Intentar comprender los factores clave al evaluar la idoneidad de las preguntas de seguridad.
Por preguntas de seguridad, quiero decir, por ejemplo:
Las preguntas de seguridad son un ejemplo de teatro de seguridad. En el mejor de los casos, puede considerarlas como una forma de contraseña muy débil y, a menudo, son fáciles de adivinar.
Si va a usarlos, asegúrese de que sean los que tengan las siguientes características:
tienen muchas respuestas posibles (los nombres de las ciudades son terribles para esto, especialmente en países que tienen relativamente pocas ciudades grandes como Australia)
la respuesta no cambia con el tiempo (por lo tanto, no se publican cosas favoritas)
no se obtiene fácilmente a través de las redes sociales u otra información en línea
También debe tener en cuenta su base de usuarios. Es sorprendente la cantidad de cosas que olvidas a medida que envejeces.
En 2007 escribí un documento técnico sobre cómo evaluar las preguntas de seguridad que le invitamos a leer en su totalidad. pero resumiré mis pensamientos aquí.
Apliqué cinco características para evaluar las preguntas de seguridad como autenticadores, esas son
La asequibilidad es bastante consistente en todas las preguntas de seguridad, por lo que me centraré en las otras cuatro.
¿Qué porcentaje de sus usuarios puede responder sinceramente a la pregunta de seguridad? Si nunca he tenido una mascota, no puedo dar una respuesta sincera a '¿Cuál fue el nombre de tu primera mascota?' Puede haber diferencias regionales o culturales que hacen que ciertas preguntas sean difíciles de responder. Por ejemplo, la pregunta "en qué estado creciste" no se aplica a las personas cuyos países no tienen estados. La privacidad también puede ser una preocupación, dependiendo de lo que la pregunta haga.
La memorabilidad juega un papel en la usabilidad, que analizaré más adelante en la sección de Exactitud.
¿Cuán diferentes son las respuestas posibles y probables que darán los usuarios a la pregunta de seguridad? Si una respuesta no es lo suficientemente única, proporciona una autenticación no confiable de la identidad del usuario. Preguntando '¿de qué color son tus ojos?' Tiene un número muy limitado de respuestas posibles. Preguntando '¿cuál es tu color favorito?' tiene más respuestas posibles pero tiene respuestas probables muy predecibles.
Cuanto mejor distribuidas estén las respuestas probables en un grupo de posibilidades suficientemente grande, mejor tiende a ser la pregunta. Este es un desafío difícil de superar para las preguntas de seguridad, ya que las respuestas verdaderas a muchas preguntas se destacarán como respuestas estadísticamente más probables.
¿Qué tan difícil es para los usuarios evitar revelar respuestas válidas a una pregunta de seguridad? Algunas respuestas a las preguntas no se consideran secretos y pueden ser conocidas por familiares, amigos, compañeros de trabajo o incluso desconocidos con acceso a las redes sociales.
Esto también se basará, en parte, en el compromiso del usuario de mantener las preguntas de seguridad en secreto. Un usuario no solo tendrá que intentar no proporcionar respuestas a esta pregunta en el futuro, sino que tendrá que pensar si ha proporcionado respuestas en el pasado que podrían consultarse. Si han revelado una respuesta, entonces la pregunta de seguridad asociada no debería considerarse apropiada para volver a usarla.
La integridad también es un desafío muy complicado para las preguntas de seguridad, ya que son, por diseño, basadas en información no secreta. Considere la dificultad de que un usuario no revele la respuesta a una pregunta de seguridad específica a través del comportamiento normal.
¿Con qué frecuencia el usuario recordará con éxito la respuesta de la pregunta de seguridad y la ingresará correctamente? Esto está relacionado con la usabilidad. Lo ideal es que desees una respuesta que no vaya a cambiar con el tiempo y que sea poco probable que se olvide. Las preguntas generalmente se pueden dividir en las categorías de hechos y opiniones . Los hechos son "cuál fue el nombre de tu primera mascota" en lugar de una opinión como "cuál es tu animal favorito". Como puede sospechar, los hechos parecen ser un poco más fáciles de recordar para las personas que las opiniones.
Muchos sistemas de preguntas de seguridad ignoran aspectos como la sensibilidad a las mayúsculas y la puntuación de las respuestas, e incluso pueden permitir agregar o dejar caracteres. Si establece longitudes de respuesta mínimas, también puede obligar a los usuarios a modificar respuestas cortas legítimamente en algo que quizás no recuerden más adelante.
Estos factores pueden ayudarlo a comparar diferentes preguntas de seguridad, pero como otros lo han señalado, no tienden a ser realmente "excelentes" preguntas de seguridad debido a sus limitaciones inherentes. Solo recomiendo su uso cuando puedes eliminar las preguntas más deficientes y pedir a los usuarios respuestas válidas a al menos tres a la vez.
En realidad pude analizar preguntas y respuestas de seguridad de usuarios reales el año pasado y compartí mis conclusiones en unas pocas charlas . Los datos respaldan muchas de nuestras sospechas sobre problemas de singularidad, y desalientan aún más la confianza en ellos para una autenticación sólida.
La mayoría de las preguntas de seguridad solicitan el tipo de información que se puede encontrar en unos minutos en un sitio de redes sociales, por lo que no ofrecen seguridad alguna. Una buena pregunta es aquella en la que el usuario autorizado es la única persona que conoce la respuesta.
De los que figuran en su lista, solo "cuál es su contraseña de Internet preferida" tiene algún valor de seguridad.
Algunos sistemas te permiten crear tu propia pregunta. He tenido un número de 29 dígitos memorizado por más de 30 años. Sé dónde está escrito (en un libro anteriormente popular) y, por lo tanto, puedo encontrarlo si me confundo, pero nadie más sabe qué número largo en particular tengo en mente. Entonces, escuchemos "¿Cuál es la respuesta a tu pregunta única favorita que no está escrita"?
Todavía pienso que "Something Nobody Knows (incluyéndome a mí)" es la información más segura.
Lea otras preguntas en las etiquetas authentication