Anuncio

Cuando nos registramos en un nuevo servicio en línea, siempre se nos pide que creemos una contraseña. Esto asegura inmediatamente la nueva cuenta. Si eres sensato, eliges una cadena larga y completamente aleatoria, o deje que una aplicación de administración de contraseñas haga el trabajo La guía completa para simplificar y asegurar su vida con LastPass y XmarksSi bien la nube significa que puede acceder fácilmente a su información importante donde quiera que esté, también significa que tiene muchas contraseñas para realizar un seguimiento. Por eso se creó LastPass. Lee mas para ti. Luego en la secuencia vienen las preguntas de seguridad.

Estas preguntas generalmente solicitan el apellido de soltera de su madre, el nombre de su escuela primaria, el nombre de su primera mascota, etc. Diseñadas para mantener nuestras cuentas a salvo de posibles piratas informáticos, las preguntas de seguridad deberían actuar como una línea de defensa adicional.

¿Cómo respondes esas preguntas? ¿Dices la verdad, toda la verdad y nada más que la verdad? Desafortunadamente, su veracidad podría estar creando una grieta inesperada en su armadura en línea. Veamos exactamente cómo

instagram viewer
debería estar respondiendo esas preguntas

Una barrera protectora

Las sugerencias de contraseña son sin duda útiles. Se mostrará una sugerencia útil si olvida su contraseña de Windows. Y esto es después de un solo intento fallido. En el caso de la contraseña de Windows, su sugerencia debería actualizar su memoria. Te recuerda usar una pista que has seleccionado, para que puedas ser tan críptico o abierto como te sientas.

Las preguntas de seguridad son diferentes. Regularmente enfrentamos las combinaciones de preguntas familiares que mencioné anteriormente, y de buena gana proporcionamos respuestas precisas. Las preguntas de seguridad se presentan como una línea de defensa adicional. Sin embargo, debe considerar la relativa facilidad de obtener algunas de las respuestas en la sociedad ultra conectada de hoy.

Investigadores de seguridad regularmente se burlan de las preguntas de seguridad como mediocres Cómo crear una pregunta de seguridad que nadie más pueda adivinarEn las últimas semanas he escrito mucho sobre cómo hacer que las cuentas en línea sean recuperables. Una opción de seguridad típica es configurar una pregunta de seguridad. Si bien esto potencialmente proporciona una manera rápida y fácil de ... Lee mas . ¿Podemos tener fe en una medida de seguridad cuyas respuestas se puedan descubrir tan fácilmente?

¿Lo estoy haciendo mal?

Los atacantes aprovechan las preguntas fáciles Cómo detectar y evitar 10 de las técnicas de piratería más insidiosasLos piratas informáticos se están volviendo más furtivos y muchas de sus técnicas y ataques a menudo pasan desapercibidos incluso para usuarios experimentados. Aquí hay 10 de las técnicas de piratería más insidiosas para evitar. Lee mas - colores, apellidos de soltera, primeras mascotas - porque son fácilmente obtenible a través de cuentas de redes sociales Cómo protegerse de estos 8 ataques de ingeniería social¿Qué técnicas de ingeniería social usaría un hacker y cómo te protegerías de ellas? Echemos un vistazo a algunos de los métodos de ataque más comunes. Lee mas . Para empeorar las cosas, si su cuenta utiliza preguntas y respuestas extremadamente específicas, un atacante puede eliminar otras contraseñas potenciales.

Por ejemplo, si la pregunta de seguridad era "¿Dónde compró su primer automóvil?" el atacante puede ignorar inmediatamente otras respuestas más fáciles.

Estoy seguro de que ya ha presentado la solución obvia a este problema de seguridad. Si el atacante está buscando una respuesta que se relacione directamente con usted, ¿por qué no usar algo completamente diferente?

  • ¿Cuál es el apellido de soltera de tu madre? fa1c0npunc4
  • ¿Dónde conociste a tu esposa? b1cycl3tyr3
  • ¿Cuál era el nombre de tu primera mascota? n0str0d4mu5

De acuerdo, son ejemplos terribles, pero me entiendes. Si la respuesta es a) oscura yb) usa caracteres aleatorios, inmediatamente establecer la barra de seguridad de sus cuentas un poco más alta ¿Has tomado estos 5 primeros pasos para proteger tus cuentas en línea?Es sorprendente la cantidad de personas que ignoran estos conceptos básicos para protegerse en línea. Estos cinco sitios web y herramientas hacen que la seguridad en línea sea una tarea más fácil. Lee mas .

¿Y eso me hará seguro?

Más seguro, amigo, pero no del todo seguro.

Ya ves, en 2015, Google publicado Un documento interesante que explora las lecciones que han aprendido sobre cuestiones de seguridad. Utilizando su conjunto de datos casi inigualable para analizar las preguntas secretas dadas por su monumental base de usuarios, trataron de comprender cuán efectiva es esta capa de seguridad adicional.

Fragmento infográfico de preguntas secretas de Google
Credito de imagen: Blog de Google

Nuestro análisis confirma que las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Resulta ser incluso más bajo que los proxies como lo indicaría la distribución real de apellidos en la población.

Sorprendentemente, descubrimos que una causa importante de esta inseguridad es que los usuarios a menudo no responden con sinceridad. Una encuesta de usuarios que realizamos reveló que una fracción significativa de usuarios (37%) que admitieron haber proporcionado respuestas falsas lo hicieron en un intento de hacerlos "más difíciles de adivinar" aunque en conjunto este comportamiento tuvo el efecto contrario ya que las personas "endurecen" sus respuestas de una manera predecible.

Gráfico de respuestas incorrectas de Google Security Answers
Credito de imagen: Investigar en Google

¿Por qué tratamos de mentir, pero luego lo hacemos tan mal? Como puede ver en el cuadro anterior, la mayoría de los encuestados proporciona respuestas falsas con la creencia de que aumentará su seguridad. Entonces podemos suponer que el público en general (aunque sea una pequeña instantánea de una enorme base de datos) comprende que las preguntas de seguridad pueden y serán utilizadas en su contra.

El equipo de investigación de Google finalmente concluye que las preguntas de seguridad son algo seguras o fáciles de recordar, pero la combinación de oro es rara de encontrar. Por lo tanto, "aunque Google prefiere la recuperación de SMS y correo electrónico, ningún mecanismo es perfecto".

Un excelente ejemplo

Desafortunadamente, Google se negó a ofrecer el tamaño real de la base de datos utilizada para el estudio. Sin embargo, confirmaron que "los datos considerados contienen cientos de millones de puntos de datos y cada uno la pregunta analizada tuvo más de 1 millón de respuestas ". Cifras sustanciales, considerando su estimación usuario base.

En 2016, United Airlines lanzó su nuevo esquema de seguridad actualizado para las cuentas de sus clientes. El antiguo sistema que se basaba en PIN de 4 dígitos se consideró acertadamente inadecuado para cuentas que potencialmente contenían cientos de miles de dólares de millas de viajero frecuente. El sistema actualizado requiere que los usuarios ingresen una contraseña única, así como que respondan cinco preguntas de seguridad personal.

Suena bien, ¿verdad? Excepto que United Airlines le pide a sus clientes que elijan una contraseña segura y única y que respondan sus preguntas utilizando un conjunto predeterminado de respuestas. Así es: respuestas predeterminadas. Por ejemplo, si elige la pregunta "¿En qué mes es el cumpleaños de su mejor amigo", sus posibles atacantes tienen, lo adivinaron, apenas doce respuestas para luchar. Tiempos difíciles.

Razón unida de que "la mayoría de los problemas de seguridad que enfrentan nuestros clientes pueden atribuirse a virus informáticos que registran la escritura, y el uso de respuestas predefinidas protege contra este tipo de intrusión".

Investigador de seguridad Brian Krebs habló directamente al director de inteligencia de seguridad informática de United Airlines, Benjamin Vaughn. Vaughn dijo que la compañía "estaba aleatorizando las preguntas para confundir los programas de bot que buscan automatizar envío de respuestas, y que las preguntas de seguridad respondidas erróneamente serían "bloqueadas" y no formuladas de nuevo."

"Las preguntas de seguridad son la forma menos segura de asegurar cualquier cosa". Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19 de octubre de 2016

Además de esto, Vaughn confirmó a Krebs que múltiples intentos fallidos resultarían en una cuenta bloqueada. En consecuencia, el usuario debe comunicarse directamente con United Airlines para desbloquear su cuenta.

Sabiduría Convencional

United Airlines identificó una vulnerabilidad de seguridad, pero su respuesta no resolvió por completo el problema. Como hemos visto, la única forma verdaderamente segura de responder una pregunta de seguridad es, al igual que una contraseña, proporcionando algo verdaderamente único y aleatorio. Esto con la esperanza de que los piratas informáticos potenciales se sientan frustrados por la complejidad y pasen a la siguiente cuenta.

El hallazgo de que el público en general sufre fatiga de seguridad es importante porque tiene implicaciones en el lugar de trabajo y en la vida cotidiana de las personas. Es fundamental porque muchas personas realizan operaciones bancarias en línea, y dado que la atención médica y otra información valiosa se está trasladando a Internet.

Si las personas no pueden usar la seguridad, no lo harán, y entonces nosotros y nuestra nación no estaremos seguros.

- Psicólogo cognitivo y Fatiga de seguridad coautor, Brian Stanton

Por desgracia, la fatiga de seguridad es un problema muy real. Los usuarios están cada vez más cansados. Las infracciones de seguridad y los restablecimientos forzados de contraseñas ahora son tan comunes que muchos usuarios simplemente ignoran las alertas. Esta fatiga conduce a comportamientos de riesgo para el usuario tanto en el hogar como en el lugar de trabajo. Te sugerimos:

  • AutomatizarTome el control de su seguridad y automatice escaneos, copias de seguridad No pagues - ¡Cómo vencer al ransomware!Imagínese si alguien apareciera en su puerta y dijera: "Oye, hay ratones en tu casa que no sabías. Danos $ 100 y nos desharemos de ellos. "Este es el Ransomware ... Lee mas y más.
  • Gestión de contraseñasSoluciones de gestión de contraseñas disponibles en LastPass Domine sus contraseñas para siempre con el desafío de seguridad de LastpassPasamos tanto tiempo en línea, con tantas cuentas, que recordar contraseñas puede ser realmente difícil. ¿Preocupado por los riesgos? Descubra cómo usar el Desafío de seguridad de LastPass para mejorar su higiene de seguridad. Lee mas o KeyPass, y ambos se ocupan de sus preguntas de seguridad también.
  • Tomar posesión - La seguridad de sus datos es su responsabilidad. Tenemos grandes expectativas de las instituciones que mantienen nuestros datos, y con razón. Dicho esto, si no impone fuertes medidas de seguridad en el hogar, compartirá parte de la culpa.

Hemos escrito extensamente sobre cómo superar la fatiga de seguridad 3 maneras de vencer la fatiga de seguridad y mantenerse seguro en líneaLa fatiga de la seguridad, un cansancio para lidiar con la seguridad en línea, es real y está haciendo que muchas personas estén menos seguras. Aquí hay tres cosas que puede hacer para vencer la fatiga de seguridad y mantenerse a salvo. Lee mas . ¡Dale una lectura y recupera el control de tus preguntas de seguridad!

¿Cómo responde a sus preguntas de seguridad? ¿Has dado en el clavo? ¿O usas una aplicación de administración de contraseñas? ¡Háganos saber sus consejos de preguntas de seguridad a continuación!

Gavin es escritor sénior de MUO. También es editor y gerente de SEO del sitio hermano de MakeUseOf, centrado en el cifrado, Blocks Decoded. Tiene una Licenciatura en Escritura Contemporánea (Hons) con Prácticas de Arte Digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Le gustan las grandes cantidades de té.