2014/09/04

A vulnerabilidade das recuperações de passwords: as perguntas "secretas"


O caso iCloud Hack veio trazer para o topo das notícias a questão da segurança no acesso aos nossos dados, e com ele volta a relembrar-se que de pouco serve a mais complexa password existente... se logo ao lado tivermos um sistema de recuperação de passwords falível, como acontece com os populares sistemas de perguntas "secretas".

O sistema de "perguntas secretas" poderá parecer engraçado na teoria, mas na prática é uma das piores coisas que muitos sites utilizam (incluindo a própria Apple, e também o Google). A ideia é a de que, no caso de nos termos esquecido da nossa password, possamos definir uma nova provando a nossa identidade respondendo a várias perguntas que "só nós" conhecemos as respostas.

Na prática, isto traduz-se em sistemas que nos apresentam perguntas como "nome de solteira da mãe", "cor favorita", "nome do primeiro animal de estimação", "cidade em que nasceu", e outras coisas do género. Coisas que talvez em tempos pudessem ter sido considerado secretas, mas que hoje em dia, com a quantidade de informação que as pessoas partilham nas redes sociais, muitas vezes está apenas a algumas pesquisas de distância - e isto para não falar de que, no caso do "atacante" ser um familiar... o sistema ainda falha mais rapidamente, como aqui foi demonstrado.

É por isso que não se deverão deixar enganar por este sistema. Sempre que um site vos solicitar as respostas a perguntas secretas, inventem coisas: "Cor favorita: KSA087324lkj"; "Cidade em que nasceram: 98jfsklj"; e assim por diante. É tempo de começar a exigir que as empresas comecem a levar mais a sério a questão da nossa segurança online, implementando sistemas que garantam a nossa segurança (como o 2-step, quando é bem implemtado), e não deixando ficar "portas abertas" para que o mesmo possa ser contornado por alguém que saiba a nossa data de nascimento, nome dos nossos pais, e a nossa cor favorita (que à partida poderá ser adivinhada em meia-dúzia de tentativas).

10 comentários:

  1. Eu desde sempre que uso respostas absurdas, mas inteligíveis e não coisas aleatórias. Por exemplo, na pergunta à cidade de nascimento posso responder "pêssego".

    ResponderEliminar
  2. É pá, ao menos acrescentar umas letras/números à resposta,

    Eu tenho guardado religiosamente os nomes/passwords das contas. Mas há dias uma conta bloqueou-se, por alguma coisa que fiz. O único meio de fazer o reset da password era através de link enviado para a conta de email "de recuperação" - que por acaso era da ZON, a que perdi o acesso ao fim de um certo tempo (um "perigo" as contas do operador).

    Esta coisa da recuperação de passwords tem que ponderar facilidade de utilização vs. segurança. Não sou contra as perguntas de segurança, mas as respostas ou são as xcftwjf (devidamente anotadas senão não servem para nada) ou, pelo menos respostas que se conhece mas com algumas letras/números mais,

    ResponderEliminar
    Respostas
    1. Para que se entenda, perdi o acesso à conta da ZON por ter mudado de operador.

      Eliminar
    2. Deixem-me só desabar é ao mesmo tempo prevenir. Sou um gajo cuidadosos, não perco credenciais de conta nenhuma (tenho a 1Password no iPhone, iPad, Mac e iCloud), vivo apavorado de as perder.

      Aqui há dias a Microsoft resolveu confirmar se uma password minha estava comprometida. Por sua "alta recriação" mandou-me confirmar através do método actualmente mais usado - link enviado num mail para a conta de recuperação. Por acaso, desta conta de mail tinha acesso, não era a que se foi com a Zon.

      Só para comparar, peguei numa conta minha do Gmail. Fiz de conta que me tinha esquecido da password (não me preocupa, mas preocupa-me as conta auto-bloqueadas) e que me tinha esquecido da conta de recuperação e queria uma nova password e aquilo é o cabo dos trabalhos. Deixem lá as perguntas de segurança, com letras garrafais a avisar dos riscos, mas que é prático, é.

      Eliminar
    3. É verdade sim, e vai-te chatear durante semanas a perguntar se foste mesmo tu a solicitar a alteração da pass, e coisa e tal. :)

      Eliminar
    4. O "desabar" não é meu é do f.d.p. do corretor automático, eu escrevi desabafar :)

      Eliminar
  3. E depois há perguntas absurdas, do tipo cor preferida ou cidade preferida. A minha cor preferida em 2017 pode ser diferente da que prefiro agora!

    ResponderEliminar
    Respostas
    1. Francamente....toda a gente sabe que a cor favorita não é uma "escolha", mas sim algo que "nasce" connosco.

      Eliminar
    2. Comigo, não! Já vou na terceira cor favorita!

      Eliminar
    3. Eu não tenho cor favorita, depende sempre do tema onde está a cor.

      E mesmo essa pode mudar.

      Eliminar