Qual era o nome do seu primeiro animal de estimação? Ou da sua comida favorita? Se já teve de responder a alguma destas questões, então sabe o que é uma pergunta de segurança e para que serve... Mas será que este método é assim tão seguro?
Corpo do artigo
Um estudo efetuado pela Google, que analisou milhões de casos, garante que utilizar perguntas de segurança como ferramenta de recuperação de contas não é suficientemente seguro, pois as respostas raramente podem ser seguras e fáceis de lembrar ao mesmo tempo.
O estudo, apresentado pela Google na conferência WWW 2015, em Itália, garante que as perguntas mais frequentemente utilizadas para recuperação de palavras-chave "não são suficientemente seguras nem fidedignas para serem utilizadas exclusivamente" devido a uma "falha fundamental", que advém da própria natureza das perguntas: se o utilizador se lembrar bem da resposta pretendida esta raramente poderá ser segura, pois é demasiado fácil (as respostas fáceis de lembrar são menos seguras pois contêm, normalmente, informação pública ou de simples conhecimento).
No caso contrário, também há problema: muitos utilizadores não se recordam da resposta que deram às perguntas... Reza o estudo que 40% dos utilizadores norte-americanos falantes de língua inglesa não se lembrava das respostas que deu quando mais precisou. Os piores resultados são obtidos quando as questões de segurança são potencialmente mais fortes, como "Qual é o número do seu cartão de eleitor" ou "Qual é o seu número de passageiro frequente (numa companhia aérea)": a taxa de recordação nestes casos foi de 22% e 9%, respetivamente.
Hackers acertam facilmente nas respostas
Mas outra questão de segurança se levanta: qual será a probabilidade de um "hacker" conseguir acertar nas respostas às perguntas de segurança?
O estudo garante que, "com uma única tentativa, um hacker teria 19.7% de hipóteses de adivinhar" a resposta a uma pergunta tão simples quanto: "Qual é a sua comida favorita?" (a resposta mais comum entre falantes da língua inglesa seria "pizza").
As conclusões não ficam por aqui: um "hacker" que tente aceder à conta de um utilizador que responda em árabe à pergunta "Qual é o nome da sua primeira professora" teria "perto de 24% de hipóteses" de adivinhar a resposta correta em apenas dez tentativas. Com o mesmo número de tentativas, um "hacker" entraria numa conta de um utilizador que fale espanhol e tenha escolhido responder à pergunta "Qual é o nome do meio do seu pai?".
As hipóteses aumentam quando a língua escolhida é a coreana: em dez tentativas, um "hacker" conseguiria acertar na cidade de nascimento de 39% dos utilizadores coreanos e adivinhar qual é a comida preferida de 43%.
Perante este cenário, qual é a melhor solução? A empresa descarta a ideia de adicionar mais questões para resposta, pois "as hipóteses que as pessoas têm de recuperar as suas contas descem significativamente" ao introduzir mais perguntas. Para a Google, a solução passa por ter sempre a informação de recuperação atualizada e por adicionar um número de telemóvel ou um endereço de email de "backup", para onde um código de autenticação possa ser enviado por email ou SMS. "Ambas as formas são seguras e proporcionam ao utilizador uma melhor experiência de utilização", é dito.