No começo de 2012, adquiri meu MacBook. Naquele tempo, não sabia muito sobre gadgets, e não estava nos meus planos comprar outros dispositivos da Apple. Liguei o computador e criei meu Apple ID. Conforme orientação do sistema, escolhi minha senha e diversas perguntas de segurança.
Quatro anos depois, também tenho um iPad, e claro já comprei diversos aplicativos interessantes (alguns estão nessa lista feita por meus colegas). Minha conta se tornou extremamente valiosa para mim, e comecei a pensar em sua proteção. Por isso, decidi adotar a autenticação de dois fatores.
Não foi fácil como esperava. A Apple não me permitia mudar nada na aba de segurança até que eu pudesse responder minhas perguntas de segurança com perfeição. A resposta que coloquei não estava certa.
Quando tentei alterar minhas perguntas de segurança, descobri que o e-mail secundário utilizado para efetuar essa operação não estava confirmado. Ainda não faço ideia do porque a Apple trataria um e-mail não confirmado como ativo, mas foi o que fizeram, e foi aí que começou o círculo vicioso.
Cliquei no link “verificar e-mail” diversas vezes, mas não recebi qualquer e-mail de confirmação. Tudo estava dando errado. Já era tarde e eu não conseguiria pedir ajuda ao suporte técnico, então só tinha uma saída – hackear minhas perguntas de segurança.
Como hackeei minhas perguntas de segurança
As perguntas que escolhi quatro anos atrás não eram tão difíceis. Mas pensando nas respostas, percebi que qualquer um poderia descobri-las ao olhar meu currículo ou uma conta de rede social.
– Onde foi seu primeiro emprego?
O LinkedIn é o local óbvio para encontrar essa resposta.
– Onde seus pais se conheceram?
Meus pais cresceram, se conheceram e se casaram na mesma cidade em que nasci. Muita gente tem a mesma história de vida. E revela sua cidade natal nas mídias sociais (fico me questionando porque as mídias sociais perguntam isso para os usuários!). Essa pergunta não é nada segura.
– Qual era seu livro favorito quando criança?
Bem, tive diversos livros favoritos quando criança, mas a resposta mais provável era O Hobbit de J. R. R. Tolkien. Como as outras respostas, não se trata de um segredo exatamente: primeiro, o livro é muito popular. Segundo, meus amigos de universidade e colegas sabem que escrevi vários trabalhos sobre O Hobbit. Minha dissertação semi-terminada era dedicada as onze traduções de O Hobbit em russo! No fim, o único mistério sobre essa pergunta era se escrevi o título curto ou completo: “O Hobbit ou Uma Jornada Inesperada” há quatro anos.
Afinal, se seu sabia todas as respostas, por que não bateram? Simples: a minha conta estava configurada em inglês. Mas, há quatro anos, as respondi em russo. Quando mudei a língua e redigitei as respostas, elas foram reconhecidas. Mas até para quem não alterou a língua da conta, perguntas de segurança podem ser problemáticas: você lembra onde usou maiúsculas e minúsculas? Abreviações? Apelidos?
Comecei a pensar o que separaria boas perguntas e respostas de segurança de ruins.
O que faz uma pergunta de segurança ser boa? Caso você tenha de escolher uma pergunta da lista, qual escolheria?
Cinco critérios nos auxiliam a distinguir perguntas de segurança boas das ruins.
- Obscuridade – as perguntas devem ser difíceis de adivinhar. Por exemplo, a preferida de muitos bancos – o nome de solteira da sua mãe – é ridícula. Não falarei das 9000 formas de descobrir essa.
- Estabilidade – as respostas não devem mudar ao longo do tempo. Evite perguntas ao redor de favoritismos: seu trabalho, comida, banda, filme, restaurante e destino de férias favoritas podem mudar com o tempo.
- Memorabilidade – digitamos senhas com certa frequência, o mesmo não se aplica para perguntas de segurança. Quando você ainda é adolescente lembrar do nome da sua professora da primeira série pode ser fácil, informação que pode ser esquecida quando chegar aos trinta – ou sessenta – então tente escolher respostas que não há como esquecer em um ano ou dois.
- Simplicidade – algumas perguntas possuem diversas respostas corretas. Onde foi seu primeiro beijo? Você pode ter escrito “Nova York”, “Cidade de Nova York”, “NYC”, “Central Park”, entre outras. Não dê a si mesmo espaço para errar, evite perguntas que podem ser respondidas de diversas formas.
- Multiplicidade de escolha – perguntas de “sim” ou “não” são terríveis. Mesmo alguém que não conhece nada sobre você tem uma chance 50% de acertar! Boas perguntas de segurança podem ser respondidas de forma infinita – e você deve ser a única pessoa que sabe a resposta.
Seja cuidadoso ao divulgar informações na Web pois elas podem ser usadas em golpes de engenharia social. #dicacertbr
— CERT.br (@certbr) September 20, 2016
Fique de olhos ao phishing em mídias sociais
Você já deve ter encontrado pesquisas em mídias sociais que valorizam a nostalgia ao compartilhar “os primeiros 7 lugares no qual você trabalhou…” ou “sua primeira viagem de avião…”. Esse tipo de informação vale ouro para engenheiros sociais. Na verdade, esse tipo de questionário tende a vir de criminosos.
Se você quiser, mude suas respostas para as piores possíveis para ninguém descobri-las – qual o nome de solteira da sua mãe? XCU*(&S1042!- mas claro, você precisa ter cuidado para não se confundir depois.
Uma opção melhor é no lugar de usar o nome Woodhouse, usar apenas as consoantes: wdhs. Ou ainda alternar com sua data de nascimento, (04 de agosto de 80) de modo que você terá 04wd08hs80. Nada brilhante, mas bem melhor que o original.
Esse tipo de método é melhor para aquelas perguntas de segurança que você responde com frequência – por exemplo, quando você liga para seu banco. Se você lembrar dela de vez em quando, a combinação se manterá em sua memória.
No fim, contudo, existem formas melhor de proteger sua conta do que perguntas de segurança, como por exemplo, a autenticação de dois fatores.
Dicas