Cualquier usuario medianamente veterano de servicios de webmail reconocerá sin dificultad preguntas del tipo: “¿Cuál era el nombre de su primera mascota?” o “¿Cuál es el apellido de soltera de tu madre?”. Las preguntas de seguridad son un medio para garantizar que sólo nosotros accedemos a nuestras cuentas, pero su seguridad y eficacia dejan muhco que desear según un estudio de Google.
Los resultados, recientemente presentados en la WWW 2015, concluyen que las preguntas secretas no son lo suficientemente seguras ni confiables como para ser utilizadas como un mecanismo de recuperación de cuenta independiente. Eso se debe a que tienen un defecto fundamental: sus respuestas son seguras o fáciles de recordar, pero casi nunca ambas cosas a la vez.
Es decir, si elegimos una pregunta con una respuesta fácil de recordar, como “¿Cuál es tu comida favorita?”, es bastante probable que la respuesta sea conocida o fácil de adivinar. Los investigadores de Google, que analizaron millones de preguntas y respuestas secretas utilizadas en solicitudes de recuperación de cuenta en Google, estimaron que con un hacker tendría un 19,7% de posibilidades de adivinar la respuesta a esta pregunta con una simple conjetura.
El otro riesgo es usar una respuesta tan difícil de responder que hasta el mismo usuario se vea incapaz de recordar la respuesta llegado el caso. El estudio afirma que el 40% de sus usuarios de habla inglesa en Estados Unidos no podía recordar las respuestas a sus preguntas secretas cuando las necesitaban.
Hay una solución para ello: responder a dos preguntas. La probabilidad de que un atacante pueda dar con ambas respuestas en 10 intentos es del 1%. Aunque los usuarios recuerdan ambas respuestas sólo el 59% de las veces. Acumular preguntas hace que sea más difícil para los usuarios recuperar sus cuentas, lo que tampoco lo convierte en una buena solución.
Así que si las respuestas fáciles no son seguras y las respuestas difíciles no son utilizables, lo mejor sería utilizar otros métodos de autenticación, como códigos de seguridad enviados a través de SMS o a direcciones de correo electrónico secundarias, para autenticarse y recuperar el acceso a la cuentas. Estos métodos son más seguros y ofrecen a la vez una mejor experiencia de usuario.
Cisco Talos apunta a las credenciales comprometidas de cuentas válidas como acceso inicial más común.
Data Cloud, Service Cloud, Sales Cloud, Industry Clouds, Tableau, MuleSoft, Platform, Signature Success, Slack y…
AVXpress, que funciona con los puntos de acceso de la compañía, integra tecnología de reconocimiento…
La iniciativa Value Generation busca acelerar los proyectos de innovación, convirtiendo a clientes de IBM…
Sus ingresos recurrentes crecen un 26 % y sus ingresos netos lo hacen un 16…
Durante el Huawei IDI Forum 2024, el fabricante muestra el potencial de su línea de…
