Un Lagarto Abuhardillado

Las estúpidas preguntas secretas y la huella a distancia

Imagino que ya sabréis que la manera más fácil de hackear (un verbo que puede quedar grande para estas cosas) una cuenta de correo es mediante su «pregunta secreta». Un sistema de validación humana y de seguridad que aporta muy pocas ventajas para el usuario y, como digo, muchas facilidades al que realiza el ataque a poco que conozca a su víctima. Los niveles más bajos de la ingeniería social.

Si hacemos una búsqueda con la cadena de texto «recuperar contraseña» vemos que casi todos los resultados hacen referencia a MSN o Hotmail, los reyes del mambo en esto de las preguntas. Hasta el propio buscador sugiere filtrar resultados añadiendo esos gestores de webmail. Lamentablemente los resultados que devuelven son hilos de foros de casos concretos en lugar de las páginas de los propios gestores como MSN o Gmail. Estos segundos lo hacen mejor, esperan un día para presentarte la opción de la pregunta secreta, de forma que si consultas el correo a diario no te lo pueden levantar. Pero en mi pequeña investigación son los que más me han hecho flipar.

Las estúpidas preguntas de Gmail

Digo que son estúpidas porque, para empezar, no son preguntas secretas (la pregunta es «pública»), lo que debe ocultarse es la respuesta. Y, sobre todo, por las que tiene de serie:

Preguntas secretas de Gmail

Habéis leído, ¿no? El número de vuelo más frecuente o el nombre del primer profesor. No sé para qué clase de usuario (cliente a los ojos de Google) pensaron cuando se les ocurrió, hasta donde tengo entendido el número de vuelo cambia cada cierto tiempo, excepto el ochocientos y algo de Oceanic, que lleva años igual. No sé, de verdad que no lo sé, a lo mejor en Estados Unidos es normal. La del profesor es todavía peor, yo, hasta en preescolar, tenía varios profesores, siendo más correcto, profesoras. Pero no uno sólo. De esta forma la única opción lógica (y también la única recomendable) es la de escribir por uno mismo la pregunta. Las de Hotmail son más comunes, tu restaurante favorito o el nombre de un familiar, ambas fácilmente juanqueables.

No se pueden proponer cosas mejores tan a la ligera ya que si dejamos como única opción el enviar un enlace de reactivación a una cuenta asociada pecamos del mal de ING, que es que te obliga a tener anteriormente un producto similar, si la cuenta de correo anterior (tu otra cuenta y cada día la de más gente) no existe y al irla a crear nos encontramos con que estamos obligados a facilitar una tercera dirección donde poder enviar la URL de reactivación, mal vamos. El círculo se cierra para las personas que nunca hayan tenido una cuenta de correo. ¿Qué hacemos, montar un servicio técnico que te llame por teléfono para cambiar la contraseña? ¿Uno al que llamemos nosotros? No merece la pena. Cada vez que alguien no pudiese entrar colapsaría a toda una planta de hindúes con pinganillo.

Ciencia ficción, Access granted

Se me ocurre una especie de seguridad biométrica a distancia, ahora puedes comprar un lector de huella digital por USB por poco dinero pero la gente no le encuentra uso. Pues sencillo, que se ofrezca como opción la de subir un fichero (en el formato que corresponda, no controlo de eso) con los datos de las facciones de la cara, las venas de la mano, la huella digital o algo así a la hora de crear un cuenta, de forma que cuando no puedas acceder, pretendas cambiar de contraseña o cualquier picia te solicite volver a subir esos datos. Si obligamos a que la persona esté físicamente presente cuando se quiera cambiar algo -cosa que no consiguen las preguntas- ya ganamos unos puntos. Se pueden montar hasta chiringuitos 2.0 que centralicen estas cosas en la nube, como un tractor amarillo, es lo que se lleva ahora, un OpenID decente. ¿Qué pasa cuando nos olvidamos de la contraseña y no disponemos de un lector biométrico? Volvemos al punto de «por USB» y recordamos los precios tan bajos de los portátiles. Que tanto DNI electrónico y tanta pollada, pero para algunas cosas funcionamos con palos y piedras.

Visto en: Y mañana, «Me cago en los putos captchas».

Comentarios

8 respuestas a «Las estúpidas preguntas secretas y la huella a distancia»

  1. Avatar de Fran
    Fran

    Hace poco leí un post parecido a este en algún otro lado, pero no sé dónde.

    Para mí una opción viable sería darles una clave pública (GPG), que guardasen, y que cuando quisieras recuperar la contraseña te mandasen un mensaje cifrado con dicha clave y tú pudieras descifrar con tu clave privada para saber la nueva contraseña o lo que fuera necesario en dicho caso.

    Responder
  2. Avatar de Nesta
    Nesta

    Recuerdo que hace muchos años, no recuerdo en que servicio de correo, abrí una cuenta que apenas usaba, y cuando intenté recuperar la contraseña con la pregunta, ¡no recordaba la respuesta!

    Responder
  3. Avatar de Alvele
    Alvele

    Me imagino que lo del número de vuelo será una mala traducción, refiriendose al numero de usuario frecuente (por ejemplo el numero de Iberia Plus)

    Responder
  4. Avatar de Fi2
    Fi2

    No sé por qué pero eso de las huellas faciales y el que dentro de 5 meses estemos en el 2010 me asusta y me abruma…

    Responder
  5. Avatar de ElGekoNegro
    ElGekoNegro

    A Fran, el problema es que un sistema de llaves te obliga a almacenar (o memorizar) un dato sí o sí -como en la firma de un correo electrónico-, que si bien el algoritmo es seguro, no me digas que no es un engorro todo lo de las claves GPG o las PGP, que para el caso me da igual.

    A Nesta, me ha pasado justamente lo mismo mientras hacía pruebas, tuve problemas con una palabra porque lleva tilde pero en la respuesta la escribí sin ella y comenzando en minúsculas. Otro punto negativo, no sólo recordar la respuesta si no cómo está escrita.

    A Alvele, uhm, no conozco eso de Iberia Plus (es que suena tan pro, tan premium, tan caro…). La verdad es que imagino que los vuelos muy regulares y frecuentes, un puente aéreo o algo así, sí tienen nombres fijos, como el ovni de las menos cuarto.

    A Fi2, ¡señorita! ¿Qué es eso de faciales? Aquí de cochinadas nada, ¿eh?

    Responder
  6. Avatar de Fran
    Fran

    A ElGekoNegro, antes de nada, ¡¿llaves?! espero por tu propio bien que sea un error y quisieras decir claves.

    A mí no me parece ningún engorro, es como el DNI electrónico pero teniendo que preocuparte de guardar la clave privada en algún lugar (memoria USB, disco duro, ….), lo único que tendrías que memorizar sería la contraseña (como el PIN del DNI electrónico) para acceder a la clave privada.

    Responder
  7. Avatar de Galia
    Galia

    Lo unico que tengo que comentar al respecto es que… yo también odio los capchas o capachas que es como los llamo yo…

    Responder
  8. Avatar de ElGekoNegro
    ElGekoNegro

    A Fran, sí, claves, perdón, lo de las llaves ha sido error mío (estaba hablando sobre unas mientras escribía). Y hombre, el DNI electrónico es un engorro de por sí, y eso que yo no lo tengo. Me sigue pareciendo OpenID, en un soporte físico, pero la misma porquería.

    A Galia, la verdad es que los robots también. No somos tan diferentes.

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *