Estudo: perguntas secretas não protegem senhas

Mesmo que seu cônjuge não saiba sua senha de e-mail, ele ou ela provavelmente sabe informações suficientes para obtê-lo.

Provedores de e-mail grátis geralmente apresentam uma chamada "questão secreta" como um mecanismo de verificação para redefinir uma senha de conta. Mas a resposta é muitas vezes facilmente adivinhada por outras pessoas que conhecem o titular da conta, de acordo com um novo estudo a ser lançado durante o Simpósio IEEE sobre Segurança e Privacidade esta semana em Oakland, Califórnia.

Em outros casos, estranhos podem fornecer com sucesso as respostas a algumas perguntas, que é como a candidata republicana à vice-presidência, Sarah Palin, perdeu o controle de sua conta no Yahoo. O estudante universitário acusado de requisitar a conta, David Kernell, disse que levou menos de uma hora de pesquisa on-line para encontrar as respostas certas para as questões de segurança da conta de Palin.

[Leia mais: Como remover malware de sua conta? Windows PC]

O estudo analisou as questões usadas pelo Yahoo, Google, Microsoft e AOL em março de 2008. Em um teste, os pesquisadores juntaram duas pessoas, com o titular da conta de e-mail dizendo que não confiaria no outro. pessoa com sua senha. Quando apresentada a pergunta secreta do detentor da conta, a outra pessoa adivinhou certo 17% das vezes

Entre duas pessoas que confiam uma na outra, um parceiro conseguiu fornecer a resposta certa para uma conta do Hotmail 28% do tempo "Mesmo com perguntas escritas por um usuário - o sistema que o Google agora emprega - um completo estranho poderia adivinhar a resposta 15% do tempo dentro de cinco tentativas.

Parte do problema é que As perguntas são tão brandas que um pouco de pesquisa na Internet pode trazer listas de programas de TV favoritos, refrigerantes, cervejas, atores, etc., que ajudam a tornar possível uma adivinhação mais direcionada. Além disso, dados geográficos ajudam com perguntas como "Qual é o seu time favorito", disse o estudo.

"Nossos resultados não nos dão a confiança de que as questões pessoais de hoje tornam a autenticação adequada secreta", escreveram os autores. "Aqueles que são difíceis de adivinhar são menos propensos a serem escolhidos pelos usuários em primeiro lugar, e quando escolhidos eles são menos propensos a serem lembrados."

Embora o Yahoo uma vez tenha apresentado o mais memorável conjunto de perguntas no momento, os participantes do estudo esqueceram suas próprias respostas dentro de seis meses. Os autores escreveram que o Yahoo substituiu todas as nove questões de autenticação pessoal em fevereiro.

Não há uma solução fácil para o problema. Muitos outros sites dependem do envio de um e-mail para a conta de uma pessoa para verificar uma pessoa, mas como a própria conta de e-mail precisa ser verificada, isso representa um problema.

Uma solução possível para evitar ataques de adivinhação estatística seria penalizar respostas erradas dependendo de sua popularidade. O tamanho da penalidade, escrevem os autores, dependeria da chance de o usuário legítimo responder com várias respostas populares antes de obter a resposta correta.

Os dados do estudo sugerem que, se uma pessoa adivinha incorretamente duas respostas populares para uma pergunta, eles raramente têm uma terceira pergunta certa.

Além disso, os autores recomendam eliminar questões estatisticamente adivinhadas em mais de 10% do tempo, como "Qual é a sua cidade favorita?" Eles definiram uma resposta como estatisticamente adivinhada se estiver entre as cinco respostas mais populares fornecidas por outros participantes em seu estudo.

Outro mecanismo de autenticação poderia ser um SMS (Short Message Service) enviado pelo provedor de e-mail para uma pessoa. celular. Mas isso também coloca questões de segurança, uma vez que os telefones são roubados e perdidos, e a transmissão de SMS tem preocupações de segurança, eles escreveram.

O estudo foi escrito por Stuart Schechter e A.J. Berheim Brush, da Microsoft Research, e Serge Egelman, da Universidade Carnegie Mellon.