Google acaba de publicar una investigación que reafirma lo que ya se sospechaba sobre la cuestionable seguridad de la protección de contraseña por medio de preguntas.
Nos gusta creer que las preguntas de seguridad son efectivas y confiables porque las respuestas son fáciles de recordar, pero las investigaciones muestran que esto no es así.
No sólo se olvidan frecuentemente las respuestas, sino que son susceptibles a ataques simplemente por medio de adivinarlas. Estas razones contribuyen a la evolución de la autenticación de dos-pasos y la verificación de códigos basados en mensajes SMS para una más confiable recuperación y autenticación de contraseñas.
El 40% de los usuarios que hablan inglés, simplemente olvidan las respuestas a las preguntas; mientras que la recuperación de contraseñas por medio de SMS tiene un éxito del 80%. En contraste, las preguntas de seguridad con las respuestas más fáciles de recordar, también son las menos seguras. La respuesta no es hacer preguntas más difíciles de adivinar y por lo tanto más difíciles de recordar, sino utilizar los métodos alternativos de recuperación como las llamadas telefónicas y los mensajes de texto.
De acuerdo a la investigación de Google, un atacante tiene casi el 20% de oportunidad de adivinar la respuesta en inglés a «¿Cuál es tu comida favorita?» al primer intento. Y el problema se extiende también más allá del idioma inglés. Un atacante tiene casi el 40% de oportunidad de adivinar la respuesta en idioma Coreano a las preguntas «¿Cuál es tu ciudad de nacimiento?» o su comida favorita, en los 10 primeros intentos. Sin embargo, en general sólo el 6.9% de los atacantes pueden adivinar el lugar de nacimiento en 10 intentos.
Google aconseja no tratar de falsificar una respuesta. El proveer respuestas falsas de hecho hace más fácil que un atacante pueda adivinarlas. Cuando los sitios Web utilizan múltiples preguntas de seguridad, hace más difícil a los hackers obtener acceso, pero también eleva el nivel de dificultad a sus usuarios, haciendo menos ideal la solución de seguridad.
