¿Por qué el nombre de soltera de mamá todavía se usa como una pregunta de seguridad?

162

De vez en cuando, algunos sitios web solicitan ingresar una pregunta de seguridad y una respuesta. La lista de preguntas es estándar y generalmente incluye "¿Cuál es el apellido de soltera de su madre?".

Algunas personas usan el apellido de soltera real de su madre para asegurarse de que pueden recordar qué deben proporcionar cuando se les pregunta (por ejemplo, como parte del proceso para recuperar la cuenta). Esto significa que esta información es fija durante un período de tiempo muy largo. Si sucede que alguna aplicación web es pirateada y dicha respuesta está asociada con una dirección de correo electrónico (o, lo que es peor, con información de identificación personal), puede crear una vulnerabilidad para otras aplicaciones web.

Además, el apellido de soltera de la madre podría compartirse en el espacio público.

Asumiendo los problemas anteriores con esta pregunta de seguridad (o cualquier otra pregunta de seguridad que se base en una constante en la vida de uno):

¿Por qué el nombre de soltera de mamá todavía se usa como una pregunta de seguridad?

    
pregunta Alexei 16.05.2018 - 16:19
fuente

8 respuestas

229

Porque las personas son perezosas y / o incompetentes. Y, bueno, ya sabes, Internet está lleno de chimpancés .

Yo diría que todas las preguntas de seguridad son malas, pero usar el apellido de soltera de la madre es excepcionalmente malo:

  • Al menos en Suecia, puedo averiguar el nombre de soltera de cualquier persona simplemente con una simple llamada a la oficina de impuestos. Es literalmente información pública.
  • Es 2018, y es bastante común que las parejas adopten el nombre de la novia cuando se casen. El apellido de soltera de tu madre es tu apellido. Genial.
  • Luis Casillas agrega correctamente:

      

    Hay docenas de países, con miles de millones de habitantes entre ellos, donde las mujeres no cambian su nombre legal cuando se casan. Los Estados Unidos, en particular, tienen enormes minorías inmigrantes de personas de tales países.

En serio, no hay excusas para esto. Es simplemente malo.

    
respondido por el Anders 16.05.2018 - 16:30
fuente
27

Las "preguntas de seguridad" pueden ser la única solución para un problema difícil. Usted tiene un cliente, ha perdido su contraseña (y su acceso al correo electrónico) y a ambos les gustaría recuperarlos.

Puede que no sea proporcional hacer que realicen una verificación en persona en sus oficinas o con un notario, lo que realmente sería la única solución totalmente segura (hacer coincidir la identificación del gobierno con su apariencia / biométrica).

Creo que los bancos (como por ejemplo) que utilizan este tipo de verificación tienen estadísticas bastante buenas sobre la prevalencia de todo tipo de fraude y conocerán los riesgos y beneficios (p. ej., diga que mi banco necesita identificarme cuando viajo al extranjero , no pueden y me pierden un cliente junto con decenas de miles en ganancias de por vida, mientras que permiten el uso fraudulento de una tarjeta y pierden decenas de miles directamente, pero saben que solo el 5% de las transacciones marcadas son en realidad fraudulentas). / p>     

respondido por el Rich 18.05.2018 - 03:27
fuente
26

Letargo y / o inercia

Más seriamente, las instituciones confiaban en que esta información era esencialmente secreta durante algunas décadas. La edad de la violación masiva de datos publicitados es muy reciente.

La mayoría de las organizaciones reaccionan lentamente al cambio.

Tan simple como

    
respondido por el ste-fu 16.05.2018 - 16:30
fuente
24

Suposiciones falsas.

Las preguntas de seguridad, al igual que los requisitos de contraseña "complejos", están arraigadas en lo que se llama la mejor práctica, pero en realidad no lo está. Al igual que una tradición oral, muchas de estas prácticas se transmiten de una persona de seguridad a otra, y rara vez se cuestionan (siempre que se cuestionan, a menudo resultan falsas).

Las preguntas de seguridad es una de estas cosas. A alguien se le ocurrió una idea razonable, y muy pronto se desarrolló una lista bastante estándar de tales preguntas, y desde entonces todos han copiado básicamente desde allí, sin preguntar.

Así que sí, tienes razón, esta y casi todas las demás "preguntas de seguridad" son un peligro y, por lo general, mucho más fácil de descifrar que incluso una contraseña débil (por ejemplo, cualquier cosa que no esté en la lista de los 20 principales).

    
respondido por el Tom 17.05.2018 - 10:15
fuente
11

Usabilidad sobre seguridad, por desgracia

Los bancos quieren estar seguros, pero se enfrentan a una clientela para la cual la usabilidad es obligatoria .

Esta clientela no está hecha de nuestros compañeros. Incluye a aquellos que temen a "the gub'mint", personas mayores que no entienden el cambio y se resisten a él, discapacitados mentales que tardaron años en aprender este sistema y simplemente no pueden procesar otro esquema, por no hablar de miembros del personal por ejemplo alguien que actúe con un poder notarial para una herencia o persona discapacitada. Cualquier sistema que diseñes debe ser accesible para todas esas personas, a menos que quieras tener niveles de acceso. Estamos atascados con el mínimo común denominador, o convoying a la velocidad de la nave más lenta.

Dinero sobre seguridad: Cambio de responsabilidad

El sistema bancario se basa en trust mucho más de lo que cualquiera quisiera admitir. El fraude está contenido por un personal de seguridad muy activo, que no tiene que superar al oso . Si la seguridad bancaria es simplemente lo suficientemente buena como para que los atacantes cambien a un medio más fácil de ganar dinero, el banco gana. Ese criminal que hubiera estado atacando el banco, en lugar de eso amenaza con ser un agente del IRS y consigue un jubilado voluntariamente en Western Union para salvar sus vidas. Ese jubilado no puede volver al banco y exigir que se le devuelva su dinero, por lo que el banco está a salvo.

Este tipo de "cambio de responsabilidad" es una parte importante de la estrategia del banco. Todo lo que hagan va a desviar la responsabilidad del banco. No tienen ningún incentivo para instalar un sistema más fuerte que, en su defecto, crea más responsabilidad para el banco.

    
respondido por el Harper 20.05.2018 - 23:03
fuente
3

Las "preguntas de seguridad" en general son una idea increíblemente estúpida.

Cada vez que crea una contraseña, es un consejo de rutina decir que no debe usar información personal para obtener una contraseña, como el lugar al que asistió a la escuela secundaria o su color favorito o el automóvil que maneja, porque un hacker intenta romper en su cuenta podría ser capaz de descubrir o adivinar estas cosas. En su lugar, debes usar una cadena de letras y dígitos sin sentido, que sería imposible que cualquiera pueda adivinar.

Pero ... entendemos que las cadenas de letras y dígitos sin sentido son difíciles de recordar. Así que vamos a crear preguntas de seguridad, que funcionan de manera efectiva como contraseñas alternativas, y para éstas usaremos algo fácil de recordar, como el lugar al que asistió a la escuela secundaria o su color favorito o el automóvil que fabrica. Porque mientras un pirata informático podría intentar adivinar este tipo de información personal para obtener una contraseña, en un millón de años nunca se le ocurriría a un pirata informático intentar adivinar la respuesta a una pregunta de seguridad.

Al menos si usaste información personal para una contraseña, el hacker no sabría si usaste tu escuela secundaria, tu color favorito o la marca de un auto. Pero con preguntas de seguridad, le diremos cuál es.

Si alguien te conoce, muchas preguntas de seguridad serían fáciles de encontrar o adivinar. Tal vez se mudó aquí de otra ciudad, pero existe una gran posibilidad de que creciera donde vive ahora, por lo que suponer que las escuelas secundarias de la zona tendrían una buena oportunidad de obtener un éxito. Él podría saber qué modelo de coche conduces. Si no, no hay tantas marcas diferentes de autos. Si le pregunta a las personas cuál es su color favorito, la mayoría de las personas nombrarán una de una docena más o menos. (Bueno, la mayoría de los hombres, de todos modos. Las mujeres tienden a saber los nombres de muchos más colores que los hombres).

¡Un sistema en el que acabo de crear una cuenta recientemente limitó sus preguntas de seguridad a cosas con un número bastante pequeño de posibilidades, y luego proporcioné menús desplegables para cada uno de ellos! ¡Así que cuéntale al hacker, aquí están las 20 contraseñas posibles a las que se le permitió a alguien elegir! He visto sistemas que me hacen elegir una contraseña que tiene al menos 8 caracteres porque si escribo 6 o 7, eso es solo unos pocos miles de millones de posibilidades, y un pirata informático podría obtenerla con un ataque de fuerza bruta. Pero entonces tengamos una contraseña alternativa donde listemos las 20 opciones. Eso evita que el pirata informático tenga que preocuparse de que se produzca un error de mayúsculas o errores de ortografía.

    
respondido por el Jay 22.05.2018 - 00:08
fuente
3

La respuesta es la misma: por qué tenemos bloqueos simples en la vida real, que es tan fácil de bloquear o romper.

Siempre es bueno dejar que el usuario seleccione su nivel de seguridad.

Apuesto a que la contraseña para lanzar bombas nucleares no pudo ser recuperada por el apellido de soltera de la madre. Pero el usuario típico tiene 2-3, quizás 10 cuentas realmente importantes. Y cientos de otras cuentas. P.ej. Cuenta en tienda electrónica online. Realmente no me importa si alguien lo hackeará y sabrá lo que compré en 2011. No me importa la cuenta en un foro de bricolaje donde una vez pedí un par de consejos.

Para muchas de estas cuentas, las personas necesitan "bloqueos simples". Contraseñas simples (como '123456'), no es necesario cambiarlas a menudo y es una forma fácil de recuperarlas. Usabilidad sobre la seguridad. Y eso no es 'tristemente', así es como debe ser, si el usuario desea más facilidad de uso y seguridad.

    
respondido por el yaroslaff 22.05.2018 - 01:38
fuente
2

El propósito de la pregunta de seguridad es la validez a largo plazo. Necesitas recordarlo cuando olvidaste / perdiste la contraseña. Es por eso que una información inherente que usted no puede perder fácilmente encaja bien. Esto significa que el primer supuesto de la pregunta no encaja.

En cuanto a la segunda parte, podría obtener o ya ser de conocimiento público: a) Dichas preguntas de seguridad suelen ser (si se hacen correctamente) una opción, no necesariamente las necesita, y puede elegir una de muchas. Es decisión del usuario decidir qué tan bien se conoce públicamente cada uno en su contexto (en particular, si es probable que un atacante sepa su nombre normal en la etapa en la que se debe responder a la pregunta de seguridad). b) implementado correctamente, la pregunta de seguridad solo debe ser una parte en una autenticación de múltiples vías, ya que siempre son más fáciles de romper que una contraseña, otra podría ser el acceso a la dirección de correo que usó para registrar una cuenta.

Por lo tanto, desde el punto de vista de la conveniencia para asegurar la pregunta inaugural puede ser más conveniente para los usuarios, no siempre es una mala elección. Mi película favorita, el nombre de mi mascota, etc. no son los secretos más fuertes.

En cuanto a b) Paypal utiliza este enfoque para utilizar un enfoque de autenticación de múltiples vías cuando intenta restablecer su contraseña. En su proceso, debe proporcionar respuestas a múltiples preguntas de seguridad de este tipo. Además necesitas tener acceso a tu dirección de correo electrónico. Alternativamente, puede elegir recibir una llamada a un número de teléfono registrado y usar el código que obtiene como segundo método de autenticación. Es una parte de una combinación de medidas: el objetivo es proporcionar un compromiso de conveniencia y seguridad.

    
respondido por el Darkwing 17.05.2018 - 16:52
fuente

Lea otras preguntas en las etiquetas