Als een formulier vraagt naar de meisjesnaam van je moeder, vraagt het je niet om een geheim. Het vraagt je om een gegeven uit de burgerlijke stand.
Daarmee is de hele kritiek eigenlijk verteld; de rest zijn details. Een veiligheidsvraag is een wachtwoord met drie gebreken die een gewoon wachtwoord niet heeft: je hebt hem niet zelf gekozen, het antwoord valt te raden omdat heel veel mensen hetzelfde invullen, en het staat vaak ergens opgeschreven waar jij niet over gaat. In ruil daarvoor krijgt hij een enorm privilege: hij mag je wachtwoord vervangen. Het is de achterdeur van je account, en hij is zwakker dan de voordeur.
Dit is geen onderbuikgevoel uit de branche. Dit is wat Google heeft gemeten.
Het onderzoek dat niemand leest voordat hij het formulier ontwerpt
In 2015 presenteerden vijf onderzoekers — Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson en Mike Williamson — op de WWW-conferentie in Florence een studie waarvan de titel het meeste al zegt: Secrets, Lies, and Account Recovery. Geen lab met dertig vrijwilligers: ze analyseerden honderden miljoenen geheime antwoorden en miljoenen echte pogingen tot accountherstel.
De uitkomst heeft twee helften. Bijna altijd wordt er maar één verteld.
Helft één: ze worden geraden
Het dreigingsmodel van het paper is niet je nieuwsgierige zwager: het is iemand die accounts massaal aanvalt en maar bij een fractie hoeft te scoren. Onder dat vergrootglas krijgen de cijfers een andere betekenis.
Met één enkele poging raadt een aanvaller 19,7 % van de antwoorden van Engelstalige gebruikers op “Wat is je lievelingseten?”. Eén. En het antwoord is, mocht je twijfelen, precies wat je nu denkt. Met tien pogingen raadt hij 39 % van de antwoorden van Koreaanse gebruikers op “In welke stad ben je geboren?”. En met één poging is 3,8 % van de antwoorden van Spaanstaligen raak op de vraag die Google hun vertaald voorschotelde als “Wat is de eerste achternaam van je vader?”.
3,8 % klinkt weinig tot je bedenkt dat de aanvaller niet jouw account aanvalt: hij valt er een miljoen aan. En je hoeft geen Google te zijn om die lijst te bouwen. De auteurs bewezen het: met amper duizend antwoorden gekocht via een crowdsourcingdienst bouwden ze verdelingen die tussen de 75 % en 80 % zo effectief waren als de echte, bij maximaal honderd pogingen. Het experiment kostte ze 100 dollar en minder dan een dag.
Het vernietigende is dat vragen die ontworpen zijn om uniek te zijn er ook niet mee wegkomen. Een frequent-flyernummer zou per definitie onherhaalbaar moeten zijn; in de praktijk is één poging goed voor 4,2 % onder Engelstaligen. De reden is prachtig, en we komen erop terug: mensen liegen, en ze liegen in kudde.
Helft twee: ze worden vergeten
Hier stort het argument helemaal in, want de enige reden dat we nog
veiligheidsvragen gebruiken is het geloof dat ze betrouwbaar zijn. De premisse
was redelijk: je geboorteplaats onthouden zou makkelijker moeten zijn dan
xK4$mz onthouden. Dat is het niet. 40 % van de Engelstalige Amerikaanse
gebruikers wist zijn antwoord niet meer op het moment dat hij het nodig had. Ze
waren het niet in het luchtledige vergeten: ze probeerden hun account in te komen
en het lukte niet.
En dan verschijnt de perfecte omkering, die deze technologie tien jaar geleden had moeten begraven. Hoe veiliger de vraag, hoe slechter je hem onthoudt. Binnen diezelfde groep haalde “Wat is de tweede voornaam van je vader?” — een slappe vraag — 76 % correcte antwoorden. “Wat was je eerste telefoonnummer?”, een stuk lastiger te raden, zakte naar 55 %. En de theoretisch veiligste kandidaten storten in: “Wat is je bibliotheekpasnummer?” 22 %, “Wat is je frequent-flyernummer?” 9 %.
De tijd maakt het karwei af. Bij “Wat is je lievelingseten?” lag de score na een maand op 74 %, na drie maanden op 53 % en na een jaar op amper 47 %. En herstel gebeurt niet vooral in het begin: de auteurs vonden dat gebruikers niet eerder dan later geneigd zijn hun account te herstellen, dus de meesten komen bij de vraag aan als de herinnering al verdampt is.
De conclusie van de auteurs laat weinig ruimte voor herinterpretatie: het lijkt vrijwel onmogelijk om geheime vragen te vinden die tegelijk veilig en te onthouden zijn.
Liegen redt je niet, het sluit je buiten
De verstandige reactie, zodra je het probleem doorhebt, is liegen: vragen ze naar je geboorteplaats, antwoord dan “Reykjavik” en klaar.
Ook dat werd in het paper gemeten, met een enquête onder de Amerikaanse bevolking. Van de mensen die toegaven valse antwoorden te geven, deed 37 % dat om het een aanvaller moeilijk te maken, 15 % om het makkelijker te kunnen onthouden — lees dat twee keer — en 31,9 % uit privacy, omdat ze geen zin hadden hun biografie cadeau te doen aan een bedrijf.
Het probleem is dat een antwoord verzwaren een voorspelbaar gebaar is. Daar zit die 4,2 % van de frequent-flyernummers: de leugens van veel mensen lijken onderling flink meer op elkaar dan hun waarheden. En de rekening komt in de andere helft. Amerikaanse gebruikers die “Wat was je eerste telefoonnummer?” invulden met iets van zeven cijfers — een plausibel antwoord — wisten hun antwoord in 55 % van de gevallen nog. Wie zes tekens invulde, oftewel wie iets verzon, zat er in 18 % van de gevallen goed.
Liegen zonder het op te schrijven is geen beveiligingsstrategie. Het is de sleutel weggooien.
In het Nederlands slaat de vraag niet eens ergens op
Terug naar de meisjesnaam van je moeder. In Nederland verandert de geslachtsnaam van je moeder niet als ze trouwt: haar meisjesnaam is gewoon haar achternaam, die in de burgerlijke stand staat en op haar paspoort gedrukt is. Ze mag de naam van haar partner voeren, maar dat is een gebruiksnaam, geen geheim.
Het is geen lokale gril. Het paper zelf citeert een studie van Griffith en Jakobsson die die achternaam afleidde voor minstens 30 % van de inwoners van Texas op basis van openbare geboorte- en huwelijksregisters; en Rabkin, die vond dat 16 % van de in de praktijk gebruikte vragen antwoorden had die routineus in openbare socialemediaprofielen stonden.
Een gegeven dat in een register staat en op je profiel verschijnt, is geen gedeeld geheim. Het is openbare informatie met een wachtwoordveldje ervoor.
Wat te doen met het formulier dat je dwingt
Soms is er geen ontkomen aan: de bank eist drie vragen en verder kom je niet. Ga ze in dat geval niet langer als vragen behandelen, maar als wat ze zijn.
- Antwoord met een wachtwoord, niet met je leven. Op “In welke stad ben je geboren?” mag je gerust een willekeurige reeks uit de generator antwoorden, of een zin die je eerst door de checker hebt gehaald. Dat is het enige antwoord dat in geen enkel register staat.
- Zet hem in je wachtwoordmanager, bij de gegevens van die site. Niet optioneel: dat is precies het verschil tussen 55 % en 18 % geheugen. De leugen werkt alleen als je hem bewaart.
- Laat de dienst je een andere herstelmethode kiezen? Kies die. In de data van Google was sms in 81 % van de gevallen raak en e-mail in 75 %, tegenover 61 % voor geheime vragen bij Engelstalige Amerikaanse gebruikers — en slechts 44 % bij de Fransen.
Google handelde naar zijn eigen cijfers: het degradeerde geheime vragen tot laatste redmiddel, altijd in gezelschap van andere signalen. Wat het paper aanbeveelt is dat ze niet alleen gebruikt worden.
Elf jaar later vraagt je verzekeraar nog steeds naar de naam van je eerste huisdier. Antwoord met zestien willekeurige tekens. Hij heeft het verdiend.
Bronnen: J. Bonneau, E. Bursztein, I. Caron, R. Jackson en M. Williamson, “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google”, WWW 2015, Florence · V. Griffith en M. Jakobsson, “Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records”, ACNS 2005, en A. Rabkin over veiligheidsvragen in de praktijk, beide geciteerd in het voorgaande werk.