As perguntas de segurança são uma palavra-passe que não escolheste

Publicado a por David Carrero

Quando um formulário te pergunta o apelido de solteira da tua mãe, não te está a pedir um segredo. Está a pedir-te um dado do registo civil.

Aí está toda a crítica; o resto são pormenores. Uma pergunta de segurança é uma palavra-passe com três defeitos que uma palavra-passe normal não tem: não foste tu que a escolheste, a resposta é adivinhável porque muita gente responde o mesmo, e com frequência está escrita nalgum sítio que não controlas. Em troca, concede-se-lhe um privilégio enorme: pode substituir a tua palavra-passe. É a porta das traseiras da tua conta, e é mais frágil do que a da frente.

Isto não é um palpite de ofício. É o que a Google mediu.

O estudo que ninguém lê antes de desenhar o formulário

Em 2015, cinco investigadores —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson e Mike Williamson— apresentaram na conferência WWW, em Florença, um trabalho cujo título já diz quase tudo: Secrets, Lies, and Account Recovery. Não era um laboratório com trinta voluntários: analisaram centenas de milhões de respostas secretas e milhões de tentativas reais de recuperação de conta.

A descoberta tem duas metades. Quase sempre conta-se só uma.

Metade um: adivinham-se

O modelo de ameaça do paper não é o teu cunhado a bisbilhotar: é alguém que ataca contas em massa e só precisa de acertar numa fração. Com essa lupa, os números mudam de significado.

Com uma única tentativa, um atacante acertaria em 19,7 % das respostas dos utilizadores de língua inglesa a «Qual é a tua comida preferida?». Uma. A resposta, já agora, tende a ser aquela em que estás a pensar. Com dez tentativas acertaria em 39 % das respostas dos utilizadores coreanos a «Cidade onde nasceste?». E com uma só tentativa acerta-se em 3,8 % das respostas dos falantes de espanhol à pergunta que a Google lhes servia traduzida como «Primeiro apelido do pai?».

Uns 3,8 % parecem pouco até te lembrares de que o atacante não ataca a tua conta: ataca um milhão. E não é preciso ser a Google para construir a lista. Os autores comprovaram-no: com apenas mil respostas compradas num serviço de crowdsourcing montaram distribuições entre 75 % e 80 % tão eficazes como a real ao fazer até cem tentativas. A experiência custou-lhes 100 dólares e menos de um dia.

O arrasador é que as perguntas desenhadas para serem únicas também não escapam. Um número de passageiro frequente devia ser irrepetível por definição; na prática, uma única tentativa acerta em 4,2 % entre os falantes de inglês. A razão é maravilhosa e havemos de voltar a ela: as pessoas mentem, e mentem em rebanho.

Metade dois: esquecem-se

Aqui o argumento cai por completo, porque o único motivo pelo qual continuamos a usar perguntas de segurança é a crença de que são fiáveis. A premissa era razoável: lembrar-te da tua cidade natal devia ser mais fácil do que lembrares-te de xK4$mz. Não é. 40 % dos utilizadores norte-americanos de língua inglesa foram incapazes de se lembrar da sua resposta quando precisaram dela. Não a tinham esquecido em abstrato: estavam a tentar entrar na sua conta e não conseguiram.

E então aparece a inversão perfeita, a que devia ter matado esta tecnologia há uma década. Quanto mais segura é a pergunta, pior se recorda. Nessa mesma população, «Qual é o nome do meio do teu pai?» —uma pergunta fraca— tinha 76 % de acertos. «Qual foi o teu primeiro número de telefone?», bastante mais difícil de adivinhar, descia para 55 %. E as candidatas teoricamente mais seguras afundam-se: «Número do teu cartão de leitor da biblioteca?» 22 %, «Número de passageiro frequente?» 9 %.

O tempo remata o serviço. Para «Qual é a tua comida preferida?», o acerto era de 74 % ao mês, de 53 % aos três meses e de uns escassos 47 % ao ano. E as recuperações não se concentram no início: os autores descobriram que os utilizadores não são mais propensos a recuperar a conta cedo do que tarde, por isso a maioria chega à pergunta quando a memória já se evaporou.

A conclusão dos autores não admite muita reinterpretação: parece quase impossível encontrar perguntas secretas que sejam ao mesmo tempo seguras e memoráveis.

Mentir não te salva, tranca-te cá fora

A reação sensata, quando percebes o problema, é mentir: se perguntam pela tua cidade natal, responde «Reiquiavique» e adeus.

O paper também mediu isso, com um inquérito à população norte-americana. Entre os que admitiram dar respostas falsas, 37 % fizeram-no para complicar a vida a um atacante, 15 % para que fosse mais fácil de recordar —lê duas vezes— e 31,9 % por privacidade, porque não lhes apetecia oferecer a biografia a uma empresa.

O problema é que endurecer uma resposta é um gesto previsível. Aí está o 4,2 % dos números de passageiro frequente: as mentiras de muita gente parecem-se umas com as outras bastante mais do que as verdades. E o preço paga-se na outra metade. Os utilizadores norte-americanos que preencheram «Qual foi o teu primeiro número de telefone?» com algo de sete dígitos —uma resposta plausível— lembravam-se da sua resposta em 55 % das vezes. Os que puseram seis caracteres, ou seja, os que inventaram alguma coisa, acertavam em 18 %.

Mentir sem apontar não é uma estratégia de segurança. É atirar a chave fora.

Em português, a pergunta nem sequer faz sentido

Volta ao apelido de solteira da tua mãe. Pela convenção portuguesa habitual, o apelido de família da tua mãe é um dos teus apelidos. A resposta vem impressa no teu Cartão de Cidadão.

Não é uma esquisitice local. O próprio paper cita um estudo de Griffith e Jakobsson que deduziu esse apelido para pelo menos 30 % dos residentes do Texas a partir de registos públicos de nascimentos e casamentos; e Rabkin, que encontrou que 16 % das perguntas usadas na prática tinham respostas listadas rotineiramente em perfis públicos de redes sociais.

Um dado que consta num registo e aparece no teu perfil não é um segredo partilhado. É informação pública com uma caixinha de palavra-passe à frente.

O que fazer com o formulário que te obriga

Às vezes não há escapatória: o banco exige três perguntas e não se pode avançar. Nesse caso, deixa de as tratar como perguntas e trata-as pelo que são.

  • Responde com uma palavra-passe, não com a tua vida. A «Cidade onde nasceste?» pode responder-se com uma cadeia aleatória do gerador, ou com uma frase que tenhas passado antes pelo verificador. É a única resposta que não consta em registo nenhum.
  • Aponta-a no gestor, na mesma ficha do site. Não é opcional: é exatamente a diferença entre os 55 % e os 18 % de recordação. A mentira só funciona se a guardares.
  • Se o serviço te deixar escolher outro método de recuperação, escolhe-o. Nos dados da Google, o SMS acertava em 81 % das vezes e o email em 75 %, contra os 61 % das perguntas secretas entre os utilizadores norte-americanos de língua inglesa —e apenas 44 % entre os franceses—.

A Google agiu em conformidade com os seus próprios dados à frente: relegou as perguntas secretas para último recurso, sempre acompanhadas de outros sinais. O que o paper recomenda é que não se usem sozinhas.

Onze anos depois, a tua seguradora continua a perguntar-te o nome do teu primeiro animal de estimação. Responde-lhe com dezasseis caracteres aleatórios. Bem o merece.


Fontes: J. Bonneau, E. Bursztein, I. Caron, R. Jackson e M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florença · V. Griffith e M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, e A. Rabkin sobre perguntas de segurança na prática, ambos citados no trabalho anterior.

← Voltar ao blog