Conheça os riscos de usar 'respostas secretas' para recuperar senhas

'Resposta secreta' do e-mail da candidata à vice-presidência dos EUA foi facilmente encontrada na internet. Mensagens de Sarah Palin vazaram na rede. (Foto: AP)

Invasor conseguiu acessar as mensagens de Paris Hilton porque a socialite usou o nome do cachorro para resetar senha da conta do celular (Foto: Dan Steinberg/AP)




Yahoo usa duas perguntas secretas, mas elas precisam ser escolhidas de uma lista fixa. (Foto: Reprodução)


Hackers podem usar tática para invadir e-mails e outras contas. Participe da coluna enviando perguntas sobre segurança na web.


Yahoo usa duas perguntas secretas, mas elas precisam ser escolhidas de uma lista fixa. (Foto: Reprodução)
O G1 publicou na semana passada uma notícia sobre a invasão do Twitter realizada por um hacker francês. O mais interessante sobre o caso é que o ataque foi possível graças ao recurso de “resposta secreta”, usado para recuperação de senhas. O malfeitor conseguiu descobrir a resposta para o acesso à conta Yahoo do funcionário do Twitter, resetou a senha e, entre as mensagens na conta de e-mail, encontrou as informações para acessar a administração do serviço de microblog. No ano passado, a mesma função de recuperação de senha do Yahoo foi usada para invadir a conta de e-mail da candidata derrotada à vice-presidência dos Estados Unidos Sarah Palin. O invasor conseguiu achar a resposta “secreta” para a pergunta configurada por Palin com uma simples pesquisa na web. Em janeiro de 2005, a vítima foi a socialite Paris Hilton. Hilton configurou o nome do seu cão como resposta para resetar a senha no site da operadora de telefonia móvel T-Mobile. A invasão deu acesso às mensagens do celular da socialite. Não é difícil perceber que a “resposta secreta” é, na maioria das casos, simplesmente uma má ideia. Entenda por que na coluna de hoje, e saiba como não depender de uma “resposta” secreta para recuperar sua senha. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. >>> Por que respostas secretas são inseguras .

Invasor conseguiu acessar as mensagens de Paris Hilton porque a socialite usou o nome do cachorro para resetar senha da conta do celular (Foto: Dan Steinberg/AP)
É importante não confundir as respostas secretas com frases secretas (“passphrases”). As respostas secretas são comumente configuradas no cadastramento de uma conta em um serviço na internet para serem usadas como forma de recuperação (“reset”) da senha no caso de esquecimento. As frases secretas são apenas senhas longas. Quando possível, a resposta secreta tem sido substituída pelo envio de e-mail. O internauta clica no botão para recuperar a senha e um e-mail é enviado, já contendo a senha (em sistemas menos seguros) ou com uma solicitação de confirmação para redefinir a senha (em sistemas com segurança melhor). Porém, um serviço de e-mail não pode depender de outro endereço de e-mail. É preciso que um mecanismo alternativo exista; senão, será um problema de causa e consequência circular, ou seja, “ovo e galinha”. Qual e-mail será usado para recuperar a senha se você não tem nenhum endereço ainda? As respostas secretas nem tentam ser seguras. Muitas vezes não é possível configurar a pergunta, o que obriga o usuário a responder a uma das poucas questões disponíveis no cadastro. Essas “perguntas” são normalmente pessoais e com respostas fáceis de lembrar – “qual o nome do seu primeiro professor”, “qual sua cor favorita” – justamente aquilo que não funciona como senha. Se algo não é indicado nem para o uso como senha, por que seria adequado para resetar por completo a mesma? Conveniência. A resposta secreta é apenas um meio barato (e extremamente inseguro) de cortar custos no atendimento aos clientes. Vale mencionar que cada vez mais temos nossas informações pessoais publicadas na internet. Temos blogs e perfis em redes sociais. É possível até mesmo identificar quem são os nossos amigos. Um indivíduo mal-intencionado pode facilmente descobrir algumas respostas apenas pesquisando, ou ainda entrar em contato com conhecidos para extrair outras informações e então obter a resposta necessária. Não são apenas famosos que estão vulneráveis, embora eles sejam os alvos mais comuns. >>> Se a resposta secreta for obrigatória, o que fazer?
'Resposta secreta' do e-mail da candidata à vice-presidência dos EUA foi facilmente encontrada na internet. Mensagens de Sarah Palin vazaram na rede. (Foto: AP)
Ás vezes é impossível escapar da resposta secreta: você é obrigado a criar uma. Nesses casos a solução é usar a criatividade. O especialista em segurança Bruce Schneier digita qualquer coisa, sem olhar o teclado, para inutilizar completamente a resposta secreta. Com isso, o eventual esquecimento da senha irá gerar um grande incômodo, e a equipe de suporte do serviço terá de ser acionada. Mas, se você seguir as dicas da coluna, não deverá passar por esse problema. Nos casos em que é possível configurar a pergunta, você pode usá-la como lembrete da senha. Pode ser criado um código, relacionado com uma de suas senhas (que você anotou). Esse código é colocado no “lembrete” para registrar qual senha foi usada, sem revelar nenhuma informação adicional. Lembre-se de considerar que o “lembrete” é público – não coloque nenhuma informação que possa ser útil para outras pessoas! Alternativamente, você pode fazer uma pergunta e responder outra. Por exemplo, você pode configurar a pergunta “Qual o nome da minha mãe?”, mas responder algo sem nenhuma relação óbvia (digamos, a primeira frase de um livro que sua mãe indicou ou deu de presente). De qualquer forma, não use o recurso de pergunta e resposta secreta da maneira “correta”, escolhendo uma pergunta e respondendo-a fielmente. Você estará criando uma vulnerabilidade, uma “senha” mais poderosa, mas mais fraca, que sua senha normal. A coluna de hoje fica por aqui. Na quarta-feira (13) é dia de pacotão de respostas, no qual são respondidas dúvidas dos leitores. Deixe sua pergunta ou sugestão de pauta nos comentários, abaixo. Até lá!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

0 comentários: