Bajo
el título de "Secretos, mentiras y
recuperación de cuentas" Google ha publicado un interesante
informe sobre la protección y recuperación
de contraseñas basada en preguntas de seguridad.
Las preguntas secretas siempre
han resultado un método polémico para la recuperación de contraseñas en caso de
olvido de la contraseña empleada habitualmente. Las clásicas preguntas del nombre
de tu mascota, la fecha
de nacimiento, o el nombre de la pareja nunca han parecido un método muy
seguro para proteger una contraseña. Son muchos los casos de famosos que han visto
sus datos al descubierto porque alguien obtuvo su contraseña a través de este
mecanismo.
La experiencia de los múltiples
casos en los que se ha evidenciado la in-seguridad de las preguntas de
recuperación de contraseñas debería ser un motivo para intentar buscar métodos
alternativos. Pero por vez primera, se examinan datos "del mundo real" en base al propio despliegue
en Google de preguntas de seguridad y cómo los usuarios recuerdan las
respuestas. El análisis realizado por Google confirma que en general las
preguntas secretas ofrecen un nivel de seguridad mucho más bajo que las
contraseñas elegidas por el usuario. Debería ser al revés. La respuesta a la pregunta secreta debería considerarse como otra contraseña
más, incluso más compleja que la principal si cabe.
Muchos usuarios tienden a pensar
que las preguntas de seguridad son fiables porque las respuestas son fáciles de
recordar, pero la investigación de Google demuestra que no suele ser así. No solo
debido a que las respuestas son olvidadas con frecuencia, sino que además son susceptibles
a otro tipo de ataques. Esto contribuye a la
evolución de la autenticación de doble factor y códigos de verificación basados
en SMS. Que se están afianzando como un método más rápido y más fiable de
recuperación de contraseñas y autenticación.
Incluso, se afirma que una causa
importante de esta inseguridad es que con frecuencia los usuarios no responden
con veracidad. Una encuesta realizada por la propia Google a los usuarios reveló
que una parte significativa de los usuarios (37%) admitió proporcionar
respuestas falsas. El motivo de esta medida es que sean "más difícil de adivinar", aunque lo
más sorprendente es que este comportamiento tiene el efecto contrario ya que la
gente "endurece" sus
respuestas de forma predecible.
Por el lado de la usabilidad, también
se muestra que en contra de lo que cabría pensar inicialmente las respuestas secretas tienen un porcentaje
de recuerdo bastante bajo, a pesar de la suposición de que la fiabilidad es
lo que motiva su despliegue. De
millones de intentos de recuperación de cuentas se observó una fracción
significativa de los usuarios (40% de usuarios de habla Inglés de EE.UU.) no pudo
recordar sus respuestas. Este
porcentaje es mucho más bajo que la tasa de éxito con mecanismos de
recuperación alternativos, como los códigos de restablecimiento por SMS (más de
80%).
Una de las conclusiones de Google
es que parece casi imposible encontrar preguntas secretas que sean a la vez
seguras y fáciles de recordar. Las preguntas secretas continuarán teniendo algún
uso si se combinan con otras fórmulas, pero no deberían emplearse de forma única. Un buen procedimiento debería
favorecer alternativas más fiables.
Más información:
Secrets, Lies, and Account Recovery:
Lessons from the Use of Personal Knowledge
Questions at Google
http://static.googleusercontent.com/media/research.google.com/es//pubs/archive/43783.pdf
una-al-dia (27/02/2005) La
pregunta secreta del caso "Paris Hilton"
http://unaaldia.hispasec.com/2005/02/la-pregunta-secreta-del-caso-hilton.html
una-al-dia (22/09/2008) Ataques
"magistrales" de "hackers" mediáticos
http://unaaldia.hispasec.com/2008/09/ataques-de-mediaticos.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
