Mi cuenta de Yahoo fue hackeada y estoy muy preocupada por el motivo. Dijeron que estaba más seguro después de eliminar mis preguntas de seguridad adicionales. ¿Es eso correcto?
Divulgación: trabajo para AgileBits, los creadores de 1Password, un administrador de contraseñas.
Las preguntas de seguridad son terribles. De hecho, casi todos los que estudian esto llaman a las preguntas sobre la inseguridad.
En primer lugar, las preguntas de seguridad son otra forma de ingresar a su cuenta. Pero comparemos sus propiedades de seguridad con contraseñas.
Las respuestas de seguridad no son secretas
El apellido de soltera de mi madre no es un secreto. Tampoco es la calle donde viví cuando era niño, ni tampoco muchas de las otras cosas que se preguntan de manera rutinaria. Claro, es posible que algunos de ellos no sean de conocimiento público, pero si tengo que usar el segundo nombre de mi padre, no quiero ser responsable de mantener ese secreto en el futuro.
Las preguntas de seguridad se almacenan sin cifrar
Las contraseñas tienen que coincidir exactamente porque generalmente están ocultas, pero los humanos consideran las preguntas de seguridad, por lo que si respondiera "walter" por el segundo nombre de mi padre (ver, ya no es un secreto), se me permitiría de nuevo con "Walter". Pero en términos de contraseñas casi no cuenta:
$ echo walter | shasum
95ea07881ac3ffe8602879232682052c3e93b6d8 -
$ echo Walter | shasum
f82f03f4a76873ff4ae41d6609b99f258a647b82 -
Y así, las preguntas de inseguridad se almacenan sin cifrar. Yahoo! hizo un buen trabajo con el uso de bcrypt para hash las contraseñas (lo que dificulta que las personas que robaron esos hashes adivinen contraseñas), pero los ladrones respondieron las preguntas de seguridad.
Esto también significa que las personas que administran el sistema también conocen sus preguntas y respuestas de seguridad. No solo los ladrones externos, sino también los internos, pueden aprender esto.
Las preguntas de inseguridad son incluso más propensas a ser reutilizadas que las contraseñas.
Las personas que se apoderaron de las preguntas de inseguridad (y las respuestas) ahora pueden usar esas respuestas para atacar su cuenta en otros sitios para los que usa esas respuestas. Si le asigna el segundo nombre de su padre como "walter" en un sitio, es probable que le dé la misma respuesta a la misma pregunta en otro.
Esto, por supuesto, se aplica a las contraseñas, por lo que debe usar una contraseña diferente para cada sitio y servicio. Si usó una contraseña lo suficientemente decente, entonces el uso de bcrypt por parte de Yahoo! Significará que muchas contraseñas razonablemente sólidas no se adivinarán. Así que los malos pueden no saber tu Yahoo! contraseña, pero sí saben sus respuestas de preguntas de seguridad. (Pero no utilice las cosas que le gustaría mantener en secreto para las preguntas de seguridad. Recuerde que en el mejor solo las personas que operan el servicio las verán.
Las preguntas de seguridad (respuestas) son menos variadas que las contraseñas.
Es probable que los nombres de las 100 mascotas más comunes sean más comunes que las 100 contraseñas más comunes.
Casi todos los problemas relacionados con las preguntas de seguridad enumeradas anteriormente son consecuencia de lo que están diseñados para hacer. Están diseñados para ser cosas que ya recuerdas (en lugar de una cosa nueva que tienes que recordar como una contraseña. Y recuerdas estas cosas porque son la verdad. Por lo tanto, las cosas verdaderas sobre ti tienen menos probabilidades de ser secretas y hay muchas Más formas de mentir que de decir la verdad. Por lo tanto, el problema inherente a las preguntas de inseguridad se desprende de su diseño.
Me citan en un un artículo reciente en WIRED que cubre estos y apunta a otros recursos también.
Por lo que recuerdo, todas las preguntas que estaban almacenadas en texto claro estaban siendo marcadas para ser eliminadas. Todo esto está relacionado con la información que acaban de publicar. Por lo tanto, en este caso (y en la mayoría de los casos), sí, es más seguro eliminarlos.
Bueno, en algunos casos, si está utilizando preguntas sencillas que la gente puede simplemente buscar en Google / saber sobre usted. Vaya con 2 Factor mucho mejor, también puede usar un generador de contraseñas para crear claves para las preguntas de seguridad. Espero que esto ayude.
Lea otras preguntas en las etiquetas passwords secret-questions