¿Son sus 'preguntas secretas' demasiado fáciles de contestar?

La experiencia de Brian Green con preguntas no tan secretas comenzó cuando inició sesión en su cuenta de World of Warcraft en marzo de este año y encontró a todos sus personajes en ropa interior. Alguien había robado la cuenta y vendido todo su equipo virtual.





Mi primer pensamiento fue que podría tener un keylogger en mi computadora, escribió Green en una descripción del evento. Sin embargo, su propia investigación sobre el incidente, y la capacidad del atacante para cambiar las contraseñas de su cuenta varias veces, llevaron a Green, que es él mismo un diseñador de juegos, a una conclusión diferente: Mi 'pregunta secreta' tiene una respuesta demasiado común ... Esto no fue algo que consideré cuando lo llené hace mucho tiempo.

El incidente tiene similitudes con el caso de alto perfil que involucra a la gobernadora de Alaska y ex candidata a la vicepresidencia Sarah Palin. En septiembre de 2008, los piratas informáticos utilizaron el nombre del lugar donde se conocieron Palin y su esposo para obtener acceso a su cuenta de correo electrónico de Yahoo a través del mecanismo de recuperación de contraseña de preguntas secretas.

Palin y Green no están solos. En investigación que se presentará en el Simposio de IEEE sobre seguridad y privacidad esta semana, investigadores de Microsoft y la Universidad Carnegie Mellon planean mostrar que las preguntas secretas que se utilizan para proteger las funciones de restablecimiento de contraseña de una variedad de sitios web son lamentablemente inseguras. En un estudio que involucró a 130 personas, los investigadores encontraron que el 28 por ciento de las personas que conocían y en las que confiaban los participantes del estudio podían adivinar las respuestas correctas a las preguntas secretas de los participantes. Incluso las personas en las que el participante no confiaba todavía tenían un 17 por ciento de posibilidades de adivinar la respuesta correcta a una pregunta secreta.



Las preguntas secretas por sí solas no son tan seguras como nos gustaría que fuera nuestra autenticación de respaldo, dice Stuart Schechter, investigador del gigante del software Microsoft y uno de los autores del artículo. Tampoco son lo suficientemente confiables como para que su uso por sí solo sea suficiente para garantizar que los usuarios puedan recuperar sus cuentas cuando olvidan sus contraseñas.

Las preguntas menos seguras son las simples cuyas respuestas se pueden adivinar sin un conocimiento existente del tema, dicen los investigadores. Por ejemplo, las respuestas a las preguntas ¿Cuál es tu ciudad favorita? y ¿Cuál es tu equipo deportivo favorito? fueron relativamente fáciles de adivinar para los participantes. En total, el 30 por ciento y el 57 por ciento de las respuestas correctas, respectivamente, aparecieron en la lista de las cinco primeras conjeturas.

Pero las respuestas que requieren solo un poco de conocimiento personal para adivinar también deben considerarse inseguras, advierten los investigadores. De las personas en las que los participantes no confiarían su contraseña, el 45 por ciento aún podría responder una pregunta sobre dónde nacieron, y el 40 por ciento pudo dar correctamente el nombre de su mascota, encontraron los investigadores.



Los esquemas de autenticación de respaldo deben tener dos características importantes, dice Schechter. Deben ser confiables, permitiendo que un usuario legítimo recupere el acceso a su cuenta, y deben ser seguras, evitando que usuarios no autorizados obtengan acceso.

El estudio encontró que las preguntas secretas se quedan cortas en ambas cuentas. Incluso para las preguntas más memorables, las de Yahoo, como resultó, los participantes olvidaron el 16 por ciento de las respuestas en un plazo de tres a seis meses. En general, una de cada cinco personas olvidó todas las respuestas a sus preguntas secretas, encontraron los investigadores.

La gente tiende a subestimar la probabilidad de que olviden alguna técnica inteligente o una respuesta simplista, dice Schechter.



Durante la mayor parte de una década, el experto en seguridad Bruce Schneier ha criticado las preguntas secretas por su vulnerabilidad a los ataques. En 2005, escribió Schneier, me gusta pensar que si olvido mi contraseña, debería ser muy difícil acceder a mi cuenta. Quiero que sea tan difícil que un atacante no pueda hacerlo.

Sin embargo, las empresas enfocadas en reducir los costos de servicio al cliente han introducido una puerta trasera en las cuentas de las personas que es más fácil de eludir que intentar adivinar la contraseña, dice. La cosa extraña de seguridad que se está haciendo es que hay un sistema de respaldo para restablecer su contraseña que es menos seguro que el sistema que está destinado a admitir, dice Schneier.

Schechter está de acuerdo en que los investigadores tendrán que encontrar un mecanismo completamente diferente para la autenticación de respaldo; las preguntas secretas no son suficientes. Con el tiempo, nos gustaría que estas preguntas desaparecieran, dice. Desafortunadamente, dado que no encontramos muchas preguntas que fueran concluyentemente buenas, es difícil recomendar simplemente cambiar las preguntas.



Schechter recomienda no elegir preguntas que puedan tener respuestas comunes. Schneier va más allá y dice que con frecuencia escribe una respuesta aleatoria; si necesita recuperar una contraseña, dice, llamará a la empresa.

Green, cuya pregunta secreta fue el nombre de su escuela secundaria, planea usar un correo electrónico más seguro en el futuro. Y eso puede significar renunciar a la recuperación de la contraseña. Ser capaz de restablecer mi contraseña en el sitio es ingenioso si olvido mi contraseña, pero apesta si alguien más logra averiguar cómo hacerlo sin mi permiso, dice.

esconder