários raramente conseguem guardar as respostas na memória: pelo menos 40% dos que falam inglês não conseguiam lembrá-las quando necessário, por exemplo. Por isso mesmo, “perguntas e respostas difíceis não são muito usáveis”, o que as coloca no mesmo patamar das fáceis. E ainda mostra que optar por códigos de recuperação de conta enviados por SMS ou e-mail pode ser bem mais inteligente.