Segurtasun galderak zuk aukeratu ez zenuen pasahitz bat dira

Argitaratua egilea David Carrero

Formulario batek zure amaren lehen abizena eskatzen dizunean, ez dizu sekretu bat eskatzen ari. Erregistro zibileko datu bat eskatzen ari zaizu.

Hor dago kritika osoa; gainerakoa xehetasunak dira. Segurtasun galdera bat pasahitz arrunt batek ez dituen hiru akats dituen pasahitza da: ez zenuen zuk aukeratu, erantzuna asmagarria da jende askok gauza bera erantzuten duelako, eta maiz zuk kontrolatzen ez duzun leku batean idatzita dago. Trukean, pribilegio izugarria ematen zaio: zure pasahitza ordezka dezake. Zure kontuaren atzeko atea da, eta aurrekoa baino ahulagoa.

Hau ez da gremioaren usaina. Googlek neurtu zuena da.

Formularioa diseinatu aurretik inork irakurtzen ez duen azterketa

2015ean, bost ikertzailek —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson eta Mike Williamson— WWW kongresuan, Florentzian, izenburuak dena esaten duen lan bat aurkeztu zuten: Secrets, Lies, and Account Recovery. Ez zen hogeita hamar boluntarioko laborategi bat: ehunka milioi erantzun sekretu eta milioika kontu berreskuratzeko saiakera erreal aztertu zituzten.

Aurkikuntzak bi erdi ditu. Ia beti bakarra kontatzen da.

Lehen erdia: asmatu egiten dira

Paperaren mehatxu ereduak ez du zure koinatu bihurria irudikatzen: kontuak mordoka erasotzen dituen norbait da, eta zati batean asmatzearekin nahikoa du. Lupa horrekin, zenbakiek esanahia aldatzen dute.

Saiakera bakar batekin, erasotzaile batek erabiltzaile ingelesdunen erantzunen % 19,7 asmatuko luke «Zein da zure janaririk gogokoena?» galderan. Bat. Erantzuna, zalantzarik izanez gero, pentsatzen ari zarena izan ohi da. Hamar saiakerarekin, erabiltzaile korearren erantzunen % 39 asmatuko luke «Zein hiritan jaio zinen?» galderan. Eta saiakera bakar batekin gaztelaniadunen erantzunen % 3,8 asmatzen da Googlek «Zein da zure aitaren lehen abizena?» itzulita zerbitzatzen zien galderan.

% 3,8 gutxi dirudi, harik eta gogoratzen duzun arte erasotzaileak ez duela zure kontua erasotzen: milioi bat erasotzen ditu. Eta ez da Google izan behar zerrenda osatzeko. Egileek egiaztatu zuten: crowdsourcing zerbitzu batean erositako mila erantzunekin ehun saiakera arte eginez benetakoa bezain eraginkorrak ziren banaketak muntatu zituzten, % 75 eta % 80 artean. Esperimentuak 100 dolar eta egun bat baino gutxiago kostatu zitzaien.

Suntsitzaileena da bakarrak izateko diseinatutako galderak ere ez direla salbatzen. Maiz hegan egiten duen bidaiariaren zenbaki batek errepikaezina izan beharko luke definizioz; praktikan, saiakera bakar batek % 4,2 asmatzen du ingelesdunen artean. Arrazoia zoragarria da eta hara itzuliko gara: jendeak gezurra esaten du, eta taldean esaten du gezurra.

Bigarren erdia: ahaztu egiten dira

Hemen argudioa erabat erortzen da, segurtasun galderak erabiltzen jarraitzeko motibo bakarra fidagarriak direlako ustea baita. Premisa arrazoizkoa zen: zure jaioterria gogoratzea xK4$mz gogoratzea baino errazagoa izan beharko luke. Ez da. Estatu Batuetako erabiltzaile ingelesdunen % 40 ez zen gai izan bere erantzuna gogoratzeko behar izan zuenean. Ez zuten abstraktuki ahaztu: beren kontuan sartzen saiatzen ari ziren eta ezin izan zuten.

Eta orduan agertzen da alderantzikatze perfektua, teknologia hau duela hamarkada bat hil behar zuena. Zenbat eta seguruagoa izan galdera, orduan eta okerrago gogoratzen da. Populazio horretan bertan, «Zein da zure aitaren bigarren izena?» —galdera ahul bat— % 76ko asmatze tasa zuen. «Zein izan zen zure lehen telefono zenbakia?», asmatzeko dezente zailagoa, % 55era jaisten zen. Eta teorian seguruenak diren hautagaiak hondoratu egiten dira: «Zein da zure liburutegiko txartelaren zenbakia?» % 22, «Zein da zure maiz hegan egiten duen bidaiariaren zenbakia?» % 9.

Denborak lana amaitzen du. «Zein da zure janaririk gogokoena?» galderan, asmatze tasa % 74 zen hilabetera, % 53 hiru hilabetera eta doi-doi % 47 urtebetera. Eta berreskuratzeak ez dira hasieran pilatzen: egileek aurkitu zuten erabiltzaileek ez dutela joera handiagorik kontua lehenago berreskuratzeko beranduago baino; beraz, gehienak galderara iristen dira oroitzapena jada lurrundu denean.

Egileen ondorioak ez du berrinterpretazio handirik onartzen: ia ezinezkoa dirudi aldi berean seguruak eta gogoangarriak diren galdera sekretuak aurkitzea.

Gezurrak ez zaitu salbatzen, giltzapetu egiten zaitu

Erreakzio zentzuzkoa, arazoa ulertzen duzunean, gezurra esatea da: jaioterriaz galdetzen badizute, erantzun «Reykjavik» eta kito.

Paperak hori ere neurtu zuen, Estatu Batuetako populazioari egindako inkesta batekin. Erantzun faltsuak ematen zituztela onartu zutenen artean, % 37 erasotzaileari zaila jartzeko egin zuen, % 15 gogoratzeko errazagoa izan zedin —irakurri birritan— eta % 31,9 pribatutasunagatik, ez baitzitzaion gogo handirik ematen bere biografia enpresa bati oparitzea.

Arazoa da erantzun bat gogortzea keinu aurreikusgarria dela. Hor dago maiz hegan egiten duten bidaiarien zenbakien % 4,2: jende askoren gezurrak elkarren antz handiagoa dute egiek baino. Eta prezioa beste erdian ordaintzen da. «Zein izan zen zure lehen telefono zenbakia?» galdera zazpi digituko zerbaitekin bete zuten Estatu Batuetako erabiltzaileek —erantzun sinesgarri bat— aldien % 55ean gogoratzen zuten beren erantzuna. Sei karaktere jarri zituztenek, hau da, zerbait asmatu zutenek, % 18 asmatzen zuten.

Gezurra esatea idatzi gabe ez da segurtasun estrategia bat. Giltza botatzea da.

Euskal Herrian, galderak ez du zentzurik ere

Itzuli zure amaren lehen abizenera. Hemengo ohiko konbentzioan, zure bigarren abizena zure amaren lehen abizena da. Erantzuna zure NANean inprimatuta dago.

Ez da bertako bitxikeria bat. Paperak berak Griffith eta Jakobssonen azterketa bat aipatzen du, abizen hori Texasko biztanleen gutxienez % 30entzat ondorioztatu zuena jaiotza eta ezkontzen erregistro publikoetatik abiatuta; eta Rabkin, praktikan erabiltzen ziren galderen % 16ek sare sozialetako profil publikoetan ohikoro zerrendatutako erantzunak zituztela aurkitu zuena.

Erregistro batean jasota dagoen eta zure profilean agertzen den datu bat ez da sekretu partekatu bat. Informazio publikoa da, aurrean pasahitz lauki bat duena.

Zer egin behartzen zaituen formularioarekin

Batzuetan ez dago ihesbiderik: bankuak hiru galdera eskatzen ditu eta ezin da aurrera egin. Kasu horretan, utzi galdera gisa tratatzeari eta tratatu diren bezala.

  • Erantzun pasahitz batekin, ez zure bizitzarekin. «Zein hiritan jaio zinen?» galderari sorgailuko kate ausazko batekin erantzun dakioke, edo aurretik egiaztatzailetik pasatu duzun esaldi batekin. Erregistro batean ere jasota ez dagoen erantzun bakarra da.
  • Idatzi kudeatzailean, guneko fitxa berean. Ez da aukerakoa: hori da, hain zuzen, oroitzeko % 55aren eta % 18aren arteko aldea. Gezurrak gordetzen baduzu bakarrik funtzionatzen du.
  • Zerbitzuak beste berreskuratze metodo bat aukeratzen uzten badizu, aukeratu ezazu. Googleren datuetan, SMSak aldien % 81ean asmatzen zuen eta postak % 75ean, galdera sekretuen % 61aren aurrean Estatu Batuetako erabiltzaile ingelesdunen artean —eta frantsesen artean % 44 besterik ez—.

Googlek bere datuak begien aurrean zituela jokatu zuen ondorioz: galdera sekretuak azken baliabidera baztertu zituen, beti beste seinale batzuekin lagunduta. Paperak gomendatzen duena da ez daitezela bakarrik erabili.

Hamaika urte geroago, zure aseguru etxeak zure lehen maskotaren izena galdetzen jarraitzen dizu. Erantzun iezaiozu hamasei karaktere ausazkorekin. Merezi du.


Iturriak: J. Bonneau, E. Bursztein, I. Caron, R. Jackson eta M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florentzia · V. Griffith eta M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, eta A. Rabkin praktikako segurtasun galderei buruz, biak aurreko lanean aipatuak.

← Blogera itzuli