حين يسألك نموذج على الإنترنت عن اسم والدتك قبل الزواج، فهو لا يطلب منك سرًا. إنه يطلب منك سطرًا من دفتر العائلة.
هنا يكمن النقد كله؛ والباقي تفاصيل. سؤال الأمان كلمة مرور بثلاثة عيوب لا توجد في كلمة المرور العادية: أنت لم تخترها، والإجابة قابلة للتخمين لأن كثيرين يجيبون الإجابة نفسها، وهي في الغالب مكتوبة في مكان لا تتحكم فيه. وفي المقابل تُمنح امتيازًا هائلًا: بإمكانها أن تحلّ محل كلمة مرورك. إنها الباب الخلفي لحسابك، وهو أوهن من الباب الأمامي.
هذا ليس حدسًا مهنيًا. هذا ما قاسته Google.
الدراسة التي لا يقرأها أحد قبل تصميم النموذج
في 2015، قدّم خمسة باحثين — Joseph Bonneau وElie Bursztein وIlan Caron وRob Jackson وMike Williamson — في مؤتمر WWW بمدينة فلورنسا بحثًا يقول عنوانه وحده كل شيء تقريبًا: Secrets, Lies, and Account Recovery. لم يكن مختبرًا فيه ثلاثون متطوعًا: لقد حلّلوا مئات الملايين من الإجابات السرية وملايين المحاولات الحقيقية لاستعادة الحسابات.
للنتيجة نصفان. وعادةً لا يُروى منها إلا نصف واحد.
النصف الأول: تُخمَّن
نموذج التهديد في البحث ليس ابن عمك الفضولي: إنه شخص يهاجم الحسابات بالجملة ولا يحتاج إلا إلى إصابة جزء بسيط منها. وبهذه العدسة، يتغير معنى الأرقام.
بمحاولة واحدة فقط، يصيب المهاجم 19.7% من إجابات المستخدمين الناطقين بالإنجليزية على سؤال «ما طعامك المفضل؟». محاولة واحدة. والإجابة، إن كان ثمة شك، هي تلك التي تفكر فيها الآن. وبعشر محاولات يصيب 39% من إجابات المستخدمين الكوريين على «ما مدينة ميلادك؟». وبمحاولة واحدة تُصاب 3.8% من إجابات الناطقين بالإسبانية على السؤال الذي كانت Google تقدّمه لهم مترجمًا بصيغة «ما اللقب الأول لوالدك؟».
نسبة 3.8% تبدو ضئيلة حتى تتذكر أن المهاجم لا يهاجم حسابك أنت: إنه يهاجم مليون حساب. ولا يلزم أن تكون Google لتبني القائمة. تحقّق المؤلفون من ذلك: بـألف إجابة فقط اشتروها من خدمة تعهيد جماعي بنوا توزيعات تتراوح فعاليتها بين 75% و80% من فعالية التوزيع الحقيقي عند القيام بمئة محاولة. كلّفتهم التجربة 100 دولار وأقل من يوم واحد.
والأدهى أن الأسئلة المصمَّمة لتكون فريدة لا تنجو هي الأخرى. رقم المسافر الدائم يُفترض أنه لا يتكرر بحكم التعريف؛ وفي الواقع تصيب محاولة واحدة 4.2% منه عند الناطقين بالإنجليزية. والسبب بديع وسنعود إليه: الناس يكذبون، ويكذبون كالقطيع.
النصف الثاني: تُنسى
هنا تنهار الحجة تمامًا، لأن السبب الوحيد لاستمرارنا في استخدام أسئلة الأمان هو
الاعتقاد بأنها موثوقة. المقدمة كانت معقولة: تذكّر مدينة ميلادك يُفترض أن يكون
أسهل من تذكّر xK4$mz. لكنه ليس كذلك. 40% من المستخدمين الأمريكيين الناطقين
بالإنجليزية عجزوا عن تذكّر إجابتهم حين احتاجوا إليها. لم ينسوها نسيانًا
نظريًا: كانوا يحاولون الدخول إلى حسابهم فلم يستطيعوا.
ثم يظهر الانقلاب المثالي، ذاك الذي كان ينبغي أن يقتل هذه التقنية قبل عقد من الزمن. كلما كان السؤال أكثر أمانًا، ساء تذكّره. ففي المجموعة نفسها، «ما الاسم الأوسط لوالدك؟» — وهو سؤال هشّ — حقّق 76% من الإصابات. أما «ما أول رقم هاتف كان لك؟»، وهو أصعب في التخمين بكثير، فنزل إلى 55%. والمرشحات الأكثر أمانًا نظريًا تهوي: «ما رقم بطاقة المكتبة؟» 22%، و«ما رقم المسافر الدائم؟» 9%.
والزمن يُجهز على ما تبقّى. في سؤال «ما طعامك المفضل؟»، كانت نسبة الإصابة 74% بعد شهر، و53% بعد ثلاثة أشهر، و47% بالكاد بعد سنة. والاستعادات لا تتركّز في البداية: وجد المؤلفون أن المستخدمين ليسوا أميل إلى استعادة الحساب مبكرًا منهم إلى استعادته متأخرًا، فيصل معظمهم إلى السؤال وقد تبخّرت الذكرى.
وخلاصة المؤلفين لا تحتمل كثيرًا من التأويل: يبدو من المستحيل تقريبًا إيجاد أسئلة سرية تكون آمنة وسهلة التذكّر في آن واحد.
الكذب لا ينقذك، بل يحبسك في الخارج
ردّ الفعل العاقل، حين تفهم المشكلة، هو أن تكذب: إن سألوك عن مدينة ميلادك، أجب «ريكيافيك» وامضِ في حال سبيلك.
قاس البحث ذلك أيضًا، عبر استطلاع شمل السكان الأمريكيين. فمن بين الذين اعترفوا بإعطاء إجابات كاذبة، فعل 37% ذلك ليصعّبوا المهمة على مهاجم، و15% ليكون تذكّرها أسهل — اقرأها مرتين — و31.9% حفاظًا على الخصوصية، لأنهم لم يرغبوا في إهداء سيرتهم الذاتية لشركة.
المشكلة أن تشديد الإجابة تصرّف يمكن التنبؤ به. وها هي نسبة 4.2% في أرقام المسافر الدائم: أكاذيب الناس تتشابه فيما بينها أكثر بكثير من حقائقهم. والثمن يُدفع في النصف الآخر. فالمستخدمون الأمريكيون الذين ملأوا خانة «ما أول رقم هاتف كان لك؟» بشيء من سبعة أرقام — أي بإجابة معقولة — تذكّروا إجابتهم في 55% من الحالات. أما من وضعوا ستة محارف، أي من اخترعوا شيئًا من عندهم، فأصابوا 18%.
الكذب دون تدوين ما كذبت به ليس استراتيجية أمان. إنه رمي المفتاح.
بالعربية، السؤال أصلًا بلا معنى
عد إلى اسم والدتك قبل الزواج. في العرف العربي، المرأة لا تغيّر اسمها حين تتزوج أصلًا: اسمها «قبل الزواج» هو اسمها اليوم، وهو مطبوع في دفتر العائلة وفي البطاقة الوطنية. وأبعد من ذلك: اسم والدك ليس سرًا يمكن سؤالك عنه، إنه المقطع الثاني من اسمك الكامل على جواز سفرك.
وليست هذه غرابة محلية. البحث نفسه يستشهد بدراسة لـGriffith وJakobsson استنتجت ذلك الاسم لما لا يقل عن 30% من سكان ولاية تكساس انطلاقًا من سجلات الميلاد والزواج العامة؛ وبـRabkin، الذي وجد أن 16% من الأسئلة المستخدمة عمليًا كانت إجاباتها مدرجة روتينيًا في الملفات العامة على شبكات التواصل.
معلومة مثبتة في سجل رسمي وظاهرة في ملفك الشخصي ليست سرًا مشتركًا. إنها معلومة عامة وُضع أمامها مربّع كلمة مرور.
ماذا تفعل مع النموذج الذي يجبرك
أحيانًا لا مفرّ: يفرض البنك ثلاثة أسئلة ولا سبيل للمتابعة دونها. في هذه الحالة، كفّ عن معاملتها كأسئلة وعاملها بما هي عليه فعلًا.
- أجب بكلمة مرور، لا بسيرة حياتك. سؤال «ما مدينة ميلادك؟» يمكن الرد عليه بسلسلة عشوائية من المولّد، أو بعبارة مررتها من قبل على أداة الفحص. إنها الإجابة الوحيدة غير المثبتة في أي سجل.
- دوّنها في مدير كلمات المرور، في بطاقة الموقع نفسها. هذه ليست خطوة اختيارية: إنها بالضبط الفرق بين 55% و18% في التذكّر. الكذبة لا تنفع إلا إذا حفظتها.
- إن أتاح لك الموقع اختيار وسيلة استعادة أخرى، فاخترها. في بيانات Google، أصابت الرسائل القصيرة 81% من المرات والبريد الإلكتروني 75%، مقابل 61% للأسئلة السرية لدى المستخدمين الأمريكيين الناطقين بالإنجليزية — و44% فقط لدى الفرنسيين.
تصرّفت Google بما يتسق مع بياناتها وهي أمام عينيها: أنزلت الأسئلة السرية إلى مرتبة الملاذ الأخير، ودائمًا مصحوبة بإشارات أخرى. وما يوصي به البحث هو ألّا تُستخدم وحدها.
بعد أحد عشر عامًا، لا تزال شركة التأمين تسألك عن اسم أول حيوان أليف امتلكته. أجبها بستة عشر محرفًا عشوائيًا. إنها تستحق ذلك.
المصادر: J. Bonneau, E. Bursztein, I. Caron, R. Jackson y M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florencia · V. Griffith y M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005، وA. Rabkin حول أسئلة الأمان في الممارسة العملية، وكلاهما مذكور في العمل السابق.