Το να χρησιμοποιούμε μυστικές ερωτήσεις για να αποκτήσουμε πρόσβαση σε κωδικούς που έχουμε ξεχάσει δεν είναι και τόσο ασφαλές, σύμφωνα με μια νέα μελέτη της Google.
Ένα whitepaper [PDF] που ονομάζεται “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google” ερευνώντας τα δεδομένα εκατομμυρίων χρηστών κατέληξε στο συμπέρασμα ότι η συγκεκριμένη πρακτική δεν είναι μόνο αναποτελεσματική, αλλά θέτει και σε κίνδυνο την ασφάλεια των λογαριασμών.
Η ιδέα φαίνεται αρκετά λογική: αν κάποιος έχει ξεχάσει τον κωδικό του, μπορεί να τον ανακτήσει με μια ερώτηση που την απάντηση υποτίθεται ότι γνωρίζει μόνο αυτός.
Το πρόβλημα; Οι περισσότεροι δεν μπορούν να θυμηθούν την απάντηση, γιατί πολλές φορές έχουν δηλώσει ψέματα στους εαυτούς μας με την πεποίθηση ότι θα κάνουν το σύστημα πιο ασφαλές. Φυσικά εκείνη τη στιγμή δεν συνειδητοποιούν, ότι θα ξεχάσουν την ψεύτικο απάντηση πολύ γρήγορα.
Άλλη μια αναφορά της μελέτης: αυτό που πιστεύουμε ότι είναι το αγαπημένο μας φαγητό σήμερα μπορεί να έχει αλλάξει όταν προσπαθήσετε να ανακτήσετε τον κωδικό πρόσβασης ερώτημα σας. Αν σας ζητηθεί μετά από ένα μήνα, υπάρχουν 74% πιθανότητες να θυμάστε. Αν σας ζητηθεί μετά από τρεις μήνες η πιθανότητα να θυμάστε την απάντηση είναι πια πενήντα πενήντα.
Έτσι ποια είναι η καλύτερη ερώτηση να θυμόμαστε; Η πόλη της γέννησης, σύμφωνα με τους υπαλλήλους της Google, με ένα συνολικό 80,1% ποσοστό επιτυχίας. Δεύτερο καλύτερο είναι το όνομα του πατέρα σας.
Αλλά οι ερευνητές επισημαίνουν ότι τα ερωτήματα αυτά (και πολλά άλλα) είναι εγγενώς ανασφαλή, δεδομένου ότι είναι αρκετά εύκολο να αποκτήσουν και κάποιοι άλλοι αυτές τις πληροφορίες, εάν έχουν το όνομά σας.
Η μελέτη παρουσιάζει επίσης μερικά ενδιαφέροντα στατιστικά στοιχεία σχετικά με το πόσο εύκολο μπορεί να είναι να μαντέψει κάποιος τις απαντήσεις. Για παράδειγμα, με μόλις 10 προσπάθειες μπορεί κάποιος να μαντέψει σωστά το 39% μιας πόλης στη Κορέα (για την ερώτηση πόλη που γεννηθήκατε), δεδομένου ότι δεν υπάρχουν πολλές μεγάλες πόλεις στην Κορέα.
Ομοίως, αν χρησιμοποιείτε το όνομα του πατέρα σας δεν είναι και τόσο ασφαλές.
Έτσι ποια είναι η κατάληξη;
Δύο πράγματα:
Πρώτο, εμείς οι άνθρωποι παραμένουμε αρκετά ηλίθιοι, ενώ ταυτόχρονα να πιστεύουμε ότι είμαστε πολύ έξυπνοι.
Δεύτερο, η καλύτερη λύση είναι η χρήση SMS ή του ηλεκτρονικού ταχυδρομείου για την ανάκτηση κωδικών πρόσβασης αν και βολεύει αρκετά τον στόχο της εταιρείας (συλλογή δεδομένων)
“Οι μυστικές ερωτήσεις μπορούν να χρησιμοποιούνται όταν συνδυάζονται με άλλα μέτρα” αναφέρει η μελέτη.