Quando nos inscrevemos em um novo serviço online, somos invariavelmente solicitados a fabricar uma senha, protegendo a novidade conta. Se você for sensato, escolha uma string longa e completamente aleatória ou deixe um aplicativo de gerenciamento de senhas fazer o trabalho por você. Em seguida na sequência vêm as questões de segurança.
Essas perguntas geralmente pedem o nome de solteira da sua mãe, o nome da sua escola primária, o nome do seu primeiro bicho de estimação e assim por diante. Projetadas para manter nossas contas seguras contra possíveis hackers, as perguntas de segurança devem atuar porquê uma risco extra de resguardo.
Uma vez que você responde a essas perguntas? Você diz a verdade, toda a verdade e zero além da verdade? Infelizmente, sua verdade pode estar criando uma rachadura inesperada em sua armadura online. Vamos ver exatamente porquê você devemos responder a perguntas de segurança.
Dicas de senha prejudicam sua segurança
As dicas de senha são, sem incerteza, úteis. Uma dica útil será exibida se você olvidar sua senha do Windows. E isso depois de exclusivamente uma única tentativa fracassada. No caso da senha do Windows, sua dica deve atualizar sua memória. Ele o lembra de usar uma dica que você selecionou, para que você possa ser tão místico ou desobstruído quanto se sentir.
As questões de segurança são diferentes. Enfrentamos regularmente as combinações familiares de perguntas mencionadas supra e fornecemos respostas precisas de bom grado. As questões de segurança são apresentadas porquê uma risco de resguardo suplementar. No entanto, você deve considerar a relativa facilidade de obter algumas das respostas na sociedade ultraconectada de hoje.
Os pesquisadores de segurança regularmente ridicularizam as questões de segurança porquê medíocres. Podemos ter fé em uma medida de segurança cujas respostas podem ser descobertas tão prontamente?
Use respostas fortes e de uso único para perguntas de segurança
Os invasores se aproveitam das perguntas fáceis – cores, nomes de solteira, primeiros animais de estimação – porque podem ser obtidas facilmente por meio de contas de mídia social. Para piorar a situação, se sua conta usar perguntas e respostas extremamente específicas, um invasor poderá varar outras senhas em potencial.
Por exemplo, se a pergunta de segurança for “Onde você comprou seu primeiro carruagem?” o invasor pode menosprezar imediatamente outras respostas mais fáceis. Se a pergunta for: “Qual é o nome da sua cidade natal?” é simples para um invasor verificar sua conta do Facebook ou LinkedIn para revelar as informações (se listadas, é simples).
Tenho certeza de que você já descobriu a solução óbvia para esse problema de segurança. Se o invasor está procurando uma resposta diretamente relacionada a você, por que não usar um tanto completamente dissemelhante?
- Qual é o nome de solteira da sua mãe? fa1c0npunc4
- Onde você conheceu o seu companheiro? b1cycl3tyr3
- Qual era o nome do seu primeiro bicho de estimação? n0str0d4mu5
Ok, eles são exemplos terríveis, mas você entende. Se a resposta for a) obscura eb) usar caracteres aleatórios, você definirá imediatamente a barra de segurança de suas contas um pouco mais subida.
Randomize suas perguntas de segurança para aumentar sua segurança
Randomizar ou usar uma resposta exclusiva para as perguntas de segurança da sua conta aumentará sua segurança em todos os aspectos. No entanto, as próprias perguntas e respostas de segurança são desaprovadas porquê um método de segurança em universal. De entendimento com o Instituto Pátrio de Padrões e Tecnologia (NIST), as perguntas de segurança não devem mais ser usadas porquê método de autenticação de conta. Parafraseando a publicação próprio NIST 800-63B, as perguntas de segurança equivalem à autenticação da conta, portanto, torná-las mais fáceis de conjecturar e usar do que os métodos de autenticação regulares (ou seja, senhas, verificação de dois fatores/duas etapas) anula o objetivo do processo.
Um estudo do Google de 2015 sobre perguntas e respostas de segurança analisou as perguntas de segurança secretas fornecidas por sua monumental base de usuários, revelando que as respostas de segurança são uma forma vulnerável de segurança, pois os usuários geralmente tentam fortalecer suas respostas, mas o fazem de maneira totalmente previsível.
Nossa estudo confirma que as perguntas secretas geralmente oferecem um nível de segurança muito menor do que as senhas escolhidas pelo usuário. Acaba sendo ainda menor do que proxies porquê a real distribuição de sobrenomes na população indicaria.
Surpreendentemente, descobrimos que uma justificação significativa dessa instabilidade é que os usuários geralmente não respondem com sinceridade. Uma pesquisa de usuários que realizamos revelou que uma fração significativa de usuários (37%) que admitiram fornecer respostas falsas o fizeram na tentativa de torná-las “mais difíceis de conjecturar”, embora, em conjunto, esse comportamento tivesse o efeito oposto, pois as pessoas “endurecem” suas respostas de forma previsível.
Por que tentamos mentir, mas o fazemos tão mal? Uma vez que você pode ver nos gráficos a seguir, a maioria dos entrevistados fornece respostas falsas acreditando que isso aumentará sua segurança. Podemos logo supor que o público em universal (embora um pequeno momentâneo de um enorme banco de dados) entenda que as perguntas de segurança podem e serão usadas contra eles.
A equipe de pesquisa do Google concluiu que as perguntas de segurança são um pouco seguras ou fáceis de lembrar, mas a combinação de ouro é rara de encontrar. Portanto, “enquanto o Google prefere a recuperação de SMS e e-mail, nenhum mecanismo é perfeito”.
Perguntas de segurança de múltipla escolha da United Airlines
É fácil teimar sobre porquê as perguntas de segurança são um método de autenticação de conta inseguro. Oferecer perguntas mal formuladas ou facilmente adivinhadas é uma coisa, mas forçar os usuários a escolher uma resposta de uma lista é outra coisa completamente dissemelhante.
Em 2016, a United Airlines lançou um novo esquema de segurança atualizado para suas contas de clientes. O macróbio sistema que dependia de PINs de 4 dígitos foi corretamente considerado inadequado para contas contendo potencialmente centenas de milhares de dólares em milhas de passageiro frequente. O sistema atualizado exige que os usuários insiram uma senha exclusiva, além de responder a cinco perguntas de segurança pessoal.
Parece bom, claro? Exceto que a United Airlines pediu a seus clientes que escolhessem uma senha possante e exclusiva e respondessem às suas perguntas usando um conjunto pré-determinado de respostas. Isso mesmo: respostas preordenadas. Por exemplo, se você escolher a pergunta “Em que mês é o natalício do seu melhor colega”, seus possíveis atacantes têm — você adivinhou — meras doze respostas para batalhar. Tempos dificeis.
A United argumenta que “a maioria dos problemas de segurança que nossos clientes enfrentam podem ser atribuídos a vírus de computador que registram a digitação, e o uso de respostas predefinidas protege contra esse tipo de intrusão”.
O pesquisador de segurança Brian Krebs falou diretamente com o diretor de perceptibilidade de segurança de TI da United Airlines, Benjamin Vaughn. Vaughn disse que a empresa “estava randomizando as perguntas para confundir os programas de bots que buscam automatizar o envio de respostas, e que as perguntas de segurança respondidas incorretamente seriam ‘bloqueadas’ e não perguntadas novamente”.
Outrossim, Vaughn confirmou a Krebs que várias tentativas malsucedidas resultariam em uma conta bloqueada. Consequentemente, o usuário deve se discursar diretamente com a United Airlines para desbloquear sua conta.
Combatendo a fadiga de segurança e aumentando a segurança da conta
A United Airlines identificou uma vulnerabilidade de segurança, mas sua resposta não resolveu totalmente o problema. Uma vez que vimos, a única maneira realmente segura de responder a uma pergunta de segurança é, porquê uma senha, fornecer um tanto verdadeiramente único e aleatório. Isso é na esperança de que hackers em potencial fiquem frustrados com a dificuldade e passem para a próxima conta.
No entanto, de entendimento com o psicólogo cognitivo e coautor do Security Fatigue, Brian Stanton, a fadiga de segurança é um problema muito real.
A constatação de que o público em universal sofre de fadiga de segurança é importante porque tem implicações no sítio de trabalho e na vida cotidiana das pessoas. É fundamental porque muitas pessoas fazem transações bancárias on-line e porque os cuidados de saúde e outras informações valiosas estão sendo movidos para a internet.
Se as pessoas não podem usar a segurança, elas não vão usar, e logo nós e nossa região não estaremos seguros.
Os usuários estão cada vez mais cansados. Violações de segurança e redefinições forçadas de senha agora são tão comuns que muitos usuários simplesmente ignoram os alertas. Infelizmente, essa fadiga leva a comportamentos de risco do usuário em morada e no sítio de trabalho. Aumentar sua segurança pode ser tão fácil quanto fazer algumas mudanças simples em seu comportamento:
- Automatizar: Assuma o controle de sua segurança e automatize verificações, backups e muito mais.
- Gerenciamento de senhas: As soluções de gerenciamento de senhas estão disponíveis para todos os tipos de dispositivos e muitas delas também cuidam de suas questões de segurança.
- Tomar posse: A segurança dos seus dados é sua responsabilidade. Temos grandes expectativas em relação às instituições que detêm nossos dados, e com razão. Dito isto, se você não impor fortes medidas de segurança em morada, você compartilhará segmento da culpa.
Por enquanto, as perguntas e respostas de segurança não vão a lugar nenhum. Eles estão se tornando menos prevalentes e temos outros métodos de verificação e autenticação de conta para ajudar. Ainda assim, quando você encontrar uma pergunta de segurança para proteger sua conta, certifique-se de misturar suas respostas e dificultar que um invasor roube seus dados. Exclusivamente certifique-se de se lembrar das respostas você mesmo!
Leia a seguir
Sobre o responsável