Todos nós sabemos que devemos criar senhas seguras. Mas, durante todo o tempo que passamos nos preocupando com nossas senhas, há uma porta dos fundos em que nunca pensamos. As perguntas de segurança costumam ser fáceis de adivinhar e podem contornar as senhas.
Felizmente, muitos serviços estão percebendo que as questões de segurança são muito inseguras e estão atrasando-as. O Google e a Microsoft não oferecem mais perguntas de segurança para suas contas - em vez disso, você pode recuperar uma conta usando um número de telefone associado.
O “hack” de Palin
Este não é apenas um problema teórico. Yahoo! Sarah Palin conta de e-mail era famosa por “ hackeado ”Na corrida para as eleições de 2008. O “hacker” apenas usou o prompt de redefinição de senha e respondeu à pergunta de segurança dela. A questão era onde ela conheceu seu esposo, e a resposta - Wasilla High - estava acessível com uma rápida pesquisa no Google.
O problema com questões de segurança
RELACIONADOS: Proteja-se usando a verificação em duas etapas nesses 16 serviços da Web
Este não é um problema apenas para Sarah Palin. Quando configuramos contas - de contas bancárias a contas de e-mail - frequentemente somos solicitados a fazer uma pergunta de segurança. Na maioria das vezes, receberemos uma lista de perguntas sugeridas como "Onde você fez o ensino médio?" e "Qual é o nome de solteira da sua mãe?" Alguns sites permitem que você crie sua própria pergunta, mas muitos o forçam a escolher em sua lista de perguntas sugeridas. Alguns sites forçam você a configurar várias perguntas e respostas de segurança, o que significa que você não pode apenas escolher uma única resposta que seja fácil de lembrar - você deve escolher várias perguntas diferentes e lembrar de todas as respostas.
O verdadeiro problema com as perguntas de segurança é que as respostas são muito óbvias. As respostas para muitas perguntas de segurança, de "Qual é o seu aniversário?" para "Onde você estudou?" são de conhecimento público, se alguém quiser olhar. Eles podem até mesmo pesquisar por eles no Google. Mesmo que as respostas ainda não sejam de conhecimento público, a maioria das pessoas normais compartilhará detalhes como onde conheceram seu cônjuge e onde estudaram em uma conversa normal.
Noções básicas de questões de segurança
Se você nunca redefiniu a senha de uma conta, talvez nunca tenha que lidar com suas próprias questões de segurança e pode esquecê-las. Muitas vezes, você pode clicar em um link que diz que esqueceu sua senha e, se responder à pergunta de segurança corretamente, terá acesso a essa conta. Dessa forma, as perguntas de segurança permitem que você ignore sua senha. Sua conta não é mais tão segura quanto sua senha, ela é tão segura quanto sua pergunta de segurança mais óbvia.
As respostas às perguntas de segurança também são mais fáceis de adivinhar. Por exemplo, se a pergunta for “Qual era o nome do seu primeiro animal de estimação?”, É muito fácil adivinhar alguns nomes comuns de animais de estimação. Não importa se a sua senha é algo tão difícil de adivinhar como “3 & 40 $ d #% $ t # kteyt”. Se o nome do seu primeiro animal de estimação for "Fido" e você responder à pergunta de segurança com precisão, a resposta será fácil de adivinhar.
Nem todo serviço redefinirá sua conta e concederá acesso a outra pessoa apenas porque essa pessoa sabe a resposta à sua pergunta de segurança, mas alguns o farão. Outros serviços usam perguntas de segurança como parte de um processo de autenticação que exigirá outras informações pessoais.
Como escolher e responder perguntas de segurança
Tenha tudo isso em mente ao escolher perguntas e respostas de segurança. Escolha algo que seja difícil para outras pessoas descobrirem ou adivinharem, não algo como onde você estudou.
RELACIONADOS: Por que você deve usar um gerenciador de senhas e como começar
A segunda alternativa é desativar as perguntas de segurança. Por exemplo, se você tiver a chance de escrever sua própria pergunta de segurança, poderá inserir uma pergunta como “Qual é a resposta?” ou fazer referência a uma piada interna que só você saberia. Você pode então fornecer uma resposta que seja tão segura quanto a pergunta - talvez seu par resposta / pergunta seja algo como "Qual é a resposta?" “45D% po # Yih8d0Y $ fgp (i34t”. Agora você só tem uma segunda senha para sua conta - anote-a em algum lugar seguro ou armazene-o em um gerenciador de senhas como LastPass ou KeePass para que você possa acessá-lo caso precise. Com uma resposta como esta, você basicamente tem apenas uma segunda senha.
Lembre-se de que você também não precisa responder às perguntas com precisão. Por exemplo, se a pergunta for “Onde você deu seu primeiro beijo?” e você morou em Nova York a vida toda, provavelmente não quer entrar em Nova York - essa é uma resposta realmente óbvia. Talvez sua resposta seja "Em uma cratera na lua" ou outra resposta boba de que você se lembrará, mas outras pessoas terão mais dificuldade em adivinhar. Claro, até mesmo essa resposta é mais óbvia do que uma string aparentemente aleatória. Talvez sua resposta para "Onde você deu seu primeiro beijo?" é 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Mesmo se você for forçado a usar uma determinada pergunta, você está livre para digitar qualquer resposta que desejar, desde que se lembre dela. Claro, você vai querer manter esta resposta segura para o caso de precisar fornecê-la no futuro.
As perguntas de segurança são inseguras. Mas, mesmo se você for forçado a usá-los ou forçado a usar uma pergunta insegura, você nunca é forçado a fornecer uma resposta precisa. Você pode inserir qualquer resposta que desejar, desde que possa se lembrar dela para mais tarde. Faça o que fizer, certifique-se de que não está abrindo um backdoor que um invasor possa usar para ignorar sua senha.
Crédito da imagem: Paul Keller no Flickr
