Las preguntas secretas de seguridad no preservan las contraseñas
Un estudio revela la ineficacia de las preguntas a las que el usuario debe responder en muchos servicios de Internet para que el sistema le recuerde su password olvidada.
Responder a una “pregunta secreta” como mecanismo de seguridad antes de establecer una nueva contraseña o recuperar una olvidada. Ésta es la opción que muchos servicios en Internet, en especial las cuentas de correo electrónico gratuitas, ofrecen a los usuarios. Sin embargo, en la mayoría de los casos, las respuestas a estas preguntas son tan fácilmente adivinables por aquellas personas que conocen al propietario de la cuenta, según un nuevo estudio. Y en otros casos, los amigos de lo ajeno pueden lograr su propósito suponiendo cuáles serían las respuestas a esas preguntas, tal y como le sucedió a Sarah Palin, candidata republicana a la vicepresidencia de Estados Unidos, cuando perdió el control de su cuenta en Yahoo.
El estudio se ha elaborado en función de las preguntas que plantean Yahoo, Google, Microsoft y AOL. En una de las pruebas realizadas, los investigadores juntaron a dos personas en la que el propietario de la cuenta aseguraba que no confiaría a la otra persona su contraseña. Sin embargo, si esta persona intentaba responder a la pregunta secreta del propietario de la cuenta, el 17 por ciento de las veces respondía con éxito.
Si se juntaba a dos personas de confianza, en el 28 por ciento de las veces una persona era capaz de responder correctamente a la cuestión formulada en Hotmail para su amigo. Incluso cuando la pregunta la elige y escribe el usuario (un sistema que ahora emplea Google), un completo extraño podría averiguar la respuesta en 15 de cada 100 casos, teniendo en cuenta, además, que sólo se permitían cinco intentos por persona.
Parte del problema es que las preguntas son muy sencillas, lo que incrementa las posibilidades de acertar la respuesta. Por si fuera poco, muchos usuarios olvidan sus propias respuestas y en menos de seis meses.
Por eso, una de las posibles soluciones que plantean es que se tengan que responder a varias preguntas cuando se intente verificar a un usuario, de manera que también se tenga más probabilidad de penalizar y frenar los intentos de suplantación de identidad.
