{"id":2732,"date":"2009-08-19T12:57:39","date_gmt":"2009-08-19T10:57:39","guid":{"rendered":"http:\/\/www.elgekonegro.com\/web\/?p=2732"},"modified":"2009-08-19T19:22:48","modified_gmt":"2009-08-19T17:22:48","slug":"las-estupidas-preguntas-secretas-y-la-huella-a-distancia","status":"publish","type":"post","link":"https:\/\/www.elgekonegro.com\/web\/las-estupidas-preguntas-secretas-y-la-huella-a-distancia\/","title":{"rendered":"Las est\u00c3\u00bapidas preguntas secretas y la huella a distancia"},"content":{"rendered":"

I<\/span>magino que ya sabr\u00c3\u00a9is que la manera m\u00c3\u00a1s f\u00c3\u00a1cil de hackear (un verbo que puede quedar grande para estas cosas) una cuenta de correo es mediante su \u00abpregunta secreta\u00bb. Un sistema de validaci\u00c3\u00b3n humana y de seguridad que aporta muy pocas ventajas para el usuario<\/strong> y, como digo, muchas facilidades al que realiza el ataque a poco que conozca a su v\u00c3\u00adctima. Los niveles m\u00c3\u00a1s bajos de la ingenier\u00c3\u00ada social.<\/p>\n

Si hacemos una b\u00c3\u00basqueda con la cadena de texto \u00abrecuperar contrase\u00c3\u00b1a<\/a>\u00bb vemos que casi todos los resultados hacen referencia a MSN o Hotmail, los reyes del mambo en esto de las preguntas. Hasta el propio buscador sugiere filtrar resultados a\u00c3\u00b1adiendo esos gestores de webmail. Lamentablemente los resultados que devuelven son hilos de foros de casos concretos en lugar de las p\u00c3\u00a1ginas de los propios gestores como MSN<\/a> o Gmail<\/a>. Estos segundos lo hacen mejor, esperan un d\u00c3\u00ada para presentarte la opci\u00c3\u00b3n de la pregunta secreta<\/strong>, de forma que si consultas el correo a diario no te lo pueden levantar. Pero en mi peque\u00c3\u00b1a investigaci\u00c3\u00b3n son los que m\u00c3\u00a1s me han hecho flipar.<\/p>\n

Las est\u00c3\u00bapidas preguntas de Gmail<\/h2>\n

Digo que son est\u00c3\u00bapidas porque, para empezar, no son preguntas secretas (la pregunta es \u00abp\u00c3\u00bablica\u00bb), lo que debe ocultarse es la respuesta<\/strong>. Y, sobre todo, por las que tiene de serie:<\/p>\n

\"Preguntas<\/p>\n

Hab\u00c3\u00a9is le\u00c3\u00addo, \u00c2\u00bfno? El n\u00c3\u00bamero de vuelo m\u00c3\u00a1s frecuente<\/em> o el nombre del primer profesor<\/em>. No s\u00c3\u00a9 para qu\u00c3\u00a9 clase de usuario (cliente a los ojos de Google) pensaron cuando se les ocurri\u00c3\u00b3, hasta donde tengo entendido el n\u00c3\u00bamero de vuelo cambia cada cierto tiempo, excepto el ochocientos y algo de Oceanic, que lleva a\u00c3\u00b1os igual. No s\u00c3\u00a9, de verdad que no lo s\u00c3\u00a9, a lo mejor en Estados Unidos es normal. La del profesor es todav\u00c3\u00ada peor, yo, hasta en preescolar, ten\u00c3\u00ada varios profesores, siendo m\u00c3\u00a1s correcto, profesoras. Pero no uno s\u00c3\u00b3lo. De esta forma la \u00c3\u00banica opci\u00c3\u00b3n l\u00c3\u00b3gica (y tambi\u00c3\u00a9n la \u00c3\u00banica recomendable) es la de escribir por uno mismo la pregunta<\/strong>. Las de Hotmail son m\u00c3\u00a1s comunes, tu restaurante favorito<\/em> o el nombre de un familiar<\/em>, ambas f\u00c3\u00a1cilmente juanqueables.<\/p>\n

No se pueden proponer cosas mejores tan a la ligera ya que si dejamos como \u00c3\u00banica opci\u00c3\u00b3n el enviar un enlace de reactivaci\u00c3\u00b3n a una cuenta asociada pecamos del mal de ING<\/strong>, que es que te obliga a tener anteriormente un producto similar, si la cuenta de correo anterior (tu otra cuenta y cada d\u00c3\u00ada la de m\u00c3\u00a1s gente) no existe y al irla a crear nos encontramos con que estamos obligados a facilitar una tercera direcci\u00c3\u00b3n donde poder enviar la URL de reactivaci\u00c3\u00b3n, mal vamos. El c\u00c3\u00adrculo se cierra para las personas que nunca hayan tenido una cuenta de correo<\/strong>. \u00c2\u00bfQu\u00c3\u00a9 hacemos, montar un servicio t\u00c3\u00a9cnico que te llame por tel\u00c3\u00a9fono para cambiar la contrase\u00c3\u00b1a? \u00c2\u00bfUno al que llamemos nosotros? No merece la pena. Cada vez que alguien no pudiese entrar colapsar\u00c3\u00ada a toda una planta de hind\u00c3\u00baes con pinganillo.<\/p>\n

Ciencia ficci\u00c3\u00b3n, Access granted<\/h2>\n

Se me ocurre una especie de seguridad biom\u00c3\u00a9trica<\/a> a distancia, ahora puedes comprar un lector de huella digital por USB por poco dinero pero la gente no le encuentra uso. Pues sencillo, que se ofrezca como opci\u00c3\u00b3n la de subir un fichero (en el formato que corresponda, no controlo de eso) con los datos de las facciones de la cara, las venas de la mano, la huella digital o algo as\u00c3\u00ad a la hora de crear un cuenta, de forma que cuando no puedas acceder, pretendas cambiar de contrase\u00c3\u00b1a o cualquier picia te solicite volver a subir esos datos. Si obligamos a que la persona est\u00c3\u00a9 f\u00c3\u00adsicamente presente cuando se quiera cambiar algo<\/strong> -cosa que no consiguen las preguntas- ya ganamos unos puntos. Se pueden montar hasta chiringuitos 2.0 que centralicen estas cosas en la nube, como un tractor amarillo, es lo que se lleva ahora, un OpenID decente. \u00c2\u00bfQu\u00c3\u00a9 pasa cuando nos olvidamos de la contrase\u00c3\u00b1a y no disponemos de un lector biom\u00c3\u00a9trico? Volvemos al punto de \u00abpor USB\u00bb y recordamos los precios tan bajos de los port\u00c3\u00a1tiles. Que tanto DNI electr\u00c3\u00b3nico y tanta pollada, pero para algunas cosas funcionamos con palos y piedras.<\/p>\n

Visto en: Y ma\u00c3\u00b1ana, \u00abMe cago en los putos captchas\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"

Imagino que ya sabr\u00c3\u00a9is que la manera m\u00c3\u00a1s f\u00c3\u00a1cil de hackear (un verbo que puede quedar grande para estas cosas) una cuenta de correo es mediante su \u00abpregunta secreta\u00bb. Un sistema de validaci\u00c3\u00b3n humana y de seguridad que aporta muy pocas ventajas para el usuario y, como digo, muchas facilidades al que realiza el ataque […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[728,719],"tags":[],"class_list":["post-2732","post","type-post","status-publish","format-standard","hentry","category-pensando-en-alto","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/posts\/2732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/comments?post=2732"}],"version-history":[{"count":0,"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/posts\/2732\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/media?parent=2732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/categories?post=2732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elgekonegro.com\/web\/wp-json\/wp\/v2\/tags?post=2732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}