Por qué la autocorrección de contraseñas es una gran idea

La mayoría de nosotros, en un momento u otro, hemos tenido que volver a ingresar una contraseña porque la escribimos mal. Tal vez incluso te hayan bloqueado una cuenta después de demasiados errores tipográficos.





Una nueva investigación muestra que esas frustraciones podrían evitarse usando el mismo enfoque que se usa para corregir errores tipográficos en mensajes de texto y documentos: autocorrección.

Los investigadores analizaron los inicios de sesión en el servicio de almacenamiento de datos Dropbox para demostrar que permitir que las personas ingresen incluso cuando se equivocan en algunos caracteres puede reducir los dolores de cabeza sin dañar significativamente la seguridad.

Esto es, en nuestra opinión, un gran problema, dice ari juels , profesor del Instituto Jacobs Technion-Cornell en Cornell Tech, en la ciudad de Nueva York. Los sitios web deberían cambiar sus políticas de contraseñas para facilitar la vida de los usuarios. La degradación de la seguridad es bastante pequeña.



A primera vista, dejar que las contraseñas con errores tipográficos desbloqueen una cuenta suena como una mala idea. Después de todo, un atacante que intente adivinar su contraseña no necesitaría hacerlo exactamente bien. Facebook ha sido criticado por permitir que las personas inicien sesión incluso cuando se equivocan en el primer carácter de su contraseña, o si accidentalmente tienen el bloqueo de mayúsculas activado.

Pero Jules y sus colaboradores de Cornell Tech, MIT y Dropbox dicen que la idea no es peligrosa si se implementa de una manera que tenga en cuenta cómo las personas eligen las contraseñas y los errores tipográficos que cometen. su papel fue presentado en el Simposio IEEE sobre Seguridad y Privacidad la semana pasada.

Recopilaron datos sobre errores tipográficos analizando 24 horas de inicios de sesión en Dropbox, que tiene cientos de millones de usuarios. Casi el 10 por ciento de los intentos de inicio de sesión que fallaron lo hicieron debido a un puñado de errores tipográficos fácilmente corregibles, como dejar el bloqueo de mayúsculas. Alrededor del 3 por ciento de los usuarios que no ingresaron a sus cuentas podrían haberlo hecho si la autocorrección hubiera cubierto los tres errores tipográficos más comunes: dejar el bloqueo de mayúsculas activado, usar el caso incorrecto para el primer carácter o eliminar el último carácter.



La comparación de esos datos con los patrones de contraseñas revelados por violaciones de datos, como los 32 millones filtrados de la compañía de juegos sociales RockYou, sugiere que corregir esos errores comunes no le da a un atacante que intenta adivinar contraseñas una gran ventaja. En la mayoría de los casos, las conjeturas gratuitas creadas al aceptar errores tipográficos no valen mucho. Los atacantes usan listas de contraseñas para probar contraseñas comunes primero, y aplicar correcciones de errores tipográficos a esas contraseñas generalmente crea basura, no otra contraseña común.

Sin embargo, aceptar errores tipográficos comunes podría ayudar a un atacante a obtener algunas contraseñas. Por ejemplo, si su contraseña es 12345 y un atacante adivina 123456, podría ingresar. Para protegerse contra tales casos, Juels y sus colaboradores crearon dos verificadores de contraseña tolerantes a errores tipográficos que no aceptarán errores tipográficos para ciertas contraseñas donde podría ser riesgoso, basado en información de listas de contraseñas filtradas.

Esos verificadores se probaron en escenarios que simulaban lo que sucedería si un atacante tuviera 1000 intentos para adivinar la contraseña de una cuenta (poco probable en la práctica, ya que las empresas limitan los inicios de sesión incorrectos). El atacante nunca consiguió una ventaja superior al 0,2 por ciento. Los investigadores dicen que esto sugiere que los beneficios para las personas que intentan acceder a sus cuentas deberían superar las posibles desventajas de aceptar errores tipográficos.



En algunos casos, prácticamente no vemos degradación de la seguridad al aplicar algunas correcciones, dice Juels. Esperamos que este documento cambie la práctica de la industria.

esconder