Las preguntas de seguridad, menos seguras de lo que creemos
Las respuestas fáciles no son seguras y las respuestas difíciles no son utilizables, por lo que lo mejor es utilizar métodos como el código de seguridad.
Cualquier usuario medianamente veterano de servicios de webmail reconocerá sin dificultad preguntas del tipo: “¿Cuál era el nombre de su primera mascota?” o “¿Cuál es el apellido de soltera de tu madre?”. Las preguntas de seguridad son un medio para garantizar que sólo nosotros accedemos a nuestras cuentas, pero su seguridad y eficacia dejan muhco que desear según un estudio de Google.
Los resultados, recientemente presentados en la WWW 2015, concluyen que las preguntas secretas no son lo suficientemente seguras ni confiables como para ser utilizadas como un mecanismo de recuperación de cuenta independiente. Eso se debe a que tienen un defecto fundamental: sus respuestas son seguras o fáciles de recordar, pero casi nunca ambas cosas a la vez.
Es decir, si elegimos una pregunta con una respuesta fácil de recordar, como “¿Cuál es tu comida favorita?”, es bastante probable que la respuesta sea conocida o fácil de adivinar. Los investigadores de Google, que analizaron millones de preguntas y respuestas secretas utilizadas en solicitudes de recuperación de cuenta en Google, estimaron que con un hacker tendría un 19,7% de posibilidades de adivinar la respuesta a esta pregunta con una simple conjetura.
El otro riesgo es usar una respuesta tan difícil de responder que hasta el mismo usuario se vea incapaz de recordar la respuesta llegado el caso. El estudio afirma que el 40% de sus usuarios de habla inglesa en Estados Unidos no podía recordar las respuestas a sus preguntas secretas cuando las necesitaban.
Hay una solución para ello: responder a dos preguntas. La probabilidad de que un atacante pueda dar con ambas respuestas en 10 intentos es del 1%. Aunque los usuarios recuerdan ambas respuestas sólo el 59% de las veces. Acumular preguntas hace que sea más difícil para los usuarios recuperar sus cuentas, lo que tampoco lo convierte en una buena solución.
Así que si las respuestas fáciles no son seguras y las respuestas difíciles no son utilizables, lo mejor sería utilizar otros métodos de autenticación, como códigos de seguridad enviados a través de SMS o a direcciones de correo electrónico secundarias, para autenticarse y recuperar el acceso a la cuentas. Estos métodos son más seguros y ofrecen a la vez una mejor experiencia de usuario.