¿Son eficaces las preguntas de seguridad de los servicios de Internet?
- Seguridad
Google cuestiona la utilidad de las preguntas que la mayoría de los servicios de Internet utiliza para permitir a un usuario acceder a su cuenta en caso de que haya olvidado su contraseña.
¿Cuál fue el nombre de tu primera mascota? ¿Cuál es tu comida favorita? ¿Cuál es el nombre de tu madre? Estas preguntas, aparentemente aleatorias, son una medida de seguridad utilizada por la mayoría de los servicios de Internet y tienen la misión de ayudar a los usuarios a acceder a sus cuentas cuando han olvidado su contraseña.
En el blog de Google, Elie Bursztein, Anti-Abuse Research Lead, e Ilan Caron, Software Engineer, cuestionan la seguridad de las mismas destacando que “a menudo, las respuestas fáciles contienen información conocida o de dominio público o se encuentran en un conjunto reducido de posibles contestaciones por motivos culturales”.
Un estudio realizado por ambos directivos asegura que con un único intento, un hacker podría tener un 19,7% de probabilidades de averiguar la respuesta de un usuario de habla inglesa a la pregunta ¿Cuál es tu comida favorita?; con diez intentos, podría tener casi un 24% de probabilidades de averiguar la respuesta de un usuario de habla árabe a la pregunta ¿Cuál es el nombre de tu primer profesor?; podría tener casi un 21% de probabilidades de averiguar la respuesta de un usuario de habla hispana a la pregunta, ¿Cuál el segundo nombre de tu padre?; y podría tener un 39% de probabilidades de averiguar la respuesta de un usuario de habla coreana a la pregunta ¿cuál es tu ciudad de nacimiento? y un 43% de posibilidades de averiguar su comida favorita.
El informe también revela que muchos usuarios distintos proporcionan también respuestas idénticas a las preguntas secretas que se espera que sean muy seguras, ya que el 37% de las personas ofrece de forma intencionada una respuesta falsa a las preguntas realizadas. Esto se debe a que se cree que así es más difícil que se averigüen. “Sin embargo, esto puede ser contraproducente, porque los individuos suelen elegir las mimas respuestas falsas, incrementando así la posibilidad de que un atacante acceda a la cuenta”.
Por otro lado, las preguntas difíciles tampoco son útiles ya que no suele ser fácil recordar la respuesta. El informe de Google revela que el 40% de los usuarios de Estados Unidos de habla inglesa no pudo recordar las respuestas a sus preguntas secretas cuando las necesitaron. “Estos mismos usuarios pudieron recordar los códigos de reinicio enviados a través de mensajes SMS más del 80% de las veces y los enviados por email cerca del 75% de las veces”.
Ante estos resultados, se podría pensar que es mejor incorporar más de una pregunta. Sin embargo, los directivos creen que “la incorporación de más preguntas tiene también su precio, ya que reduce considerablemente la posibilidad de que los usuarios recuperen sus cuentas”. Cuando se tiene que responder a dos preguntas, la probabilidad de que un atacante pueda averiguar ambas respuestas en diez intentos es del 1%, pero los usuarios recordarían ambas respuestas solo el 59% de las veces.
