Luego de evaluar el uso de la pregunta de seguridad como método para recuperar contraseñas por parte de sus usuarios, Google descubre que el agua moja.
En un estudio que llevase a cabo Google en mayo de 2015 evaluando el uso de las preguntas de seguridad por parte de sus usuarios como método para recuperar cuentas, han llegado a una conclusión que muchos podríamos calificar de obvia: no sirven.
Las preguntas de seguridad generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por los usuarios. Y, esto está relacionado directamente con el hecho de que las personas no responden con la verdad. El 37% de los usuarios mienten para intentar hacer sus respuestas "más difíciles de adivinar" y resulta que este comportamiento tiene el efecto contrario, ya que las personas dan respuestas falsas predecibles. No es de extrañar que con un poco de ingeniería social puedan ser obtenidas fácilmente. Y sí este es el único método de recuperación que se usa, básicamente está "regalando" acceso a su cuenta.
Los usuarios que mienten hacen sus respuestas más fáciles de adivinar.
Además, las preguntas de seguridad son difíciles de recordar y a pesar de esto se siguen usando porque son supuestamente confiables. El 40% de los usuarios de Google que usaron la pregunta de seguridad para recuperar sus cuentas no recordaban la respuesta a la pregunta. Mientras que mecanismos como los envíos de códigos para resetear password a través de SMS tiene un 80% de éxito.
Fuerte y fácil de recordar: elija solo uno
Cuando se compraran las preguntas de seguridad para saber cual es la más fuerte, cosas como "¿cuál fue tu primer número de teléfono?" ofrecen mayor seguridad, pero son las más difíciles de recordar. Si a eso sumamos que el usuario probablemente va a mentir, terminará inventando un número que luego no va a recordar.
Google concluyó que es casi imposible obtener preguntas de seguridad que sean tan fuertes como fáciles de recordar, y por lo tanto no deberían ser usadas como única solución para recuperar cuentas.
Aunque estás conclusiones suenan casi a que descubrieron que el agua moja, sus resultados parecen no ser tan obvios, y la realidad es que tantos los usuarios como quienes proveen servicios siguen usando este método de "seguridad" constantemente. Peor aún, en la gigantesca mayoría de los casos las preguntas de seguridad han sido elegidas por ti, y en escenarios más raros, pero que he visto con mis propios ojos, hasta las respuestas las debes elegir de una lista pre-establecida.
Lo mejor que puedes hacer para proteger tus cuentas es usar verificación de dos pasos, y un gestor de contraseñas.
Continúar leyendo...