Doğum yerinizi ve annenizin kızlık soyadını herhalde kolay kolay unutmazsınız. Peki ya ilk öğretmeninizin ya da çocukken oturduğunuz sokağın adını? Bunlar, birçok web sitesinde parolanızı unuttuğunuz zaman hesabınızı kurtarmak için sorular. Ekstra bir güvenlik önlemi olarak düşünülmüş olsalar da Google’ın yaptığı bir araştırma tersini söylüyor: “Güvenlik sorusu” yöntemi hem güvensiz hem de tutarsız.
Yüz milyonlarca kullanıcının oturum açma davranışlarını analiz eden araştırma ekibi, kullanıcıların yaklaşık %40’ının kendi yanıtlarını hatırlayamadığını görmüş. İlk başta inanması güç gelebilir. Doğum yerini kim unutur ki? Ama bir daha düşününce asıl sorunu siz de tahmin edeceksiniz: Pek çok kullanıcı kurnazlık edip, hacker’ları kandırmak için gerçek yanıt yerine tahmin edilmesi zor bir yanıt giriyor. Tabii kimliklerini kanıtlamak için soruya doğru yanıt vermeleri gerektiği zaman “doğru” yanıtı çoktan unutmuş oluyorlar.
Hacker korkusu, web sitelerini de daha karmaşık sorular sormaya zorluyor. Elbette bu soruların yanıtlarını hatırlamak da bir o kadar zor. Google, kullanıcıların sadece %76’sının “Babanızın göbek adı nedir?” sorusunu yanıtlayabildiğini fark etmiş. Bu bilgi, internette biraz araştırmayla veya babaya bir şekilde ulaşarak hacker tarafından temin edilebilir. “İlk telefon numaranız neydi?” sorusunda doğru yanıt oranı %55’e düşüyor ama hacker’ların bu sorunun doğru yanıtına ulaşması çok daha zor. Sorular daha kişisel hale geldikçe yanıtların tahmin edilmesi zorlaşıyor, ama doğru yanıtı hatırlamak da zorlaşıyor. Örneğin kullanıcıların sadece %22’si kütüphane kartı bilgilerini ve sadece %9’u hava yolları tarafından verilen “sık uçan yolcu” numarasını hatırlayabilmiş.
Zaman içinde değişmeyen yanıtları hatırlamak daha kolay. Doğum yeriniz hiç değişmiyor ama en sevdiğiniz televizyon programı ve en sevdiğiniz tatil yöresi veya en sevdiğiniz yemek değişebilir. Google, en sevdiği yemeği üç ay sonra doğru hatırlayanların %55 olduğunu söylüyor. Üstelik en sevdiğiniz yemeği hatırlasanız bile hacker’lar sizden önce “hatırlayabilir”. Araştırmaya göre İngilizce konuşan kullanıcıların en sevdiği yemek “pizza”. Hacker’ların bunu tek denemede tahmin etme ihtimali %19,7. Ayrıca birçok kullanıcı, tıpkı her yerde aynı parolayı kullandığı gibi, güvenlik sorularını da her zaman aynı yanıtı veriyor. O yüzden hacker’lar tıpkı parola kırarken yaptıkları gibi güvenlik soruları için de “toplu tahmin saldırısı” düzenleyebilir. Sonuca ulaşmak sandığınızdan daha kolay: 2009’da yapılan bir denemede araştırmacılar, en çok kullanılan yanıtları deneyerek güvenlik sorularının %10’unu aşmayı başardı.
İşte bu yüzden Google’ın çözümü, hiçbir zaman sadece güvenlik sorularına güvenmemek. Çünkü Google’a göre “hem güvenli hem de akılda kalıcı gizli sorular bulmak neredeyse olanaksız”. Google, kimliğinizi e-posta veya kısa mesaj yoluyla doğrulamazsa güvenlik sorunuzu yalnızca son çare olarak soruyor. O yüzden siz en iyisi myaccount.google.com adresine hemen girin, “Kişisel bilgiler” bağlantısına tıklayın, telefon numaranızın ve yedek e-posta adresinizin kayıtlı olduğunu kontrol edin.
Merak ediyorsanız Google’ın hazırladığı 9 sayfalık raporun tamamını okuyabilirsiniz (İngilizce).