Quan un formulari et pregunta el cognom de soltera de la teva mare, no t’està demanant cap secret. T’està demanant una dada del registre civil.
Aquí hi ha tota la crítica; la resta són detalls. Una pregunta de seguretat és una contrasenya amb tres defectes que una contrasenya normal no té: no la vas triar tu, la resposta és endevinable perquè molta gent contesta el mateix, i sovint està escrita en algun lloc que no controles. A canvi se li concedeix un privilegi enorme: pot substituir la teva contrasenya. És la porta del darrere del teu compte, i és més fluixa que la del davant.
Això no és una intuïció de gremi. És el que va mesurar Google.
L’estudi que ningú no llegeix abans de dissenyar el formulari
El 2015, cinc investigadors —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson i Mike Williamson— van presentar a la conferència WWW, a Florència, un treball el títol del qual ja ho diu gairebé tot: Secrets, Lies, and Account Recovery. No era un laboratori amb trenta voluntaris: van analitzar centenars de milions de respostes secretes i milions d’intents reals de recuperació de compte.
La troballa té dues meitats. Gairebé sempre se n’explica només una.
Meitat u: s’endevinen
El model d’amenaça del paper no és el teu cunyat tafanejant: és algú que ataca comptes en massa i només necessita encertar-ne una fracció. Amb aquesta lupa, els números canvien de significat.
Amb una sola temptativa, un atacant encertaria el 19,7 % de les respostes dels usuaris angloparlants a «Quin és el teu menjar preferit?». Una. La resposta, per si hi ha dubtes, tendeix a ser la que estàs pensant. Amb deu temptatives encertaria el 39 % de les respostes dels usuaris coreans a «Ciutat de naixement?». I amb un sol intent s’encerta el 3,8 % de les respostes dels hispanoparlants a la pregunta que Google els servia traduïda com «Primer cognom del pare?».
Un 3,8 % sona a poc fins que recordes que l’atacant no ataca el teu compte: ataca un milió de comptes. I no cal ser Google per construir la llista. Els autors ho van comprovar: amb tot just mil respostes comprades en un servei de crowdsourcing van muntar distribucions entre un 75 % i un 80 % tan efectives com la real quan es fan fins a cent intents. L’experiment els va costar 100 dòlars i menys d’un dia.
El més demolidor és que les preguntes dissenyades per ser úniques tampoc no se salven. Un número de viatger freqüent hauria de ser irrepetible per definició; a la pràctica, una sola temptativa encerta el 4,2 % entre angloparlants. La raó és meravellosa i hi tornarem: la gent menteix, i menteix en ramat.
Meitat dos: s’obliden
Aquí l’argument cau del tot, perquè l’únic motiu pel qual continuem fent servir
preguntes de seguretat és la creença que són fiables. La premissa era
raonable: recordar la teva ciutat natal hauria de ser més fàcil que recordar
xK4$mz. No ho és. El 40 % dels usuaris nord-americans angloparlants va ser
incapaç de recordar la seva resposta quan la va necessitar. No l’havien
oblidada en abstracte: estaven intentant entrar al seu compte i no van poder.
I llavors apareix la inversió perfecta, la que hauria d’haver matat aquesta tecnologia fa una dècada. Com més segura és la pregunta, pitjor es recorda. Entre aquesta mateixa població, «Quin és el segon nom del teu pare?» —una pregunta fluixa— tenia un 76 % d’encerts. «Quin va ser el teu primer número de telèfon?», bastant més difícil d’endevinar, baixava al 55 %. I les candidates teòricament més segures s’enfonsen: «Número del teu carnet de biblioteca?» un 22 %, «Número de viatger freqüent?» un 9 %.
El temps remata la feina. Per a «Quin és el teu menjar preferit?», l’encert era del 74 % al cap d’un mes, del 53 % al cap de tres mesos i de tot just el 47 % al cap d’un any. I les recuperacions no es concentren al principi: els autors van trobar que els usuaris no són més propensos a recuperar el compte aviat que tard, de manera que la majoria arriba a la pregunta quan el record ja s’ha evaporat.
La conclusió dels autors no admet gaire reinterpretació: sembla gairebé impossible trobar preguntes secretes que siguin alhora segures i memorables.
Mentir no et salva, et deixa fora
La reacció sensata, quan entens el problema, és mentir: si et pregunten per la teva ciutat natal, contesta «Reykjavík» i au.
El paper també va mesurar això, amb una enquesta a la població nord-americana. Entre els qui van admetre donar respostes falses, el 37 % ho va fer per posar-ho difícil a un atacant, el 15 % perquè fos més fàcil de recordar —llegeix-ho dues vegades— i un 31,9 % per privacitat, perquè no li venia de gust regalar la seva biografia a una empresa.
El problema és que endurir una resposta és un gest previsible. Aquí hi ha el 4,2 % dels números de viatger freqüent: les mentides de molta gent s’assemblen entre si força més que les veritats. I el preu es paga a l’altra meitat. Els usuaris nord-americans que van omplir «Quin va ser el teu primer número de telèfon?» amb alguna cosa de set dígits —una resposta plausible— recordaven la seva resposta el 55 % de les vegades. Els qui hi van posar sis caràcters, és a dir, els qui es van inventar alguna cosa, encertaven el 18 %.
Mentir sense apuntar-ho no és una estratègia de seguretat. És llençar la clau.
En català, la pregunta ni tan sols té sentit
Torna al cognom de soltera de la teva mare. Amb la convenció habitual d’aquí, el teu segon cognom és el primer cognom de la teva mare. La resposta va impresa al teu DNI.
No és una raresa local. El mateix paper cita un estudi de Griffith i Jakobsson que va deduir aquest cognom per a almenys el 30 % dels residents de Texas a partir de registres públics de naixements i matrimonis; i Rabkin, que va trobar que el 16 % de les preguntes usades a la pràctica tenien respostes llistades rutinàriament en perfils públics de xarxes socials.
Una dada que consta en un registre i surt al teu perfil no és cap secret compartit. És informació pública amb una casella de contrasenya al davant.
Què fer amb el formulari que t’hi obliga
De vegades no hi ha escapatòria: el banc exigeix tres preguntes i no es pot continuar. En aquest cas, deixa de tractar-les com a preguntes i tracta-les com el que són.
- Respon amb una contrasenya, no amb la teva vida. A «Ciutat de naixement?» se li pot contestar amb una cadena aleatòria del generador, o amb una frase que hagis passat abans pel comprovador. És l’única resposta que no consta en cap registre.
- Apunta-la al gestor, a la mateixa fitxa del lloc. No és opcional: és exactament la diferència entre el 55 % i el 18 % de record. La mentida només funciona si la guardes.
- Si el servei et deixa triar un altre mètode de recuperació, tria’l. A les dades de Google, l’SMS encertava el 81 % de les vegades i el correu el 75 %, davant del 61 % de les preguntes secretes entre els usuaris nord-americans angloparlants —i només el 44 % entre els francesos—.
Google va actuar en conseqüència amb les seves pròpies dades al davant: va relegar les preguntes secretes a últim recurs, sempre acompanyades d’altres senyals. El que recomana el paper és que no es facin servir soles.
Onze anys després, la teva asseguradora et continua preguntant el nom del teu primer animal de companyia. Contesta-li amb setze caràcters aleatoris. S’ho mereix.
Fonts: J. Bonneau, E. Bursztein, I. Caron, R. Jackson i M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florència · V. Griffith i M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, i A. Rabkin sobre preguntes de seguretat a la pràctica, tots dos citats en el treball anterior.