Tus “preguntas secretas”... ¿son fáciles de adivinar?

|

Brian Green experimentó en si mismo las consecuencias de usar preguntas no tan secretas cuando, el pasado mes de marzo, accedió a su cuenta de World of Warcraft y vio que todos sus personajes estaban en ropa interior.


Alguien le había robado la cuenta y había vendido todo el equipamiento virtual de los personajes.

“Lo primero que pensé es que tenía instalado en mi ordenador un programa para capturar claves,” escribió Green al describir el suceso.

Sin embargo, la investigación que él mismo emprendió—y la capacidad del atacante para cambiar las palabras claves de su cuenta varias veces—hicieron que Green, que a su vez es programador de videojuegos, llegara a una conclusión distinta.

“Mi ‘pregunta secreta’ tiene una respuesta demasiado común. ... Esto es algo en lo que no pensé cuando elegí el tipo de pregunta por primera vez.”


Este incidente se parece al caso de alto nivel ocurrido entre la gobernadora de Alaska y ex-candidata a vice-presidenta Sarah Palin. En septiembre de 2008, unos hackers utilizaron el nombre del lugar donde Palin y su marido se conocieron para poder acceder a su cuenta de correo electrónico de Yahoo, utilizando el mecanismo de recuperación de claves basado en la “pregunta secreta.”Palin y Green no están solos en todo esto.
En un estudio que se presentará en el Simposio sobre Seguridad y Privacidad IEEE esta semana, grupos de investigadores de Microsoft y la Universidad Carnegie Melon tienen previsto demostrar que las preguntas secretas utilizadas para asegurar los mecanismos de reinicialización de claves de acceso son muy inseguras.
Durante un estudio en el que participaron 130 personas, los investigadores descubrieron que un 28 por ciento de la gente que conocían a los participantes y en las que los participantes confiaban, pudieron averiguar correctamente las respuestas a las preguntas secretas de los participantes. Incluso aquellos que no poseían la confianza de los participantes lograron descifrar un 17 por ciento de las respuestas a este tipo de preguntas.
“Las preguntas secretas de por sí no son tan seguras como lo debería ser el procedimiento de apoyo de autenticación,” afirma Stuart Schechter, investigador que trabaja para el gigante del software Microsoft, así como uno de los autores del estudio.
“No se puede confiar en ellas exclusivamente para asegurarse de que los usuarios puedan recuperar sus cuentas cuando se olvidan de las claves de acceso.
”Según los investigadores, las preguntas menos seguras son aquellas que se pueden adivinar sin tener conocimientos acerca del sujeto.
Por ejemplo, las respuestas a preguntas como “¿Cuál es tu ciudad favorita?” y “¿Cuál es tu equipo favorito?” fueron relativamente fáciles de adivinar. Respectivamente, un 30 por ciento y un 57 por ciento de las respuestas correctas aparecieron en la lista de las 5 preguntas más adivinadas.Sin embargo, los investigadores advierten que aquellas respuestas para las que se necesita saber datos personales del sujeto tampoco se pueden considerar seguras.
De las personas en las que los participantes no confiarían para darles sus claves de acceso, un 45 por ciento fue capaz de responder preguntas acerca del lugar de nacimiento, y un 40 por ciento pudo averiguar correctamente el nombre de la mascota, según informan los investigadores.Los esquemas de apoyo de autenticación deberían tener dos características importantes, afirma Schechter.
Deberían ser fiables, permitiendo que los usuarios legítimos tengan acceso a su cuenta, y deberían ser seguros, previniendo el acceso no autorizado de otros usuarios.
A través de este estudio se descubrió que las preguntas secretas se quedan cortas en ambos sentidos. Incluso con aquellas preguntas más fáciles de recordar—las de Yahoo, casualmente—los participantes olvidaron las respuestas en un 16 por ciento de los casos a los tres o seis meses.
En general, los investigadores descubrieron que una de cada cinco personas olvidó todas las respuestas a sus preguntas secretas.

Fuente: Technology Review

ARTICULOS ANTERIORES:

 

©2010 Genera tu Ingreso | Diseño de Luis Santos *Cel.: (809) 517-1725 * Para:Genera tu Ingreso *San Fco. de Macorís, Rep. Dom.