Como Lidar com Perguntas de Segurança sobre Login/Senha

As perguntas de segurança, também conhecidas como perguntas secretas, estão entre os piores mecanismos de autenticação de backups e recuperação de contas que você pode ver no momento. No passado, elas funcionavam, mas, no momento, não são seguras nem, em um número assustadoramente grande de cenários do mundo real, são secretas.

Aqui estão alguns exemplos de 'o que eles estavam pensando', que devem lhe dar uma idéia de quão sério o problema poderia ser.

Infrator #1:

This is one of the worst security questions I've seen. pic.twitter.com/iBm3kdaFDc

— Marie Huynh (@mariehuynh) October 9, 2014

Esta é de 2014 e não pudemos verificar se o sistema ainda funciona da mesma maneira. Como você pode ver, o usuário é forçado a escolher uma "questão de segurança" em um menu suspenso, e a primeira opção é ... *expectativa * ... "Qual é a capital [erro ortográfico] da Califórnia?" Sim, os usuários têm a opção de proteger as suas contas com uma pergunta, cuja resposta está a apenas a uma pesquisa do Google.

Agora, você, como muitas pessoas no Twitter, pode argumentar que os usuários não são forçados a responder à pergunta corretamente, mas esse não é o ponto. Os usuários não tendem a pensar em segurança até que o pior aconteça, e muitos ficam tentados a mostrar que estão prestando atenção na escola digitando Sacramento no campo Resposta. E mesmo que não o façam, um hacker, armado com uma lista de cidades, ainda é capaz de adivinhar a resposta em algumas tentativas.

Infrator #2:

É a United Airlines dos EUA. Em 2016, eles atualizaram o mecanismo de login do seu programa de passageiro frequente. Eles disseram que as mudanças são parte de um esforço para melhorar a segurança. Os PINs de 4 dígitos usados ​​pelos clientes foram substituídos por senhas, o que parece ser um passo na direção certa (embora algumas senhas fracas possam ser ainda menos seguras do que os PINs). Então, no entanto, eles disseram que toda vez que os usuários fazem login de um novo dispositivo ou de um novo navegador, eles precisam responder a 5 "questões de segurança". E eles fizeram os usuários escolherem as perguntas e as respostas dos menus suspensos.

Há um número limitado de perguntas (que é um problema inerente à maioria dos sistemas desse tipo), e há um número limitado de respostas (apenas 12 no caso de "Durante qual mês você conheceu o seu cônjuge ou o seu outro significativo?"). As pessoas que argumentam que responder não a 1, não a 2, mas a 5 perguntas de segurança diferentes podem impedir que os hackers sigam em frente, não devem se esquecer que os cibercriminosos enfrentaram desafios mais sérios no passado, e eles venceram. Quando a United Airlines disse que esse design está lá para proteger os usuários contra malwares de keylogging, eles mostraram o quão pobre é o entendimento deles sobre segurança.

Infrator #3:

Este não merece comentário. Descrito pelo especialista em segurança Bruce Schneier como "um novo ponto baixo nas perguntas secretas," o que parece ser um kit de ferramentas de autenticação de terceiros usado pelo site do US National Archives deu aos usuários a opção de escolher "Qual é a sua senha preferida?" como sua pergunta secreta.

 

Horrible Preferred Internet Password Challenge Question example image

Os três exemplos acima mostram o que acontece quando desenvolvedores e fornecedores estão com pressa para lançar e comercializar um produto sem pensar nas consequências em potencial da sua segurança. Mesmo quando a implementação não é tão horrível, no entanto, as questões de segurança como um mecanismo de autenticação ainda não funcionam.

Em um mundo ideal, todo mecanismo de autenticação seria uma combinação 50/50 de segurança e usabilidade. É claro que não vivemos em um mundo ideal, e todos os meios que usamos hoje em dia para provar nossa identidade na Internet têm as suas potenciais armadilhas. O problema das questões de segurança é que elas conseguem ser inseguras e difíceis de usar.

O aspecto da segurança deve ser bastante óbvio para qualquer pessoa interessada no assunto. A menos que você ainda esteja usando pombos-correio para comunicação e assista às notícias em uma antiga TV em preto-e-branco, você não pode se afastar do fato de que há uma tonelada de informações sobre você e seus entes queridos na Internet. Pior ainda, há pouco que você possa fazer para controlar isso.

Isso significa que, neste dia e tempo, proteger as suas contas com perguntas como "Qual é o nome de solteira da sua mãe?" não é uma ideia muito boa. Praticamente a mesma coisa vale para "Qual é a marca e o modelo do seu primeiro carro?", "Qual é o nome da cidade em que você cresceu?", etc. Se não estiver disponível nos sites das redes sociais, essa informação pode estarem com pessoas ex-cônjuges, parentes com os quais você brigou, e outras pessoas que você confiou no passado. Mesmo que não estejam incluídos no seu modelo de ameaça, os hackers ainda poderão adivinhá-los, especialmente quando o número de possíveis respostas a uma pergunta de segurança for limitado (por exemplo, "Quem é o seu super-herói favorito?"). Os incidentes envolvendo respostas adivinhadas para as perguntas de segurança aconteceram no passadoe, se usuários e fornecedores não fizerem algo a respeito, poderemos vê-los no futuro.

Todas essas coisas foram detalhadas em um texto  de pesquisa publicado pelo Google em 2015.

Os pesquisadores procuraram provar que as questões de segurança estão longe de serem a maneira perfeita de autenticar usuários e redefinir as suas senhas. Eles fizeram isso de forma bastante conclusiva.

Além do aspecto da segurança das perguntas secretas, o Google também analisou como é fácil ou difícil configurá-las e usá-las. Acontece que a memorização é um problema sério. Por exemplo, eles observaram que depois de apenas um mês, cerca de 26% das pessoas haviam esquecido a resposta para a pergunta secreta "Comida favorita". No terceiro mês, quase metade dos usuários não se lembrava de qual era sua comida favorita e, após um ano, apenas 47% conseguiram responder corretamente. Esse problema se amplifica quando as pessoas respondem falsamente em uma tentativa de tornar suas questões de segurança mais seguras. Quando a natureza da pergunta torna a resposta mais difícil de adivinhar (por exemplo, "Qual foi seu primeiro número de telefone?"), A memorização é um problema ainda maior.

A conclusão do Google foi que, se os hackers não conseguirem adivinhar as respostas às perguntas secretas, os usuários não conseguirão se lembrar delas. É por isso que a maioria dos sites e provedores de serviços tem removido, lenta mas seguramente, as questões secretas dos seus formulários de registro. No entanto, alguns ainda os têm, e é por isso que os usuários precisam saber como lidar com eles.

Os especialistas parecem concordar que a única maneira de lidar com respostas a perguntas secretas é torná-las tão fortes e únicas quanto as suas senhas. Nenhum hacker poderá adivinhar que o nome de solteira da sua mãe é "5q*#!#0|@!-*E2" ou que o seu time favorito é "=u-@:nL^!!:?9@". É claro que lembrar-se de longas seqüências de letras, números e caracteres especiais é difícil, mas o Gerenciador de Senhas do Cyclonis e o seu recurso Notas Privadas podem ajudar. Na verdade, pode tornar todo o processo um pouco mais fácil.

Com o Gerador de Senhas você pode criar uma seqüência aleatória de caracteres em vez de tentar pensar no seu segundo prato italiano favorito. Use-o para responder à sua pergunta secreta e salve-a, juntamente com a pergunta, como uma observação particular. Suas Notas Particulares serão criptografadas e armazenadas no seu cofre pessoal. A única maneira de acessá-las é com a sua senha mestra.

O Gerenciador de Senhas do Cyclonis pode lembrar as suas senhas, o que significa que é improvável que você use as perguntas secretas que você salvar para recuperar o acesso às suas contas. No entanto, algumas empresas ainda as utilizam como meio de autenticação pelo telefone, o que significa que armazená-las em um local seguro pode poupar bastante aborrecimento.

Embora estejam longe da perfeição, a segurança ou as questões secretas ainda existem e, em alguns casos, elas ainda fazem parte do mecanismo que deve proteger os seus dados confidenciais. Gerencia-los é tão importante quanto gerenciar as suas senhas.

Por Naria
December 5, 2018
Tips
Portuguese
December 5, 2018
Tips

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.