Quando possível, a resposta secreta tem sido substituída pelo envio de e-mail. O internauta clica no botão para recuperar a senha e um e-mail é enviado, já contendo a senha (em sistemas menos seguros) ou com uma solicitação de confirmação para redefinir a senha (em sistemas com segurança melhor).
Porém, um serviço de e-mail não pode depender de outro endereço de e-mail. É preciso que um mecanismo alternativo exista; senão, será um problema de causa e consequência circular, ou seja, “ovo e galinha”. Qual e-mail será usado para recuperar a senha se você não tem nenhum endereço ainda?
As respostas secretas nem tentam ser seguras. Muitas vezes não é possível configurar a pergunta, o que obriga o usuário a responder a uma das poucas questões disponíveis no cadastro. Essas “perguntas” são normalmente pessoais e com respostas fáceis de lembrar – “qual o nome do seu primeiro professor”, “qual sua cor favorita” – justamente aquilo que não funciona como senha.
Se algo não é indicado nem para o uso como senha, por que seria adequado para resetar por completo a mesma? Conveniência. A resposta secreta é apenas um meio barato (e extremamente inseguro) de cortar custos no atendimento aos clientes.
Vale mencionar que cada vez mais temos nossas informações pessoais publicadas na internet. Temos blogs e perfis em redes sociais. É possível até mesmo identificar quem são os nossos amigos. Um indivíduo mal-intencionado pode facilmente descobrir algumas respostas apenas pesquisando, ou ainda entrar em contato com conhecidos para extrair outras informações e então obter a resposta necessária. Não são apenas famosos que estão vulneráveis, embora eles sejam os alvos mais comuns.
>>> Se a resposta secreta for obrigatória, o que fazer?
Ás vezes é impossível escapar da resposta secreta: você é obrigado a criar uma. Nesses casos a solução é usar a criatividade.
O especialista em segurança Bruce Schneier digita qualquer coisa, sem olhar o teclado, para inutilizar completamente a resposta secreta. Com isso, o eventual esquecimento da senha irá gerar um grande incômodo, e a equipe de suporte do serviço terá de ser acionada. Mas, se você seguir as dicas da coluna, não deverá passar por esse problema.
Nos casos em que é possível configurar a pergunta, você pode usá-la como lembrete da senha. Pode ser criado um código, relacionado com uma de suas senhas (que você anotou). Esse código é colocado no “lembrete” para registrar qual senha foi usada, sem revelar nenhuma informação adicional. Lembre-se de considerar que o “lembrete” é público – não coloque nenhuma informação que possa ser útil para outras pessoas!
Alternativamente, você pode fazer uma pergunta e responder outra. Por exemplo, você pode configurar a pergunta “Qual o nome da minha mãe?”, mas responder algo sem nenhuma relação óbvia (digamos, a primeira frase de um livro que sua mãe indicou ou deu de presente).
De qualquer forma, não use o recurso de pergunta e resposta secreta da maneira “correta”, escolhendo uma pergunta e respondendo-a fielmente. Você estará criando uma vulnerabilidade, uma “senha” mais poderosa, mas mais fraca, que sua senha normal.
Fonte: Altieres Rohr
Nenhum comentário:
Postar um comentário