Você sabia que basta descobrir a resposta para a pergunta secreta do seu Microsoft Passport para invadir o MSN dos outros? Isso é mais fácil do que você imagina:
Eu também não pensava que fosse tão fácil até alguém fazer isso comigo. Ontem tentei me logar no MSN e deu que a senha estava errada. Tentei recuperar a senha pela pergunta secreta, mas não sabia a resposta. Na verdade eu nem lembrava qual era a pergunta secreta. Enviei um email para esse mesmo email pedindo para o hacker devolver a conta e foi o que ele fez. Ele me disse que sequestrou a conta para poder pegar os endereços dos spammers que me mandam diariamente dezenas de spams por dia. Se é verdade ou não, não sei, mas pelo menos ele não me causou nenhum dano pessoal até agora. Até me explicou como fez o hack:
A sua pergunta era, "Quem nasceu primeiro, o ovo ou a galinha?"
Coloquei essa pergunta no google, e um dos posts tinha assim: "E o galo? onde fica na historia ? "
Entao coloquei O GALO.
Hoje em dia é que as perguntas nao podem ser pessoais. Nem sei o porque disso. Mas em tempos que seus dados estão disponiveis para qualquer um, esse sistema de perguntas ficou bastante falho.
Ex. Muitas pessoas colocam a pergunta: Seu time de futebol favorito. Basta ver as comunidades do individuo no Orkut pra descobrir. Ou mesmo chamar ele de Flamenguista pra ele se entregar no proprio MSN.
Engenharia social ta facil demais hoje em dia.
Talvez a essa altura você já tenha até entrado no seu MSN para verificar se sua pergunta secreta não tem risco de ser roubada dessa forma (porque assim como eu, não se lembrava qual era). Não se envergonhe se teve que mudá-la pois a culpa não é sua, é da Microsoft.
Consultei o livro Security and Usability que está na minha fila de leitura e encontrei um capítulo só sobre o assunto, escrito por Mike Just. Segundo o autor, este método de autenticação é bem inseguro em comparação com o método por senha, por isso deve ser usado em conjunto com outro método (mensagem para confirmação em email alternativo).
Uma pergunta secreta é mais fácil de lembrar do que uma senha porque ela está associada à experiências marcantes do passado, mas, em contrapartida, é mais fácil de descobrir. Na época em que criei meu MSN (eu tinha 14 anos), o sistema ainda permitia que o usuário criasse sua própria pergunta secreta, então coloquei a pergunta do ovo e da galinha, pensando que só eu seria capaz de dar uma resposta como aquela (o galo). Na verdade, com duas tentativas já era possível saber que a resposta não estava na pergunta, aí só sobrariam duas alternativas lógicas: o galo e o dinossauro (segundo a teoria da evolução, as aves evoluiram dos dinossauros).
Segurança, definitivamente, é uma questão que as pessoas não gostam muito de se preocupar. A gente sempre pensa que conosco nada de mau vai acontecer. Se eu dirijo bem, porque preciso de cinto-de-segurança? Se eu tranco bem a casa, porque precisaria de alarme? Se eu não disser minha senha pra ninguém porque precisaria criar uma senha difícil?
Os sistemas precisam ajudar as pessoas a ter mais segurança. A solução de perguntas fechadas com respostas abertas do MSN é boa, mas as perguntas escolhidas são fracas. Elas evocam lembranças que são compartilhadas com outras pessoas. Perguntas mais íntimas como "Quantos anos tinha quando deu seu primeiro beijo?" ou "Qual era o nome da sua primeira professora?" são praticamente impossíveis de serem descobertas.
A Microsoft decidiu fazer perguntas fáceis de descobrir porque elas são mais fáceis de lembrar. Assim, o usuário tem menos trabalho ao se registrar e fica mais satisfeito com o sistema. Através de um design que inspira confiança e uma redação tranquilizadora (que não menciona riscos), a Microsoft consegue criar uma sensação de segurança sobre o seu Passport que não corresponde à realidade. Investir em segurança percebida é bom, mas sacrificar demais a segurança real é perigoso. É preciso um balanço fino (e constante).
Não sou hacker nem cracker. Estou apenas fazendo uma crítica à Microsoft. Nunca roubei e nem pretendo roubar a senha de ninguém. Não me peça para fazer isso que eu não vou responder.
Fred van Amstel (fred@usabilidoido.com.br), 06.01.2006
Veja os coment?rios neste endere?o:
http://www.usabilidoido.com.br/como_invadir_o_msn_dos_outros.html