Bir form sana annenin kızlık soyadını sorduğunda senden bir sır istemiyor. Senden nüfus kaydında duran bir bilgiyi istiyor.
Eleştirinin tamamı burada; gerisi ayrıntı. Güvenlik sorusu, normal bir şifrede bulunmayan üç kusuru olan bir şifredir: onu sen seçmedin, yanıtı tahmin edilebilir çünkü çok sayıda insan aynı şeyi yazıyor ve bu yanıt sıklıkla senin kontrol etmediğin bir yerde yazılı duruyor. Karşılığında ona kocaman bir ayrıcalık tanınıyor: şifrenin yerine geçebiliyor. Hesabının arka kapısı bu ve ön kapıdan daha çürük.
Bu, meslek erbabının sezgisi değil. Google’ın ölçtüğü şey.
Formu tasarlamadan önce kimsenin okumadığı çalışma
2015’te beş araştırmacı —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson ve Mike Williamson— Floransa’daki WWW konferansında, başlığı zaten her şeyi söyleyen bir çalışma sundu: Secrets, Lies, and Account Recovery. Otuz gönüllüyle yapılmış bir laboratuvar denemesi değildi: yüz milyonlarca gizli yanıtı ve milyonlarca gerçek hesap kurtarma denemesini incelediler.
Bulgunun iki yarısı var. Neredeyse her zaman sadece biri anlatılıyor.
Birinci yarı: tahmin ediliyorlar
Makalenin tehdit modeli meraklı eniştenin değil: hesaplara toplu halde saldıran ve yalnızca küçük bir kısmında tutturması yeten birinin modeli. Bu mercekle bakınca sayıların anlamı değişiyor.
Tek bir denemeyle saldırgan, İngilizce konuşan kullanıcıların “En sevdiğin yemek?” sorusuna verdiği yanıtların %19,7’sini bilirdi. Bir deneme. Yanıt, şüphe kalmasın diye söyleyelim, aklına gelen şey olmaya meyilli. On denemeyle Koreli kullanıcıların “Doğduğun şehir?” yanıtlarının %39’unu tutturuyor. Ve tek bir denemeyle, Google’ın onlara “Babanın ilk soyadı?” diye çevirip sunduğu soruda İspanyolca konuşan kullanıcıların yanıtlarının %3,8’i biliniyor.
%3,8 kulağa az geliyor; ta ki saldırganın senin hesabına saldırmadığını, bir milyon hesaba saldırdığını hatırlayana kadar. Üstelik o listeyi kurmak için Google olmak gerekmiyor. Yazarlar bunu sınadılar: bir kitle kaynak servisinden satın aldıkları topu topu bin yanıtla, yüz denemeye kadar çıkıldığında gerçek dağılım kadar etkili olan, %75 ile %80 arasında isabetli dağılımlar kurdular. Deney onlara 100 dolara ve bir günden az bir süreye mal oldu.
Asıl yıkıcı olan, benzersiz olmak için tasarlanmış soruların da paçayı kurtaramaması. Bir sık uçan yolcu numarası tanımı gereği tekrarlanamaz olmalı; pratikte tek bir deneme İngilizce konuşanlar arasında %4,2 tutturuyor. Sebebi harikulade ve ona geri döneceğiz: insanlar yalan söylüyor, hem de sürü halinde.
İkinci yarı: unutuluyorlar
Asıl bina burada çöküyor, çünkü güvenlik sorularını kullanmaya devam etmemizin
tek gerekçesi onların güvenilir olduğu inancı. Öncül makuldü: doğduğun şehri
hatırlamak xK4$mz hatırlamaktan kolay olmalı. Değil. İngilizce konuşan
Amerikalı kullanıcıların %40’ı, yanıtına ihtiyaç duyduğu anda onu
hatırlayamadı. Soyut bir unutkanlık değildi bu: hesaplarına girmeye
çalışıyorlardı ve giremediler.
Sonra da bu teknolojiyi on yıl önce öldürmüş olması gereken o kusursuz tersine dönüş çıkıyor ortaya. Soru ne kadar güvenliyse o kadar kötü hatırlanıyor. Aynı nüfus içinde “Babanın ikinci adı?” —zayıf bir soru— %76 isabet tutturuyordu. Tahmin edilmesi hayli zor olan “İlk telefon numaran?” %55’e düşüyordu. Teoride en güvenli adaylar ise dibi buluyor: “Kütüphane kart numaran?” %22, “Sık uçan yolcu numaran?” %9.
Zaman işi bitiriyor. “En sevdiğin yemek?” sorusunda isabet bir ayda %74, üç ayda %53 ve bir yılda ancak %47’ydi. Kurtarmalar da başlarda toplanmıyor: yazarlar, kullanıcıların hesabı geç değil de erken kurtarmaya daha yatkın olmadığını buldular; yani çoğunluk soruya, hatıra çoktan buharlaştıktan sonra varıyor.
Yazarların vardığı sonuç fazla yoruma açık değil: hem güvenli hem akılda kalıcı gizli sorular bulmak neredeyse imkânsız görünüyor.
Yalan seni kurtarmıyor, dışarıda bırakıyor
Sorunu kavradığında akla gelen makul tepki yalan söylemek: doğduğun şehri soruyorlarsa “Reykjavik” yazıp yoluna bakmak.
Makale bunu da ölçtü, Amerikan nüfusuyla yapılan bir anketle. Sahte yanıt verdiğini kabul edenler arasında %37’si bunu saldırganın işini zorlaştırmak için yapmıştı, %15’i daha kolay hatırlamak için —iki kez oku— ve %31,9’u mahremiyet gerekçesiyle, hayat hikâyesini bir şirkete hediye etmek istemediği için.
Sorun şu ki bir yanıtı sertleştirmek tahmin edilebilir bir hamle. Sık uçan yolcu numaralarındaki %4,2 tam olarak bu: çok sayıda insanın yalanları birbirine, gerçeklerden çok daha fazla benziyor. Bedel de öbür yarıda ödeniyor. “İlk telefon numaran?” alanını yedi haneli bir şeyle —makul bir yanıtla— dolduran Amerikalı kullanıcılar yanıtlarını seferlerin %55’inde hatırlıyorlardı. Altı karakter yazanlar, yani bir şey uyduranlar, %18 tutturuyordu.
Not almadan yalan söylemek bir güvenlik stratejisi değil. Anahtarı çöpe atmak.
Türkiye’de soru zaten bir sır sormuyor
Annenin kızlık soyadına geri dön. O soyadı bir sır değil: nüfus kaydında yazıyor, her akrabanın dilinde dolaşıyor ve devletin kayıtlarını sorgulayabilen herkesin gözü önünde duruyor. Sen doğmadan önce belgelenmiş bir veriyi “gizli yanıt” diye saklamak mümkün değil.
Bu yerel bir tuhaflık da değil. Makalenin kendisi, Griffith ve Jakobsson’un, kamuya açık doğum ve evlilik kayıtlarından yola çıkarak Teksas sakinlerinin en az %30’u için o soyadı türettiği çalışmayı aktarıyor; bir de Rabkin’i, pratikte kullanılan soruların %16’sının yanıtlarının sosyal ağlardaki herkese açık profillerde rutin olarak listelendiğini bulduğu için.
Bir kütükte kayıtlı olan ve profilinde görünen bir veri, paylaşılan bir sır değildir. Önüne şifre kutusu konmuş kamuya açık bilgidir.
Seni zorlayan formla ne yapmalı
Bazen kaçış yok: banka üç soru dayatıyor ve doldurmadan devam edemiyorsun. O halde onları soru gibi görmeyi bırak ve gerçekte ne iseler öyle davran.
- Hayatınla değil, bir şifreyle yanıt ver. “Doğduğun şehir?” sorusuna üreteçten alınmış rastgele bir dizeyle ya da önceden kontrol aracından geçirdiğin bir parolayla yanıt verilebilir. Hiçbir kütükte yazmayan tek yanıt bu.
- Şifre yöneticine, o sitenin kaydına not et. Bu isteğe bağlı değil: %55 ile %18 hatırlama arasındaki farkın tam olarak kendisi. Yalan ancak saklarsan işe yarıyor.
- Servis başka bir kurtarma yöntemi seçmene izin veriyorsa onu seç. Google’ın verilerinde SMS seferlerin %81’inde, e-posta %75’inde tutturuyordu; İngilizce konuşan Amerikalı kullanıcılar arasında gizli soruların oranı %61’di —Fransızlar arasında ise yalnızca %44.
Google kendi verisi önündeyken buna göre davrandı: gizli soruları son çare konumuna itti ve hep başka sinyallerle birlikte kullandı. Makalenin önerdiği şey tek başlarına kullanılmamaları.
On bir yıl sonra sigorta şirketin hâlâ sana ilk evcil hayvanının adını soruyor. Ona on altı rastgele karakterle yanıt ver. Hak ediyor.
Kaynaklar: J. Bonneau, E. Bursztein, I. Caron, R. Jackson ve M. Williamson, “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google”, WWW 2015, Floransa · V. Griffith ve M. Jakobsson, “Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records”, ACNS 2005, ve A. Rabkin’in pratikteki güvenlik soruları üzerine çalışması, ikisi de yukarıdaki çalışmada anılıyor.