Imagino que ya sabréis que la manera más fácil de hackear (un verbo que puede quedar grande para estas cosas) una cuenta de correo es mediante su «pregunta secreta». Un sistema de validación humana y de seguridad que aporta muy pocas ventajas para el usuario y, como digo, muchas facilidades al que realiza el ataque a poco que conozca a su vÃctima. Los niveles más bajos de la ingenierÃa social.
Si hacemos una búsqueda con la cadena de texto «recuperar contraseña» vemos que casi todos los resultados hacen referencia a MSN o Hotmail, los reyes del mambo en esto de las preguntas. Hasta el propio buscador sugiere filtrar resultados añadiendo esos gestores de webmail. Lamentablemente los resultados que devuelven son hilos de foros de casos concretos en lugar de las páginas de los propios gestores como MSN o Gmail. Estos segundos lo hacen mejor, esperan un dÃa para presentarte la opción de la pregunta secreta, de forma que si consultas el correo a diario no te lo pueden levantar. Pero en mi pequeña investigación son los que más me han hecho flipar.
Las estúpidas preguntas de Gmail
Digo que son estúpidas porque, para empezar, no son preguntas secretas (la pregunta es «pública»), lo que debe ocultarse es la respuesta. Y, sobre todo, por las que tiene de serie:
Habéis leÃdo, ¿no? El número de vuelo más frecuente o el nombre del primer profesor. No sé para qué clase de usuario (cliente a los ojos de Google) pensaron cuando se les ocurrió, hasta donde tengo entendido el número de vuelo cambia cada cierto tiempo, excepto el ochocientos y algo de Oceanic, que lleva años igual. No sé, de verdad que no lo sé, a lo mejor en Estados Unidos es normal. La del profesor es todavÃa peor, yo, hasta en preescolar, tenÃa varios profesores, siendo más correcto, profesoras. Pero no uno sólo. De esta forma la única opción lógica (y también la única recomendable) es la de escribir por uno mismo la pregunta. Las de Hotmail son más comunes, tu restaurante favorito o el nombre de un familiar, ambas fácilmente juanqueables.
No se pueden proponer cosas mejores tan a la ligera ya que si dejamos como única opción el enviar un enlace de reactivación a una cuenta asociada pecamos del mal de ING, que es que te obliga a tener anteriormente un producto similar, si la cuenta de correo anterior (tu otra cuenta y cada dÃa la de más gente) no existe y al irla a crear nos encontramos con que estamos obligados a facilitar una tercera dirección donde poder enviar la URL de reactivación, mal vamos. El cÃrculo se cierra para las personas que nunca hayan tenido una cuenta de correo. ¿Qué hacemos, montar un servicio técnico que te llame por teléfono para cambiar la contraseña? ¿Uno al que llamemos nosotros? No merece la pena. Cada vez que alguien no pudiese entrar colapsarÃa a toda una planta de hindúes con pinganillo.
Ciencia ficción, Access granted
Se me ocurre una especie de seguridad biométrica a distancia, ahora puedes comprar un lector de huella digital por USB por poco dinero pero la gente no le encuentra uso. Pues sencillo, que se ofrezca como opción la de subir un fichero (en el formato que corresponda, no controlo de eso) con los datos de las facciones de la cara, las venas de la mano, la huella digital o algo asà a la hora de crear un cuenta, de forma que cuando no puedas acceder, pretendas cambiar de contraseña o cualquier picia te solicite volver a subir esos datos. Si obligamos a que la persona esté fÃsicamente presente cuando se quiera cambiar algo -cosa que no consiguen las preguntas- ya ganamos unos puntos. Se pueden montar hasta chiringuitos 2.0 que centralicen estas cosas en la nube, como un tractor amarillo, es lo que se lleva ahora, un OpenID decente. ¿Qué pasa cuando nos olvidamos de la contraseña y no disponemos de un lector biométrico? Volvemos al punto de «por USB» y recordamos los precios tan bajos de los portátiles. Que tanto DNI electrónico y tanta pollada, pero para algunas cosas funcionamos con palos y piedras.
Visto en: Y mañana, «Me cago en los putos captchas».
8 respuestas a «Las estúpidas preguntas secretas y la huella a distancia»
Hace poco leà un post parecido a este en algún otro lado, pero no sé dónde.
Para mà una opción viable serÃa darles una clave pública (GPG), que guardasen, y que cuando quisieras recuperar la contraseña te mandasen un mensaje cifrado con dicha clave y tú pudieras descifrar con tu clave privada para saber la nueva contraseña o lo que fuera necesario en dicho caso.
Recuerdo que hace muchos años, no recuerdo en que servicio de correo, abrà una cuenta que apenas usaba, y cuando intenté recuperar la contraseña con la pregunta, ¡no recordaba la respuesta!
Me imagino que lo del número de vuelo será una mala traducción, refiriendose al numero de usuario frecuente (por ejemplo el numero de Iberia Plus)
No sé por qué pero eso de las huellas faciales y el que dentro de 5 meses estemos en el 2010 me asusta y me abruma…
A Fran, el problema es que un sistema de llaves te obliga a almacenar (o memorizar) un dato sà o sà -como en la firma de un correo electrónico-, que si bien el algoritmo es seguro, no me digas que no es un engorro todo lo de las claves GPG o las PGP, que para el caso me da igual.
A Nesta, me ha pasado justamente lo mismo mientras hacÃa pruebas, tuve problemas con una palabra porque lleva tilde pero en la respuesta la escribà sin ella y comenzando en minúsculas. Otro punto negativo, no sólo recordar la respuesta si no cómo está escrita.
A Alvele, uhm, no conozco eso de Iberia Plus (es que suena tan pro, tan premium, tan caro…). La verdad es que imagino que los vuelos muy regulares y frecuentes, un puente aéreo o algo asÃ, sà tienen nombres fijos, como el ovni de las menos cuarto.
A Fi2, ¡señorita! ¿Qué es eso de faciales? Aquà de cochinadas nada, ¿eh?
A ElGekoNegro, antes de nada, ¡¿llaves?! espero por tu propio bien que sea un error y quisieras decir claves.
A mà no me parece ningún engorro, es como el DNI electrónico pero teniendo que preocuparte de guardar la clave privada en algún lugar (memoria USB, disco duro, ….), lo único que tendrÃas que memorizar serÃa la contraseña (como el PIN del DNI electrónico) para acceder a la clave privada.
Lo unico que tengo que comentar al respecto es que… yo también odio los capchas o capachas que es como los llamo yo…
A Fran, sÃ, claves, perdón, lo de las llaves ha sido error mÃo (estaba hablando sobre unas mientras escribÃa). Y hombre, el DNI electrónico es un engorro de por sÃ, y eso que yo no lo tengo. Me sigue pareciendo OpenID, en un soporte fÃsico, pero la misma porquerÃa.
A Galia, la verdad es que los robots también. No somos tan diferentes.