¿Las preguntas de seguridad subvierten las contraseñas?

La manera en que un sitio usa las preguntas de seguridad, determina si socavan el mecanismo de autenticación supuestamente más fuerte (de usar buenas contraseñas).

Normalmente, los sistemas que permiten el acceso a los usuarios después de haber respondido una pregunta de seguridad, son más débiles que los sistemas que comunican una contraseña (temporal) al usuario a través de un canal (diferente y seguro). La declaración anterior transmite una mejor práctica, y ciertos sistemas no necesitan implementarla por completo; algunos sistemas proporcionarían una nueva contraseña (que no necesita ser cambiada por un usuario), y hay otros sistemas que comunicarán la contraseña a través de un canal inseguro.

Llenar una pregunta de seguridad con caracteres aleatorios no es necesariamente un buen enfoque (aunque es mejor que tener una respuesta más pequeña con baja entropía), ya que sería difícil de recordar, lo que resultaría en un posible escenario de bloqueo (desde donde a menudo esto no es punto de recuperación). Debe recordarse que las preguntas de seguridad a menudo no se cambian periódicamente a diferencia de las contraseñas. Por lo tanto, la respuesta depende de qué tan bien esté protegida (tanto por el usuario como por el sistema), qué tan pública es la respuesta y con qué frecuencia se puede cambiar la pregunta (y la respuesta).

Se recomienda leer esta pregunta relacionada con StackOverflow , para las respuestas discutir la comunicación fuera de banda, entre otras cuestiones, como el posible escenario de bloqueo.

Sí.

Un mejor nombre para estas preguntas de "seguridad" sería "preguntas de conveniencia". Son una forma alternativa de acceder a la misma cuenta, sin pasar por la contraseña. Dado que las respuestas a estas preguntas suelen estar compuestas de palabras existentes, son el objetivo perfecto para los ataques de diccionario, o incluso simplemente para adivinar. Las cosas se ponen aún peor cuando el atacante ya tiene algunos datos personales.

Lo mejor que puedes hacer si tienes que suscribirte a algo que presenta una "pregunta de seguridad" (y lo hace obligatorio) es simplemente ingresar una secuencia realmente larga de caracteres de basura.

Un estudio de 2015 basado en la implementación de Google de preguntas de conocimiento personal contiene mucha evidencia de los muchos problemas con ellos: Secretos, Mentiras y recuperación de la cuenta: lecciones del uso de preguntas de conocimiento personal en Google

Algunos hallazgos:

• las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario
• una fracción significativa de los usuarios (37%) que admitieron que proporcionaron respuestas falsas lo hizo en un intento por hacerlos "más difíciles de adivinar", aunque en conjunto este comportamiento tuvo el efecto opuesto, ya que las personas "endurecen" sus respuestas de forma predecible manera
• las respuestas secretas tienen una capacidad de memorización sorprendentemente pobre, con una tasa de éxito del 60%, frente al 80% para los códigos de restablecimiento de SMS
• las preguntas que son potencialmente las más seguras (por ejemplo, cuál es su primer número de teléfono) también son las que tienen la peor memorización

Ellos concluyen que

  

parece casi imposible encontrar preguntas secretas que sean seguras y memorables. Las preguntas secretas siguen teniendo algún uso cuando se combinan con otras señales, pero no deben usarse solas y las mejores prácticas deben favorecer alternativas más confiables.

¿Si quieres que no sea responsable? La mayoría de estos sitios requerirán que restablezca la contraseña por correo de todos modos, por lo que necesitarán su información de correo electrónico para llegar a cualquier lugar, la respuesta es principalmente para evitar que las personas lo molesten al restablecer constantemente la contraseña.

Si puede restablecer una contraseña solo mediante una pregunta "secreta", es una mala seguridad.

Sí. Si, por ninguna otra razón, tanto su contraseña como su pregunta / respuesta secreta son secretos compartidos y las mejores prácticas exigen que usted no comparta esos secretos con terceros, pero eso es exactamente lo que se le pide que haga cuando proporcione una pregunta secreta. / respuesta.

Lo que debes hacer en lugar de "seguir las instrucciones" es crear un algoritmo simple que te permita generar la respuesta dada la pregunta, el nombre del sitio y la respuesta verdadera.

Mis preguntas secretas suelen ser "¿Cuál es tu contraseña?" Y luego la respuesta es en realidad otra cosa.

Hago la respuesta lo más aleatoria posible y el mayor tiempo posible, y la guardo junto con la contraseña. Así que si los números no están permitidos, uso todas las letras. Pero normalmente la mayoría de ellos tienen entre 20 y 30 caracteres alfanuméricos.

Esto es lo que hago con el correo electrónico basado en web (gmail) y todas mis contraseñas bancarias. Mi banco es vulnerable a un ataque de denegación de servicio (las contraseñas incorrectas bloquearán mi identificación de usuario), así que debería haber elegido una identificación de usuario que también fuera aleatoria y de longitud máxima, y que también se mantuviera en secreto.

Sí es mejor rellenarlo con una cadena larga que contiene caracteres aleatorios, que responder a la pregunta real o dar una respuesta corta. Si decidió seguir este enfoque, debe asegurarse de recordarlo, ya que es muy probable que lo olvide.