2015/05/21

Google alerta para os riscos das perguntas de recuperação de contas


Os riscos associados às perguntas de segurança para a recuperação de contas são algo para o qual já tínhamos alertado, mas agora é o próprio Google que revela as suas conclusões tendo por base as centenas de milhões de pedidos que são feitos nos seus próprios serviços.

Vivemos num mundo em que somos escravizados pela necessidade de manter múltiplas passwords para acedermos aos serviços online, e onde a maioria deles disponibiliza forma do utilizador poder recuperar o acesso à sua conta na eventualidade de se esquecer da password. Um dos métodos mais habituais é o sistema de perguntas onde apenas o utilizador deverá saber as respostas, com coisas como: nome do primeiro animal de estimação, escola em que o pai andou, etc.

Perguntas que muitos considerarão como um método apropriado para usar para a recuperação da conta, mas que um estudo do Google demonstra não ser o caso. Segundo o Google estas perguntas normalmente sofrem de um uma falha fundamental: as suas respostas ou são seguras ou fáceis de lembrar - mas raramente ambas.

Muitas vezes as perguntas correspondem a respostas fáceis, de informações que se encontram nas redes sociais, ou suficientemente genéricas para poderem ser adivinhadas em poucas tentativas. Por exemplo, um hacker teria cerca de 24% de hipóteses de adivinhar o "nome da primeira professora" com apenas 10 tentativas, em países de língua árabe; e na Coreia do Sul, essas 10 tentativas seriam suficientes para ter 39% de hipóteses de adivinhar as respostas à pergunta "Em que cidade nasceu?"

No caso das respostas difíceis, dá-se o caso de muitas vezes nem os próprios utilizadores se lembrarem da resposta que deram - e muitas vezes, dar respostas falsas também não garante maior segurança, pois grande parte dos utilizadores opta por respostas falsas... pouco seguras!


O Google há muito que deixou de utilizar as perguntas de segurança como método único para certificar a identidade de um utilizador, optando por sistemas que garantem maior segurança, como o envio de códigos SMS para o número de telefone associado à conta, ou para um email secundário definido para efeitos de recuperação. São precisamente esses os métodos que o Google recomenda que todos os sites utilizem para manter a segurança das contas dos utilizadores - e obviamente, não se esquecerem de manter estas informações actualizadas e promovendo também a utilização dos sitemas de autenticação 2-factor para evitar que a password, por si só, garanta uma porta aberta para os hackers.

Sem comentários:

Enviar um comentário (problemas a comentar?)