En el mundo ideal, todo el mundo usa verificación en dos pasos. Pero, para la mayoría de los usuarios, la forma más usual para recuperar una contraseña olvidada sigue siendo una pregunta de seguridad. Cuando crean una cuenta en un servicio digital, los usuarios a menudo deben elegir una pregunta personal que deberán responder en caso de que olviden su clave. A menudo, la respuesta es el nombre de una mascota, un primer número de teléfono o alguna información familiar, como el nombre de tu abuelo. Pero un estudio de Google cuestiona seriamente su utilidad: cuando son demasiado fáciles, no son seguras. Y cuando no lo son tanto, no son usables.
Una pregunta fácil, como ‘cuál es tu comida favorita’ o ‘cuál es el segundo nombre de tu papá’ puede ser adivinada una cantidad bastante alta de veces, por lo que no son muy seguras: un atacante tiene una posibilidad significativa de ‘abrir’ una cuenta introduciendo la respuesta correcta.
Cuando tiene un intento, un atacante puede adivinar la comida favorita de un usuario estadounidense que hable inglés el 19,7% de las veces. Y cuando tienen 10 intentos –una práctica que tienen algunos servicios web dada la mala memoria de sus usuarios–, un atacante coreano puede adivinar la comida favorita de un usuario el 43% de las veces, o uno español puede acertar el segundo nombre del padre el 21% de las veces.
O son fáciles, o son seguras
El otro lado son las preguntas rebuscadas, que tienen el mérito de ser casi imposibles para los atacantes pero, también, son bastante difíciles para los usuarios. Cuando se les pregunta por el número de su tarjeta de biblioteca, solo el 20% puede recordarla. Y cuando se trata del número de tarjeta de viajero frecuente, solo el 9% logran responder con éxito.
Algunos usuarios, para facilitarse la vida, ponen la misma respuesta en todas las preguntas. Esta práctica, que según Google es realizada por el 37% de las personas, disminuye su seguridad y aumenta la posibilidad de que sean adivinadas.
El problema, más allá de esto, es que las preguntas tienen una de las dos fortalezas, “pero pocas veces las dos” –según Google–. Por eso, la empresa concluye que “las preguntas no son lo suficientemente seguras ni confiables como para ser usadas como un mecanismo único de seguridad”, y sugiere usarlas en conjunto con otras medidas, como verificación por correo electrónico o SMS.
Imagen: Lightspring (vía Shutterstock)
y las respuestas normalmente las pulican los mismos usuarios en las redes sociales. así le entraron a la cuenta a sarah palin (las respuestas estaban en wikipedia) y así le entraron ala cuenta de apple de un periodista (a través de amazon, donde estaban las últimas cifras de la tarjeta, lo cual era la pregunta de apple), y muchas otras
y las respuestas normalmente las pulican los mismos usuarios en las redes sociales. así le entraron a la cuenta a sarah palin (las respuestas estaban en wikipedia) y así le entraron ala cuenta de apple de un periodista (a través de amazon, donde estaban las últimas cifras de la tarjeta, lo cual era la pregunta de apple), y muchas otras