¿Por qué no se han superado las contraseñas cognitivas?


Hace unas semanas, Apple decidió mejorar la seguridad de las contraseñas de sus Apple ID. Me obligaron a cambiar mi contraseña por una más robusta, y a introducir un correo de apoyo. Pero también me hicieron preguntas para poder recuperarla en caso de olvido. Estas preguntas, llamadas contraseñas cognitivas, son una muy mala idea y deja entrever por qué algunos servicios están descolgados en seguridad.





Parecían desterradas entre los grandes de la Red, pero no. Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son "¿Cuál es el apellido de soltera de tu madre?", "¿Cómo se llama tu mascota?"... y tonterías parecidas. Sirven para "demostrar que eres tú" quien solicita un cambio de contraseña o una nueva. Este método siempre ha sido mala idea, pero hoy por hoy lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o el culo de Scarlett) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad.

Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de correo. Otros servicios web (Twitter, Facebook, etc), pueden enviar un recordatorio de la contraseña al email con el que se registra el usuario, así que no las necesitan. Pero precisamente, una cuenta de email es el último eslabón de la cadena. Recordemos que antiguamente, cuando los usuarios solían tener una sola cuenta (su primer email), ¿a qué correo se envía un recordatorio de la contraseña de tu email?... No se podía usar "otra cuenta", sino que había que demostrar que se era uno mismo con las preguntas "personales". Esa era la única razón para su existencia. Hoy en día este método está en desuso por varias razones:

Mucha gente dispone de más de una cuenta de correo, que pueden usarse como alternativas entre sí.

Se está sustituyendo por un mensaje al móvil, tecnología ubicua, comprobada y útil.

Las contraseñas cognitivas no dejan de ser eso: contraseñas. Además son fácilmente deducibles a través del punto más débil de la seguridad... la ingeniería social.

En un mundo de exhibicionistas en la red, es una muy mala idea. Las preguntas (veremos algunos ejemplos) son simplemente absurdas. Nadie considera que el nombre de su equipo de fútbol o su película favorita sea un dato que deba ocultar. Y los servicios que hacen estas preguntas deben atenerse a este tipo de cuestiones "inocentes"... no van a demandar datos complejos, sensibles o que indaguen de forma más profunda en la personalidad del usuario. Como mucho, podrían permitir que el usuario redacte sus propias preguntas... pero eso podría tener: en el mejor de los casos el mismo efecto que una contraseña; y en el peor, ser una pregunta aún más sencilla que las prefabricadas. Esta vía de autenticación no tiene remedio.

Más capas de "no seguridad", no añaden seguridad

Volviendo al ejemplo de AppleID, nos encontramos que realiza tres preguntas prefabricadas, y que pide la respuesta de dos de ellas para poder realizar cambios en la configuración de nuestra cuenta. Las preguntas se eligieron en el móvil.

Por añadir más preguntas al proceso, no se está añadiendo seguridad. Al igual que más capas de un cifrado reversible no pueden mejorar un cifrado real, más preguntas de las que pueden averiguarse la respuesta no sustituyen a una buena contraseña. Estos métodos podían tener sentido en una Internet de finales de los 90, donde sus usuarios solían ser más recelosos y se escondían detrás de un nick que jamás introducía sus datos reales en una web. Hoy, cuando una buena parte de los usuarios desvelan sus datos personales, fotos y cualquier otra información que se les solicite cualquier página (entre otras cosas, porque las preguntas sobre gustos y familiares no se consideran habitualmente "datos personales"), las respuestas a estas preguntas están al alcance de cualquiera.

Por ejemplo, la pregunta que muestra AppleID "¿Cuál es el trabajo de tus sueños?", es una cuestión típica en una entrevista de trabajo, o un comentario inocente en un foro de debate, o un hashtag peregrino en Twitter... Para mantener oculto ese dato, habría que mentir en la respuesta, y recordar cómo y en qué se ha mentido. Para eso, es mejor usar otras contraseñas directamente.

Más información en:

http://unaaldia.hispasec.com/

Fuente:
Sergio de los Santos
hispasec.com
Twitter: @ssantosv



Otras noticias de interés:

Qué es Crimeware?
Crimeware es un tipo de software o programa informático que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos on-line. El término fue creado por Peter Cassidy, Secretario General del Anti-Phishing Working Grou...
Google advertirá a usuarios al recibir ataques de sus gobiernos
Tras Stuxnet y más recientemente Flame, Google está dispuesta a combatir todos aquellos ciberataques que tengan relación con los gobiernos. Lo hará a través de un mensaje claro de advertencia a sus usuarios cada vez que crea que se está intenta...
#Nokia, #Apple y #Google niegan Carrier IQ
El escándalo por el espionaje de usuarios de smartphones a través del programa Carrier IQ continúa, mientras las compañías sigue negando la mayor, los principales fabricantes tratan de desligarse de este software....
Vulnerabilidad en varios productos de IBM
IBM ha informado de que algunos de sus productos son vulnerables a un ataque tipo hijack, basado en la captura de la sesión de usuarios legítimos. El problema ha sido detectado a raíz de la publicación en Internet de un documento que analiza y ...
La RAM, un insospechado Talón de Aquiles en la encriptación de las computadoras
Un equipo de expertos procedentes de ámbitos distintos, el académico, el de la industria, y el de los consultores independientes, ha comprobado la existencia de una vulnerabilidad que permite una nueva clase de ataques contra los ordenadores....
Día Internacional de la Seguridad Informática
Hoy es el día internacional de la seguridad informática, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuario...
Alemania usa software de espionaje de la NSA
Los servicios secretos alemanes emplean software desarrollado por la Agencia de Seguridad Nacional (NSA) estadounidense, el organismo acusado de orquestar un sistema de espionaje masivo a escala mundial....
Ataque a las vulnerabilidades de Windows
Investigadores de seguridad detectaron al menos tres exploits activos, para vulnerabilidades que Microsoft corrigió en julio de 2006 con sus últimos parches. Dos de estos exploits fueron clasificados como críticos por la compañía....
Nuevo Timeline de Facebook, una bendición para los cibercriminales
El nuevo Timeline de Facebook o La historia de tu vida, hará que sea más sencillo para los criminales entrar en las redes sociales para conseguir información personal que pueden utilizar para lanzar ataques de ingeniería social y robar contraseñ...
Próximo paso, el crimen informático como servicio
Según reporta la empresa de seguridad Finjan, el crimen informático como servicio (CaaS por las siglas en inglés deCrimeware-as-a-Service), es un problema cada vez mayor, y lo peor es que la capacidad de aplicación de la ley para realizar un ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • cognitivas
  • computer
  • contrasenas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • han
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • superado
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra