Google: 'perguntas secretas' não ajudam a recuperar senhas esquecidas

Segundo um estudo feito pela Google, aquelas “perguntas secretas” que muitos sites pedem para usuários responderem na hora de criar um login estão longe de serem eficazes. Elas têm um problema de segurança bastante inconveniente: ou elas são fáceis de lembrar ou elas são realmente seguras. Muito raramente essas duas características andam juntas na mesma resposta para uma pergunta secreta.

Basicamente, a Google fez uma análise nos dados gerados pelos seus usuários na hora de recuperar suas senhas. Foi constatado que, quando as respostas para as perguntas secretas eram muito fáceis, as pessoas até conseguiram lembrar. O problema é que qualquer hacker poderia também descobrir essa resposta, que muitas vezes é algum tipo de informação pública ou muito comum para muitos usuários. Por exemplo:

• Em uma única tentativa, um hacker teria 19,7% de chance de descobrir a resposta dos usuários falantes de inglês para a pergunta "Qual é a sua comida favorita?". A resposta seria “Pizza” para muita gente.
• Em dez tentativas, um hacker teria quase 24% de chance de adivinhar a resposta dos usuários falantes de árabe para a pergunta "Qual é o nome da sua professora favorita?".
• Em dez tentativas, um hacker teria 21% de chance de adivinhar a resposta dos usuários falantes de espanhol para a pergunta "Qual é o nome do meio do seu pai?".
• Em dez tentativas, um hacker teria 39% de chance de adivinhar a resposta dos usuários falantes de coreano para a pergunta "Em que cidade você nasceu?" e 43% de chance de adivinhar a comida favorita deles.

Em contraponto, respostas para perguntas secretas difíceis são tão difíceis que nem mesmo os usuários se lembram. Elas realmente ajudam a manter os hackers afastados, mas, se um usuário perder sua senha tradicional, ele raramente consegue obtê-la novamente através dessas respostas para perguntas secretas.

• 40% dos usuários falantes de inglês nos EUA não conseguiam lembrar suas respostas para perguntas secretas quando necessário. Por sua vez, esses mesmos usuários conseguiam usar códigos de redefinição enviados a eles por SMS em mais de 80% das vezes e, por e-mail, quase 75% das vezes.
• Algumas das perguntas potencialmente mais seguras — "Qual é o número do seu cartão de biblioteca?" e "Qual é o número do seu programa de milhas aéreas?" — têm apenas 22% e 9% de taxas de recordação, respectivamente.
• Para os usuários falantes de inglês nos EUA, a pergunta mais fácil ("Qual é o nome do meio do seu pai?") teve uma taxa de sucesso de 76%, enquanto a pergunta potencialmente mais segura ("Qual foi seu primeiro número de telefone?"), teve uma taxa de sucesso de apenas 55%.