¿Por qué estás respondiendo incorrectamente a las preguntas de seguridad de contraseña?

Cuando nos registramos en un nuevo servicio en línea, se nos solicita invariablemente crear una contraseña. Esto asegura inmediatamente la nueva cuenta. Si es sensato, elija una cadena larga y completamente aleatoria, o deje que una aplicación de administración de contraseñas haga el trabajo La Guía completa para simplificar y asegurar su vida con LastPass y Xmarks La Guía completa para simplificar y asegurar su vida con LastPass y Xmarks Si bien la nube significa que puede acceder fácilmente a su información importante donde quiera que esté, también significa que tiene muchas contraseñas de las que debe realizar un seguimiento. Por eso se creó LastPass. Lea más para usted. Siguiente en la secuencia viene preguntas de seguridad.

Estas preguntas generalmente preguntan por el apellido de soltera de su madre, el nombre de su escuela primaria, el nombre de su primera mascota, etc. Diseñadas para mantener nuestras cuentas a salvo de posibles piratas informáticos, las preguntas de seguridad deben actuar como una línea de defensa adicional.

¿Cómo respondes esas preguntas? ¿Dices la verdad, toda la verdad, y nada más que la verdad? Desafortunadamente, su veracidad podría estar creando una grieta inesperada en su armadura en línea. Echemos un vistazo a cómo exactamente debería estar respondiendo esas preguntas.

Una barrera protectora

Las sugerencias de contraseña son, sin duda, útiles. Se mostrará una sugerencia útil si olvida su contraseña de Windows. Y esto es después de un solo intento fallido. En el caso de la contraseña de Windows, su consejo debe actualizar su memoria. Le recuerda que usa una sugerencia que ha seleccionado, para que pueda ser tan críptico o abierto como se sienta..

Las preguntas de seguridad son diferentes. Regularmente nos enfrentamos a las combinaciones de preguntas familiares que mencioné anteriormente y proporcionamos respuestas precisas. Las preguntas de seguridad se presentan como una línea de defensa adicional. Sin embargo, debe considerar la relativa facilidad para obtener algunas de las respuestas en la sociedad ultra-conectada de hoy..

Los investigadores de seguridad regularmente se burlan de las preguntas de seguridad como mediocres Cómo crear una pregunta de seguridad que nadie más pueda adivinar Cómo crear una pregunta de seguridad que nadie más pueda adivinar En las últimas semanas he escrito mucho sobre cómo hacer que las cuentas en línea sean recuperables. Una opción de seguridad típica es configurar una pregunta de seguridad. Si bien esto potencialmente proporciona una manera rápida y fácil de ... Leer más. ¿Podemos tener fe en una medida de seguridad cuyas respuestas se pueden descubrir tan fácilmente??

Lo estoy haciendo mal?

Los atacantes se aprovechan de las preguntas fáciles Cómo detectar y evitar 10 de las técnicas de hacking más insidiosas Cómo detectar y evitar 10 de las técnicas de hacking más insidiosas Los hackers se están volviendo más astutos y muchas de sus técnicas y ataques a menudo pasan desapercibidos para los usuarios experimentados. Aquí hay 10 de las técnicas de piratería más insidiosas para evitar. Leer más: colores, nombres de soltera, primeras mascotas, porque se pueden obtener fácilmente a través de las redes sociales Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social ¿Qué técnicas de ingeniería social utilizaría un hacker? ¿Cómo te protegerías de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes. Lee mas . Para empeorar las cosas, si su cuenta utiliza preguntas y respuestas extremadamente específicas, un atacante puede eliminar otras contraseñas potenciales.

Por ejemplo, si la pregunta de seguridad era “¿Dónde compraste tu primer coche??” El atacante puede ignorar inmediatamente otras respuestas más fáciles..

Estoy seguro de que ya has manipulado la solución obvia a este problema de seguridad. Si el atacante está buscando una respuesta que se relacione directamente con usted, ¿por qué no usar algo completamente diferente??

• Cuál es el apellido de soltera de tu madre? fa1c0npunc4
• Dónde conociste a tu esposa? b1cycl3tyr3
• Cuál era el nombre de tu primera mascota? n0str0d4mu5

Bien, son ejemplos terribles, pero captas mi deriva. Si la respuesta es a) oscura yb) usa caracteres aleatorios, inmediatamente establecerá un nivel más alto en la barra de seguridad de sus cuentas. ¿Ha tomado estos 5 primeros pasos para proteger sus cuentas en línea? ¿Ha tomado estos 5 primeros pasos para proteger sus cuentas en línea? Es sorprendente la cantidad de personas que ignoran estos conceptos básicos de seguridad en línea. Estos cinco sitios web y herramientas hacen que la seguridad en línea sea una tarea más fácil. Lee mas .

Y eso me hará seguro?

Más seguro, amigo, pero no del todo seguro.

Verá, en 2015, Google publicó un documento interesante que explora las lecciones que han aprendido sobre cuestiones de seguridad. Usando su conjunto de datos casi inigualable para analizar las preguntas secretas dadas por su base monumental de usuarios, intentaron comprender cuán efectiva es esta capa de seguridad adicional.

Nuestro análisis confirma que las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Resulta ser incluso más bajo que los proxies como lo indicaría la distribución real de apellidos en la población.

Sorprendentemente, encontramos que una causa importante de esta inseguridad es que los usuarios a menudo no responden con sinceridad. Una encuesta de usuarios que realizamos reveló que una fracción significativa de los usuarios (37%) que admitieron que proporcionaron respuestas falsas lo hicieron en un intento por hacerlas “más difícil de adivinar” Aunque en conjunto este comportamiento tuvo el efecto opuesto como personas “endurecer” Sus respuestas de una manera predecible..

¿Por qué intentamos mentir, pero luego lo hacemos tan mal? Como puede ver en el cuadro anterior, la mayoría de los encuestados brindan respuestas falsas con la convicción de que aumentará su seguridad. Entonces podemos asumir que el público en general (aunque sea una pequeña instantánea de una enorme base de datos) entiende que las preguntas de seguridad pueden y serán utilizadas en su contra.

El equipo de investigación de Google finalmente concluye que las preguntas de seguridad son algo seguras o fáciles de recordar, pero la combinación dorada es rara de encontrar. Por lo tanto “Mientras que Google prefiere la recuperación de SMS y correo electrónico, ningún mecanismo es perfecto.”

Un buen ejemplo

Desafortunadamente, Google se negó a ofrecer el tamaño real de la base de datos utilizada para el estudio. Sin embargo, confirmaron que “los datos considerados contienen cientos de millones de puntos de datos y cada pregunta analizada tuvo más de 1 millón de respuestas.” Cifras sustanciales, considerando su base estimada de usuarios..

En 2016, United Airlines implementó su nuevo esquema de seguridad actualizado para sus cuentas de clientes. El antiguo sistema que se basaba en los PIN de 4 dígitos se consideraba, con razón, inadecuado para cuentas que potencialmente contenían cientos de miles de dólares de millas de viajero frecuente. El sistema actualizado requiere que los usuarios ingresen una contraseña única, así como que respondan cinco preguntas de seguridad personal.

Suena bien, ¿verdad? Excepto que United Airlines les pide a sus clientes que escojan una contraseña segura y única, y responden a sus preguntas con un conjunto de respuestas predeterminadas. Así es: respuestas predeterminadas. Por ejemplo, si eliges la pregunta. “¿En qué mes es el cumpleaños de tus mejores amigos?,” tus posibles atacantes tienen, lo adivinaste, solo doce respuestas para luchar. Tiempos difíciles.

Razón de que “La mayoría de los problemas de seguridad que enfrentan nuestros clientes se pueden rastrear a los virus informáticos que registran la escritura, y el uso de respuestas predefinidas protege contra este tipo de intrusión..”

El investigador de seguridad Brian Krebs habló directamente con el director de inteligencia de seguridad de TI de United Airlines, Benjamin Vaughn. Vaughn dijo que la compañía “fue aleatorizar las preguntas para confundir a los programas bot que buscan automatizar el envío de respuestas, y que las preguntas de seguridad respondidas incorrectamente se "bloquearon" y no se volverían a realizar.”

"Las preguntas de seguridad son la forma menos segura de asegurar algo". Rik Ferguson @TrendMicro # AISA2016

- Tracey Spicer (@TraceySpicer) 19 de octubre de 2016

Además de esto, Vaughn confirmó a Krebs que múltiples intentos fallidos resultarían en una cuenta bloqueada. En consecuencia, el usuario debe comunicarse directamente con United Airlines para desbloquear su cuenta..

Sabiduría convencional

United Airlines identificó una vulnerabilidad de seguridad, pero su respuesta no resolvió el problema por completo. Como hemos visto, la única forma verdaderamente segura de responder a una pregunta de seguridad es, como una contraseña, al proporcionar algo verdaderamente único y aleatorio. Esto con la esperanza de que los hackers potenciales se vean frustrados por la complejidad y pasen a la siguiente cuenta.

El descubrimiento de que el público en general sufre de fatiga por la seguridad es importante porque tiene implicaciones en el lugar de trabajo y en la vida cotidiana de las personas. Es fundamental porque muchas personas realizan transacciones bancarias en línea y, dado que la atención médica y otra información valiosa se transfieren a Internet.

Si las personas no pueden usar la seguridad, no lo harán, y entonces nosotros y nuestra nación no estaremos seguros.

- Psicóloga cognitiva y Fatiga de seguridad coautor, Brian Stanton

Por desgracia, la fatiga de seguridad es un problema muy real. Los usuarios están cada vez más cansados. Las violaciones de seguridad y los restablecimientos forzados de contraseñas ahora son tan comunes que muchos usuarios simplemente ignoran las alertas. Esta fatiga conduce a comportamientos de riesgo del usuario tanto en el hogar como en el lugar de trabajo. Te sugerimos:

• Automatizar - Tome el control de su seguridad y automatice las exploraciones, las copias de seguridad ¡No pague, cómo vencer a Ransomware! ¡No pague, cómo vencer al ransomware! Imagínate si alguien apareciera en tu puerta y dijera: "Oye, hay ratones en tu casa que no sabías. Danos $ 100 y nos desharemos de ellos". Este es el Ransomware ... Leer más y más.
• Manejo de contraseñas - Soluciones de administración de contraseñas disponibles en LastPass. Domine sus contraseñas para siempre con el desafío de seguridad de Lastpass. Domine sus contraseñas para siempre con el desafío de seguridad de Lastpass. Pasamos tanto tiempo en línea, con tantas cuentas, que recordar las contraseñas puede ser realmente difícil. ¿Preocupado por los riesgos? Descubra cómo usar el Desafío de seguridad de LastPass para mejorar su higiene de seguridad. Lea más o KeyPass, y ambos se ocuparán de sus preguntas de seguridad, también.
• Tomar posesión - Su seguridad de los datos es su responsabilidad. Tenemos altas expectativas de que las instituciones mantengan nuestros datos, y con razón. Dicho esto, si no impone fuertes medidas de seguridad en el hogar, compartirá parte de la culpa..

Hemos escrito extensamente sobre cómo superar la fatiga por la seguridad 3 maneras de vencer la fatiga por la seguridad y mantenerse seguros en línea 3 formas de vencer la fatiga por la seguridad y mantenerse en línea La fatiga por la seguridad - un cansancio para lidiar con la seguridad en línea - es real, y hace que muchas personas menos seguro. Aquí hay tres cosas que puede hacer para vencer la fatiga de seguridad y mantenerse a salvo. Lee mas . Dale una lectura y retoma el control de tus preguntas de seguridad!

¿Cómo respondes a tus preguntas de seguridad? ¿Has golpeado el punto dulce? ¿O usas una aplicación de gestión de contraseñas? Háganos saber sus consejos de seguridad a continuación!

Explorar más sobre: ​​Contraseña.