La contraseña es Fayleyure

En revisión: selección de contraseña para Yahoo! Correo, etc.





PokeKey1… ou812 $… twasbri11ig !. Todas eran mis contraseñas favoritas hace mucho tiempo. El primero es el nombre del cachorro que tuve brevemente cuando era niño. El segundo fue tomado descaradamente de la portada de un álbum de Van Halen. El tercero, como recordará, se abre Jabberwock y. Debo haber escrito cada uno cientos de veces.

Sigue el dinero

Esta historia fue parte de nuestro número de marzo de 2005

  • Ver el resto del número
  • Suscribir

Mirando hacia atrás, me siento como un idiota por creer que mis contraseñas ingeniosamente imposibles de adivinar mejoraron mi seguridad de alguna manera significativa. La protección con contraseña es omnipresente, molesta, inconveniente y hace poco para disuadir a cualquiera que intente hacer daño. Pero no puede obtener acceso legítimo a muchos servicios sin él.



El registro de Yahoo Mail, por ejemplo, ha recorrido un largo camino desde ser una invitación abierta a los spammers y spoofers. ¿Quién diría que sus recordatorios automáticos de ID / contraseña no son una bendición para los perezosos y afásicos entre nosotros? Pero la implacable dependencia de Yahoo de la protección con contraseña es un parche de seguridad que se siente más como un desafío para los malhechores que como un serio disuasivo. Y Yahoo Mail se encuentra entre los mejores en un lote bastante malo.

Los esquemas de autenticación de contraseñas actuales son poco más que placebos de seguridad. Inspiran perversamente el abuso, el mal uso y la travesura criminal al convertir deliberadamente a los usuarios en el eslabón más débil de la cadena de seguridad. El mayor poder de teleprocesamiento ha hecho que robar o descifrar secuencias de contraseñas sea cada vez más rápido, mejor y más barato. El gurú de la seguridad Mark Seiden observa que muchos ataques de piratería no tienen nada que ver con la seguridad de la contraseña de un objetivo, porque estos ataques se basan en el descubrimiento por fuerza bruta de secuencias alfanuméricas. Los malos realmente están atacando tu teclado, dice. Que los administradores del sistema de seguridad hagan que los usuarios salten repetidamente a través de aros digitales para defender la integridad de nuestras secuencias de cuatro a 12 caracteres se encuentra en algún lugar entre el insulto y la broma.

Si una empresa quisiera diseñar un sistema de seguridad que se burlara de todo lo que sabemos sobre el comportamiento humano, la psicología cognitiva y el análisis criptográfico, se le ocurriría nuestra babel de contraseñas actual basada en bits. Como ha observado el experto en autenticación Richard E. Smith, la conclusión lógica de la mayoría de las políticas de contraseñas seguras es que no utilice nombres de familiares o mascotas; no use cumpleaños o fechas del calendario; utilizar secuencias aleatorias de caracteres especiales; no use su contraseña para más de uno o dos sitios; cambie sus contraseñas varias veces al año; no ponga su (s) contraseña (s) en su PDA o teléfono celular - es que las contraseñas deberían ser imposibles de recordar y nunca deberían escribirse.



De alguna manera, los sistemas bancarios de cajeros automáticos del mundo han logrado arreglárselas con un mínimo de fraude durante más de 20 años confiando solo en códigos de cuatro dígitos. Entonces, ¿qué entienden los geeks bancarios sobre la gestión de contraseñas?

La respuesta obvia: cuanto más fuerte y complejo es el esquema de contraseñas, más perezoso y técnicamente incompetente es el administrador del sistema de seguridad. Como demuestra Smith en una serie de análisis minuciosos, el auge de la tecnología de rastreo de texto plano combinada con una potencia de procesamiento mejorada computacionalmente hace que la protección tradicional con contraseña sea cada vez más débil y frágil.

Entonces, ¿por qué exigimos que millones de personas dediquen cada vez más tiempo y memoria a un procedimiento de seguridad que genera cada vez menos protección? El mundo no necesita contraseñas mejores ni más seguras; necesita dejar las contraseñas y los PIN como medio de autenticación. Estaríamos mucho más seguros con enfoques de autenticación más estratificados (motores de sospecha en busca de comportamientos desviados) y formas más sutiles pero persistentes de rastrear y desafiar las identidades en línea.



La estupidez global de la mentalidad de la contraseña se destacó maravillosamente en una encuesta realizada el año pasado que encontró que el 70 por ciento de los encuestados dijeron que revelarían sus contraseñas de computadora para una barra de chocolate. Dulce. Un tercio de los encuestados ofreció voluntariamente sus contraseñas a los entrevistadores sin que se les ofreciera un soborno. Otra encuesta más descubrió que el 79 por ciento de las personas interrogadas en las calles de Londres revelaron datos tan deseables y sensibles a la seguridad como el apellido de soltera y la fecha de nacimiento de la madre. Estamos asombrados por el nivel de ignorancia de los consumidores sobre la necesidad de proteger su identidad en línea, olfateó un portavoz de RSA, la empresa pionera de encriptación que patrocinó la investigación.

De hecho, me sorprende la pereza de las empresas globales que hacen que sus usuarios sean los principales responsables de la seguridad e integridad de sistemas complejos. Si las contraseñas son tan importantes para la autenticación, la identidad y la seguridad en línea dentro de una década como lo son hoy, será la señal más clara posible de que el mundo virtual se ha convertido en un lugar aún más peligroso y volátil tanto para las transacciones como para las interacciones.

Michael Schrage es investigador y consultor sobre economía de las innovaciones y autor de Juego serio (2000).



esconder