Como Lidar com Perguntas de Segurança sobre Login/Senha

As perguntas de segurança, também conhecidas como perguntas secretas, estão entre os piores mecanismos de autenticação de backups e recuperação de contas que você pode ver no momento. No passado, elas funcionavam, mas, no momento, não são seguras nem, em um número assustadoramente grande de cenários do mundo real, são secretas.

Aqui estão alguns exemplos de 'o que eles estavam pensando', que devem lhe dar uma idéia de quão sério o problema poderia ser.

Infrator #1:

This is one of the worst security questions I've seen. pic.twitter.com/iBm3kdaFDc

— Marie Huynh (@mariehuynh) October 9, 2014

Esta é de 2014 e não pudemos verificar se o sistema ainda funciona da mesma maneira. Como você pode ver, o usuário é forçado a escolher uma "questão de segurança" em um menu suspenso, e a primeira opção é ... *expectativa * ... "Qual é a capital [erro ortográfico] da Califórnia?" Sim, os usuários têm a opção de proteger as suas contas com uma pergunta, cuja resposta está a apenas a uma pesquisa do Google.

Agora, você, como muitas pessoas no Twitter, pode argumentar que os usuários não são forçados a responder à pergunta corretamente, mas esse não é o ponto. Os usuários não tendem a pensar em segurança até que o pior aconteça, e muitos ficam tentados a mostrar que estão prestando atenção na escola digitando Sacramento no campo Resposta. E mesmo que não o façam, um hacker, armado com uma lista de cidades, ainda é capaz de adivinhar a resposta em algumas tentativas.

Infrator #2:

É a United Airlines dos EUA. Em 2016, eles atualizaram o mecanismo de login do seu programa de passageiro frequente. Eles disseram que as mudanças são parte de um esforço para melhorar a segurança. Os PINs de 4 dígitos usados ​​pelos clientes foram substituídos por senhas, o que parece ser um passo na direção certa (embora algumas senhas fracas possam ser ainda menos seguras do que os PINs). Então, no entanto, eles disseram que toda vez que os usuários fazem login de um novo dispositivo ou de um novo navegador, eles precisam responder a 5 "questões de segurança". E eles fizeram os usuários escolherem as perguntas e as respostas dos menus suspensos.

Há um número limitado de perguntas (que é um problema inerente à maioria dos sistemas desse tipo), e há um número limitado de respostas (apenas 12 no caso de "Durante qual mês você conheceu o seu cônjuge ou o seu outro significativo?"). As pessoas que argumentam que responder não a 1, não a 2, mas a 5 perguntas de segurança diferentes podem impedir que os hackers sigam em frente, não devem se esquecer que os cibercriminosos enfrentaram desafios mais sérios no passado, e eles venceram. Quando a United Airlines disse que esse design está lá para proteger os usuários contra malwares de keylogging, eles mostraram o quão pobre é o entendimento deles sobre segurança.

Infrator #3:

Este não merece comentário. Descrito pelo especialista em segurança Bruce Schneier como "um novo ponto baixo nas perguntas secretas," o que parece ser um kit de ferramentas de autenticação de terceiros usado pelo site do US National Archives deu aos usuários a opção de escolher "Qual é a sua senha preferida?" como sua pergunta secreta.

 

Horrible Preferred Internet Password Challenge Question example image

Os três exemplos acima mostram o que acontece quando desenvolvedores e fornecedores estão com pressa para lançar e comercializar um produto sem pensar nas consequências em potencial da sua segurança. Mesmo quando a implementação não é tão horrível, no entanto, as questões de segurança como um mecanismo de autenticação ainda não funcionam.

Em um mundo ideal, todo mecanismo de autenticação seria uma combinação 50/50 de segurança e usabilidade. É claro que não vivemos em um mundo ideal, e todos os meios que usamos hoje em dia para provar nossa identidade na Internet têm as suas potenciais armadilhas. O problema das questões de segurança é que elas conseguem ser inseguras e difíceis de usar.

O aspecto da segurança deve ser bastante óbvio para qualquer pessoa interessada no assunto. A menos que você ainda esteja usando pombos-correio para comunicação e assista às notícias em uma antiga TV em preto-e-branco, você não pode se afastar do fato de que há uma tonelada de informações sobre você e seus entes queridos na Internet. Pior ainda, há pouco que você possa fazer para controlar isso.

Isso significa que, neste dia e tempo, proteger as suas contas com perguntas como "Qual é o nome de solteira da sua mãe?" não é uma ideia muito boa. Praticamente a mesma coisa vale para "Qual é a marca e o modelo do seu primeiro carro?", "Qual é o nome da cidade em que você cresceu?", etc. Se não estiver disponível nos sites das redes sociais, essa informação pode estarem com pessoas ex-cônjuges, parentes com os quais você brigou, e outras pessoas que você confiou no passado. Mesmo que não estejam incluídos no seu modelo de ameaça, os hackers ainda poderão adivinhá-los, especialmente quando o número de possíveis respostas a uma pergunta de segurança for limitado (por exemplo, "Quem é o seu super-herói favorito?"). Os incidentes envolvendo respostas adivinhadas para as perguntas de segurança aconteceram no passadoe, se usuários e fornecedores não fizerem algo a respeito, poderemos vê-los no futuro.

Todas essas coisas foram detalhadas em um texto  de pesquisa publicado pelo Google em 2015.

Os pesquisadores procuraram provar que as questões de segurança estão longe de serem a maneira perfeita de autenticar usuários e redefinir as suas senhas. Eles fizeram isso de forma bastante conclusiva.

Além do aspecto da segurança das perguntas secretas, o Google também analisou como é fácil ou difícil configurá-las e usá-las. Acontece que a memorização é um problema sério. Por exemplo, eles observaram que depois de apenas um mês, cerca de 26% das pessoas haviam esquecido a resposta para a pergunta secreta "Comida favorita". No terceiro mês, quase metade dos usuários não se lembrava de qual era sua comida favorita e, após um ano, apenas 47% conseguiram responder corretamente. Esse problema se amplifica quando as pessoas respondem falsamente em uma tentativa de tornar suas questões de segurança mais seguras. Quando a natureza da pergunta torna a resposta mais difícil de adivinhar (por exemplo, "Qual foi seu primeiro número de telefone?"), A memorização é um problema ainda maior.

A conclusão do Google foi que, se os hackers não conseguirem adivinhar as respostas às perguntas secretas, os usuários não conseguirão se lembrar delas. É por isso que a maioria dos sites e provedores de serviços tem removido, lenta mas seguramente, as questões secretas dos seus formulários de registro. No entanto, alguns ainda os têm, e é por isso que os usuários precisam saber como lidar com eles.

Os especialistas parecem concordar que a única maneira de lidar com respostas a perguntas secretas é torná-las tão fortes e únicas quanto as suas senhas. Nenhum hacker poderá adivinhar que o nome de solteira da sua mãe é "5q*#!#0|@!-*E2" ou que o seu time favorito é "=u-@:nL^!!:?9@". É claro que lembrar-se de longas seqüências de letras, números e caracteres especiais é difícil, mas o Gerenciador de Senhas do Cyclonis e o seu recurso Notas Privadas podem ajudar. Na verdade, pode tornar todo o processo um pouco mais fácil.

Com o Gerador de Senhas você pode criar uma seqüência aleatória de caracteres em vez de tentar pensar no seu segundo prato italiano favorito. Use-o para responder à sua pergunta secreta e salve-a, juntamente com a pergunta, como uma observação particular. Suas Notas Particulares serão criptografadas e armazenadas no seu cofre pessoal. A única maneira de acessá-las é com a sua senha mestra.

O Gerenciador de Senhas do Cyclonis pode lembrar as suas senhas, o que significa que é improvável que você use as perguntas secretas que você salvar para recuperar o acesso às suas contas. No entanto, algumas empresas ainda as utilizam como meio de autenticação pelo telefone, o que significa que armazená-las em um local seguro pode poupar bastante aborrecimento.

Embora estejam longe da perfeição, a segurança ou as questões secretas ainda existem e, em alguns casos, elas ainda fazem parte do mecanismo que deve proteger os seus dados confidenciais. Gerencia-los é tão importante quanto gerenciar as suas senhas.

December 5, 2018

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 9 + 6 ?