Quando o utilizador faz o registo num novo site, plataforma ou serviço, tem de definir uma password. Mas por vezes a palavra-chave não é suficiente, é necessário escolher uma pergunta secreta e dar uma resposta pessoal que serve, por exemplo, para recuperar a password em futuras ocasiões.

A Google decidiu questionar-se sobre a validade deste sistema. Ao longo dos anos a tecnológica recebeu milhões de pedidos de recuperação de palavras-chave e decidiu analisar os números para compreender melhor o universo das “perguntas secretas”.

A principal conclusão da tecnológica é: a resposta até pode ser boa e segura, mas há uma grande probabilidade de o utilizador se esquecer dela. Já quando as passwords são fáceis de lembrar está a “convidar” os hackers a acederem às contas através de respostas de senso comum.

Por exemplo, para um utilizador de lingua inglesa a pergunta “Qual é a sua comida favorita” é sinónimo de perigo: um hacker teria 19,7% de adivinhar a resposta certa, numa única tentativa, já que a mais comum é pizza.

Com um total de dez tentativas disponíveis o hacker teria 24% de hipótese de acertar na resposta à pergunta secreta se a questão fosse “Qual é o nome da sua primeira professora” e o utilizador fosse de língua árabe.

Mas os casos chegam a ser mais alarmantes. Num cenário de 10 tentativas de resposta para a pergunta “Qual a sua comida favorita?”, o hacker teria 43% de hipótese de acertar se o utilizador fosse sul-coreano.

Como são perguntas comuns e sobre os quais existem dados públicos - por exemplo, publicações em redes sociais -, os hackers conseguem ganhar acesso às contas mesmo sem grande esforço e capacidade tecnológica.

A solução parece simples: pensar um pouco ao lado na resposta e tentar não ser muito óbvio. O problema está na dificuldade que os utilizadores têm em lembrar a resposta certa.

A Google revela em comunicado que “algumas das potenciais questões de segurança mais fortes - "Qual é o número do seu cartão de leitor" e "Qual é o seu número de passageiro frequente" - têm apenas taxas de recordação na casa dos 22% e 9% respetivamente”.

Para os que pensam sugerir como solução a criação de um método de recuperação com base em duas questões, a tecnológica de Mountain View diz estar fora de questão.

“Quando os utilizadores têm de responder a ambas as questões, a distância entre a segurança e a utilidade torna-se grande. Adicionar mais perguntas secretas torna o processo de recuperação das contas mais difícil e não é uma boa solução”.

A recomendação que fica é a de que os gestores de serviços online e páginas Web adotem sistemas de recuperação que tem por base o envio de um código único por SMS ou então o envio de um email para o utilizador.

Recorda-se que cada vez mais as grandes tecnológicas têm vindo a apostar em sistemas de autenticação em dois passos para tentarem mitigar problemas de segurança.


Escrito ao abrigo do novo Acordo Ortográfico

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Notificações

Subscreva as notificações SAPO Tek e receba a informações de tecnologia.

Na sua rede favorita

Siga-nos na sua rede favorita.