Cando un formulario che pregunta o apelido de solteira de túa nai, non che está pedindo un segredo. Está a pedirche un dato do rexistro civil.
Aí está toda a crítica; o resto son detalles. Unha pregunta de seguridade é un contrasinal con tres defectos que un contrasinal normal non ten: non o elixiches ti, a resposta é adiviñable porque moita xente contesta o mesmo, e a miúdo está escrita nalgún sitio que non controlas. A cambio concédeselle un privilexio enorme: pode substituír o teu contrasinal. É a porta de atrás da túa conta, e é máis feble que a da entrada.
Isto non é unha intuición de gremio. É o que mediu Google.
O estudo que ninguén le antes de deseñar o formulario
En 2015, cinco investigadores —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson e Mike Williamson— presentaron na conferencia WWW, en Florencia, un traballo cuxo título xa o di case todo: Secrets, Lies, and Account Recovery. Non era un laboratorio con trinta voluntarios: analizaron centos de millóns de respostas secretas e millóns de intentos reais de recuperación de conta.
O achado ten dúas metades. Case sempre cóntase só unha.
Metade un: adivíñanse
O modelo de ameaza do traballo non é o teu cuñado a rexoubar: é alguén que ataca contas en masa e só precisa acertar nunha fracción. Con esa lupa, os números cambian de significado.
Cunha soa tentativa, un atacante acertaría o 19,7 % das respostas dos usuarios angloparlantes a «A túa comida favorita?». Unha. A resposta, por se hai dúbidas, adoita ser a que estás a pensar. Con dez tentativas acertaría o 39 % das respostas dos usuarios coreanos a «Cidade de nacemento?». E cun só intento acértase o 3,8 % das respostas dos falantes de castelán á pregunta que Google lles servía traducida como «Primeiro apelido do pai?».
Un 3,8 % soa a pouco ata que lembras que o atacante non ataca a túa conta: ataca un millón. E non fai falta ser Google para construír a lista. Os autores comprobárono: con apenas mil respostas mercadas nun servizo de crowdsourcing montaron distribucións entre un 75 % e un 80 % tan efectivas como a real ao facer ata cen intentos. O experimento custoulles 100 dólares e menos dun día.
O demoledor é que as preguntas deseñadas para seren únicas tampouco se salvan. Un número de viaxeiro frecuente debería ser irrepetible por definición; na práctica, unha soa tentativa acerta o 4,2 % entre angloparlantes. A razón é marabillosa e volveremos a ela: a xente mente, e mente en rabaño.
Metade dous: esquécense
Aquí o argumento cae de todo, porque o único motivo polo que seguimos a usar
preguntas de seguridade é a crenza de que son fiables. A premisa era razoable:
lembrar a túa cidade natal debería ser máis doado que lembrar xK4$mz. Non o é.
O 40 % dos usuarios estadounidenses angloparlantes foi incapaz de lembrar a súa
resposta cando a necesitou. Non a esqueceran en abstracto: estaban a intentar
entrar na súa conta e non puideron.
E entón aparece a inversión perfecta, a que debería ter matado esta tecnoloxía hai unha década. Canto máis segura é a pregunta, peor se lembra. Entre esa mesma poboación, «O segundo nome de teu pai?» —unha pregunta feble— tiña un 76 % de acertos. «O teu primeiro número de teléfono?», bastante máis difícil de adiviñar, baixaba ao 55 %. E as candidatas teoricamente máis seguras afúndense: «Número do teu carné de biblioteca?» un 22 %, «Número de viaxeiro frecuente?» un 9 %.
O tempo remata a faena. Para «A túa comida favorita?», o acerto era do 74 % ao mes, do 53 % aos tres meses e de apenas o 47 % ao ano. E as recuperacións non se concentran ao principio: os autores atoparon que os usuarios non son máis propensos a recuperar a conta cedo que tarde, así que a maioría chega á pregunta cando a lembranza xa se evaporou.
A conclusión dos autores non admite moita reinterpretación: parece case imposible atopar preguntas secretas que sexan á vez seguras e memorables.
Mentir non te salva, féchate fóra
A reacción sensata, cando entendes o problema, é mentir: se preguntan pola túa cidade natal, contesta «Reiquiavik» e a correr.
O traballo tamén mediu iso, cunha enquisa á poboación estadounidense. Entre quen admitiu dar respostas falsas, o 37 % fíxoo para llo poñer difícil a un atacante, o 15 % para que fose máis doado de lembrar —lelo dúas veces— e un 31,9 % por privacidade, porque non lle apetecía agasallarlle a súa biografía a unha empresa.
O problema é que endurecer unha resposta é un xesto previsible. Aí está o 4,2 % dos números de viaxeiro frecuente: as mentiras de moita xente parécense entre si bastante máis que as verdades. E o prezo págase na outra metade. Os usuarios estadounidenses que encheron «O teu primeiro número de teléfono?» con algo de sete díxitos —unha resposta plausible— lembraban a súa resposta o 55 % das veces. Os que puxeron seis caracteres, é dicir, os que inventaron algo, acertaban o 18 %.
Mentir sen apuntalo non é unha estratexia de seguridade. É guindar a chave.
En galego, a pregunta nin sequera ten sentido
Volve ao apelido de solteira de túa nai. Na convención habitual de aquí, o teu segundo apelido é o primeiro apelido de túa nai. A resposta vai impresa no teu DNI.
Non é unha rareza local. O propio traballo cita un estudo de Griffith e Jakobsson que deduciu ese apelido para polo menos o 30 % dos residentes de Texas a partir de rexistros públicos de nacementos e matrimonios; e a Rabkin, que atopou que o 16 % das preguntas usadas na práctica tiñan respostas listadas rutineiramente en perfís públicos de redes sociais.
Un dato que consta nun rexistro e aparece no teu perfil non é un segredo compartido. É información pública cunha caixiña de contrasinal diante.
Que facer co formulario que te obriga
Ás veces non hai escapatoria: o banco esixe tres preguntas e non se pode seguir. Nese caso, deixa de tratalas como preguntas e trátaas como o que son.
- Responde cun contrasinal, non coa túa vida. A «Cidade de nacemento?» pódeselle contestar cunha cadea aleatoria do xerador, ou cunha frase que pasases antes polo comprobador. É a única resposta que non consta en ningún rexistro.
- Apúntaa no xestor, na mesma ficha do sitio. Non é opcional: é exactamente a diferenza entre o 55 % e o 18 % de lembranza. A mentira só funciona se a gardas.
- Se o servizo te deixa escoller outro método de recuperación, escólleo. Nos datos de Google, o SMS acertaba o 81 % das veces e o correo o 75 %, fronte ao 61 % das preguntas secretas entre os usuarios estadounidenses angloparlantes —e só o 44 % entre os franceses—.
Google actuou en consecuencia cos seus propios datos diante: relegou as preguntas secretas a último recurso, sempre acompañadas doutros sinais. O que recomenda o traballo é que non se usen soas.
Once anos despois, a túa aseguradora segue a preguntarche o nome da túa primeira mascota. Contéstalle con dezaseis caracteres aleatorios. Merécello.
Fontes: J. Bonneau, E. Bursztein, I. Caron, R. Jackson e M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florencia · V. Griffith e M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, e A. Rabkin sobre preguntas de seguridade na práctica, ambos citados no traballo anterior.