Desde que teníamos contraseñas y cuentas, siempre ha habido piratas informáticos tratando de conseguirlas. Más importante aún, las personas también han estado olvidando sus contraseñas. Para recuperarlos, el proveedor de la cuenta a menudo implementa una serie de preguntas a las que proporciona sus «respuestas secretas». Este sistema ha funcionado bien durante muchos años, pero está plagado de formas de facilitar el trabajo de los piratas informáticos. Aunque las respuestas son secretas, «kk per se», parece que en realidad estás sacrificando tu seguridad con la esperanza de que algún día este sacrificio te ayude a recuperar tu contraseña.
¿Qué hace que las preguntas de seguridad sean horribles en seguridad?
El 21 de mayo de 2015, Google publicó algunas investigaciones sobre todo el esquema de preguntas de seguridad. Aparentemente, «¿cuál era el nombre de tu primera mascota?» puede ser el eslabón más débil de su seguridad y puede llevar su cuenta a los piratas informáticos en bandeja de plata. Si bien puede crear contraseñas que son imposibles de adivinar, las preguntas de seguridad para la recuperación están diseñadas de tal manera que debería poder responderlas fácilmente. Esto funciona bien cuando usa respuestas oscuras que nadie más puede adivinar, pero terriblemente si su mascota (por ejemplo) tiene un nombre muy común como «Max» o «Spot». Si nombró a su perro «Ulysses» o «Peruggia», entonces podría tener una oportunidad, aunque no sea tan prometedora.
También puede elegir la opción B, que consiste en mentir sobre la respuesta a su pregunta (es decir, responder «Offram Klingmanstein III» cuando se le pregunte cuál era el apellido de soltera de su madre). El problema con esto es que terminas con otra cosa que debes recordar. Recordar las respuestas sobre las que mintió es tan difícil como recordar la contraseña que olvidó en primer lugar. Esto no es una solución sino una carga adicional.
¿Qué debería reemplazar estas preguntas?
Además de los problemas de seguridad que presentan las preguntas, solo se suman a la confusión para aquellos que no pueden recordar la ciudad en la que nacieron o los nombres de su primera mascota (sucede). Las personas que te conocen bien también pueden acceder fácilmente a tus cuentas con este método. Con suerte, ya hemos llegado a la conclusión de que algo debe reemplazar el método de «respuesta secreta». Afortunadamente, hay muchos buenos candidatos para los reemplazos, uno de los mejores es la autenticación de dos factores.
El método de «respuesta secreta» se inventó antes de que las personas tuvieran teléfonos celulares que pudieran abrir mensajes SMS. En este punto de la historia, prácticamente todos los que tienen acceso a Internet tienen un teléfono celular. De 7 mil millones de personas, hay aproximadamente 6,8 mil millones de teléfonos. Google ha adoptado un nuevo método de autenticación que consiste en enviar una contraseña de un solo uso a través de SMS para su recuperación. Para aquellos que no tienen teléfonos, podrían usar un correo electrónico de respaldo, ya sea de una persona de confianza o uno que ellos mismos usen para la recuperación. Este método hace que sea muy difícil “adivinar” el camino a una cuenta sin el teléfono del usuario.
Al utilizar la autenticación de dos factores, resuelve dos cosas al mismo tiempo:
- Minimiza el riesgo de que una persona no recuerde su «respuesta» ya que el código SMS único se entrega al usuario cuando lo solicita, y
- Crea un método de recuperación que es casi irrompible ya que el hacker necesitaría tener acceso a un objeto físico que es propiedad del usuario.
¿Se te ocurre algo más para reemplazar el método de respuesta secreta? ¡Deja tus pensamientos en un comentario a continuación!
Danos tu opinión