Perguntas de Segurança São uma Má Ideia, e Aqui Está o Porquê

Desde que temos senhas e contas, sempre houve hackers tentando colocá-las em suas mãos. Mais importante, as pessoas também têm esquecido suas senhas. Para recuperá-las, o provedor da conta frequentemente implementa uma série de perguntas às quais você fornece suas “respostas secretas”. Este sistema funcionou bem por muitos anos, mas está repleto de maneiras de facilitar o trabalho dos hackers. Embora as respostas sejam secretas, ,,,kk por si só, parece que você está realmente sacrificando sua segurança na esperança de que um dia esse sacrifício o ajude a recuperar sua senha.

O Que Torna as Perguntas de Segurança Horríveis em Segurança

Em 21 de maio de 2015, o Google publicou uma pesquisa sobre todo o esquema de perguntas de segurança. Aparentemente, “qual era o nome do seu primeiro animal de estimação?” pode ser o único elo mais fraco em sua segurança, e pode entregar sua conta aos hackers em uma bandeja de prata. Enquanto você pode criar senhas que são impossíveis de adivinhar, as perguntas de segurança para recuperação são projetadas de tal forma que você deve ser capaz de respondê-las facilmente. Isso funciona bem quando você usa respostas obscuras que ninguém mais pode adivinhar, mas horrivelmente se seu animal de estimação (por exemplo) tem um nome muito comum como “Max” ou “Spot”. Se você nomeou seu cachorro de “Ulisses” ou “Peruggia”, então você pode ter uma chance, embora uma que não seja tão promissora.

Você também pode escolher a opção B, que é mentir sobre a resposta à sua pergunta (ou seja, responder “Offram Klingmanstein III” quando perguntado qual era o sobrenome de solteira da sua mãe). O problema com isso é que você acaba com mais uma coisa que deve lembrar. Lembrar respostas sobre as quais você mentiu é tão difícil quanto lembrar a senha que você esqueceu em primeiro lugar. Esta não é uma solução, mas um fardo adicional.

O Que Deveria Substituir Essas Perguntas?

Além dos problemas de segurança que as perguntas introduzem, elas apenas aumentam a confusão para aqueles que não conseguem lembrar a cidade em que nasceram ou os nomes de seu primeiro animal de estimação (isso acontece). Pessoas que conhecem você bem também podem acessar suas contas facilmente com esse método. Esperançosamente, já chegamos à conclusão de que algo precisa substituir o método de “resposta secreta”. Felizmente, há muitos bons concorrentes para substituições, um dos melhores sendo a autenticação de dois fatores.

O método de “resposta secreta” foi inventado antes que as pessoas tivessem comumente celulares que pudessem abrir mensagens SMS. Neste ponto da história, praticamente todos com acesso à Internet têm um celular. De 7 bilhões de pessoas, há aproximadamente 6,8 bilhões de telefones. O Google adotou um novo método de autenticação que envolve o envio de uma senha única por SMS para recuperação. Para aqueles sem telefones, eles poderiam usar um e-mail de backup de uma pessoa de confiança ou um que eles mesmos usam para recuperação. Este método torna muito difícil “adivinhar” o caminho para uma conta sem o telefone do usuário.

Ao usar a autenticação de dois fatores, você resolve duas coisas ao mesmo tempo:

• Você minimiza o risco de uma pessoa não lembrar sua “resposta”, uma vez que o código SMS único é entregue ao usuário mediante solicitação, e
• Você cria um método de recuperação que é quase inquebrável, uma vez que o hacker precisaria ter acesso a um objeto físico que o usuário possui.

Você consegue pensar em algo mais para substituir o método de resposta secreta? Deixe seus pensamentos em um comentário abaixo!