Hace unas semanas, Apple decidió «mejorar» la seguridad de las contraseñas de sus Apple ID. Me obligaron a cambiar mi contraseña por una más robusta, y a introducir un correo de «apoyo«. Pero también me hicieron preguntas para poder recuperarla en caso de olvido. Estas preguntas, llamadas «contraseñas cognitivas«, son una muy mala idea y deja entrever por qué algunos servicios están descolgados en seguridad.
Parecían desterradas entre los grandes de la Red, pero no. Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son «¿Cuál es el apellido de soltera de tu madre?«, «¿Cómo se llama tu mascota?«… y tonterías parecidas. Sirven para «demostrar que eres tú» quien solicita un cambio de contraseña o una nueva. Este método siempre ha sido mala idea, pero hoy por hoy lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o el culo de Scarlett) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad.
Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de correo. Otros servicios web (Twitter, Facebook, etc), pueden enviar un recordatorio de la contraseña al email con el que se registra el usuario, así que no las necesitan. Pero precisamente, una cuenta de email es el último eslabón de la cadena. Recordemos que antiguamente, cuando los usuarios solían tener una sola cuenta (su primer email), ¿a qué correo se envía un recordatorio de la contraseña de tu email?… No se podía usar «otra cuenta«, sino que había que demostrar que se era uno mismo con las preguntas «personales«. Esa era la única razón para su existencia. Hoy en día este método está en desuso por varias razones:
-
Mucha gente dispone de más de una cuenta de correo, que pueden usarse como alternativas entre sí.
-
Se está sustituyendo por un mensaje al móvil, tecnología ubicua, comprobada y útil.
-
Las contraseñas cognitivas no dejan de ser eso: contraseñas. Además son fácilmente deducibles a través del punto más débil de la seguridad… la ingeniería social.
- En un mundo de exhibicionistas en la red, es una muy mala idea. Las preguntas (veremos algunos ejemplos) son simplemente absurdas. Nadie considera que el nombre de su equipo de fútbol o su película favorita sea un dato que deba ocultar. Y los servicios que hacen estas preguntas deben atenerse a este tipo de cuestiones «inocentes«… no van a demandar datos complejos, sensibles o que indaguen de forma más profunda en la personalidad del usuario. Como mucho, podrían permitir que el usuario redacte sus propias preguntas… pero eso podría tener: en el mejor de los casos el mismo efecto que una contraseña; y en el peor, ser una pregunta aún más sencilla que las prefabricadas. Esta vía de autenticación no tiene remedio.
Más capas de «no seguridad«, no añaden seguridad
Volviendo al ejemplo de AppleID, nos encontramos que realiza tres preguntas prefabricadas, y que pide la respuesta de dos de ellas para poder realizar cambios en la configuración de nuestra cuenta. Las preguntas se eligieron en el móvil. Son las típicas.
Por ejemplo hemos encontrado undocumento de 1990 donde se habla de las contraseñas cognitivas y básicamente se plantean las mismas preguntas de siempre.
Por añadir más preguntas al proceso, no se está añadiendo seguridad. Al igual que más capas de un cifrado reversible no pueden mejorar un cifrado real, más preguntas de las que pueden averiguarse la respuesta no sustituyen a una buena contraseña. Estos métodos podían tener sentido en una Internet de finales de los 90, donde sus usuarios solían ser más recelosos y se escondían detrás de un nick que jamás introducía sus datos reales en una web. Hoy, cuando una buena parte de los usuarios desvelan sus datos personales, fotos y cualquier otra información que se les solicite cualquier página (entre otras cosas, porque las preguntas sobre gustos y familiares no se consideran habitualmente «datos personales«), las respuestas a estas preguntas están al alcance de cualquiera.
Por ejemplo, la pregunta que muestra AppleID «¿Cuál es el trabajo de tus sueños?«, es una cuestión típica en una entrevista de trabajo, o un comentario inocente en un foro de debate, o un hashtag peregrino en Twitter… Para mantener oculto ese dato, habría que mentir en la respuesta, y recordar cómo y en qué se ha mentido. Para eso, es mejor usar otras contraseñas directamente.
¿Cómo hacerlo, entonces?
Las contraseñas cognitivas son el pasado de la web, y deberían eliminarse. Veamos algunos métodos que usan los grandes en la red. Gmail no hace preguntas personales:
Hotmail y Outlook, ofrecen el móvil como método para recuperar contraseñas por defecto, pero también permiten que sea sustituido por preguntas personales (las de siempre).
Yahoo.es, solo permite preguntas predeterminadas (o elegir una propia) y un email alternativo opcional. Y además, por el tipo de preguntas entre las que opta el usuario, abre la puerta del correo a toda la familia.
El método de Gmail es el más adecuado. El email personal actúa como llave maestra de buena parte de nuestra vida en la Red y bien merece una doble autenticación por móvil obligatoria. Si un usuario abre una cuenta en Yahoo.es, y se registra en diferentes servicios web, ¿es consciente de que, si es sincero, el acceso a todos ellos (su privacidad), depende de que alguien pueda saber el nombre de los componentes de su familia (además de otro dato sencillo de averiguar?) ¿Dejas el acceso al AppleID en manos de alguien que sepa el nombre de tu primer jefe y cómo se llamaba el mejor amigo de tu adolescencia? ¿No son datos que, como mínimo, conoce tu entorno más cercano? ¿Por qué no se han superado ya las contraseñas cognitivas?
¿Soluciones?
Por definición, no es sensato supeditar el acceso a información privada al conocimiento de una serie de datos que no lo son.
La solución es mentir si nos obligan a usar esas contraseñas cognitivas, empleando cadenas aleatorias a modo de contraseñas que, junto con la real del servicio, serán almacenadas en un buen gestor de contraseñas (sabiendo que, si almacenas bien la real, ni siquiera se necesitarán las cognitivas).
Más información:
A comparison of password techniques for multilevel authentication mechanisms
El culo de Scarlett y el eslabón más débil (I)
Sergio de los Santos
Twitter: @ssantosv
+1
«Nadie considera que el nombre de su equipo de fútbol o su película favorita sea un dato que deba ocultar.», por lo tanto, no debe usarse como substituto de una contraseña.
«Más capas de «no seguridad», no añaden seguridad»: Sarah Palin sabe los peligros de esta «no seguridad», por las malas.
«buena parte de los usuarios desvelan sus datos personales», y otros usuarios desvelan _tus_ datos personales.
Una cadena es tan fuerte como su eslavón más débil. Si se puede recuperar la contraseña sabiendo el nombre de tu mascota, ¡el nombre de tu mascota equivale a tu contraseña!
Estoy totalmente de acuerdo con el artículo. Hoy en día el mejor método de recuperación de contraseña o doble factor de autenticación es el envío de mensajes de confirmación al movil. Pero se hace imprescindible en el proceso de autenticación y de contraseña olvidada añadir un sello de tiempo, y también el servicio de mensajería debe ser muy ágil, enviando los SMS en un brevísimo espacio de tiempo.
Las preguntas de seguridad no están mal vistas siempre que se elijan de la manera adecuada. Incluso hay una chuleta del OWASP con recomendaciones:
https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet
https://www.owasp.org/index.php/Choosing_and_Using_Security_Questions_Cheat_Sheet
http://goodsecurityquestions.com/
Si las preguntas son adecuadas y no las elige el usuario pueden aportar algo de valor.
Habría que ver las características locales (en EEUU hay mucha más movilidad y eso hace que alguna de la información sea más difícil de conseguir).
Al final, para servicios masivos, no puedes tener un 'helpdesk' que atienda casos personales y necesitas medidas de este estilo.
Casualmente hoy me he dado de alta en la banca online del Santander y me ha hecho unas cuantas preguntas de este tipo, como ¿cuál es tu tercer apellido?. Visto el perfil del usuario de internet que utiliza banca online, veo más que probable que se hagan ataques utilizando esta vía.
Totalmente de acuerdo con el artículo, sin embargo no es del todo preciso cuando analiza la seguridad de las cuentas de google. Si eres usuario de google accede a la configuración de tu cuenta, a la parte de seguridad, y finalmente a las opciones de recuperación de la cuenta.
(account->security->account recovery options) Directamente puedes seguir el enlace:
https://accounts.google.com/b/0/UpdateAccountRecoveryOptions?service=oz
Además de un correo alternativo, y un número de teléfono móvil, aparece la fatídica pregunta de seguridad, que al menos uno puede definir pregunta y respuesta.
Saludos