lunes, 11 de julio de 2016

Las preguntas para restablecer la contraseña

Un día, hace ya mucho tiempo, alguien inventó eso de que los usuarios tengan una pregunta secreta (y su correspondiente respuesta) para restablecer su contraseña en caso de olvido. Y debió entender que era una buena idea. Al menos, puede parecerlo para los administradores de sistemas, sobre todo cuando el número de cuentas implicadas es elevado.
Pero la comodidad no suele llevarse bien con la seguridad.

Para empezar, como he escrito alguna otra vez, está el tema de los nombres: es importante cómo llamamos a cada cosa. Porque si decimos que es una "contraseña" la gente tiene claro que debe ser algo secreto y difícil de adivinar pero si hablamos de "recordatorio"... la cosa cambia. Ahora es algo que tenemos que recordar o nos tiene que recordar la contraseña. Y si le ponemos sólo "pregunta", ya no pasa de algo que hay que saber responder.

Por no hablar de aquellos sistemas en los que lo que se nos pide es nuestra fecha de nacimiento o un dato similar.

Que todo esto no es una buena práctica es algo que nadie debería poner en duda. Abusando de estos mecanismos es como en su día cayeron en malas manos cuentas de correo como la de Sarah Palin.


Hace poco detecté y comuniqué un caso en el que podían obtenerse los datos de las cuentas de usuario de un sistema y utilizaban este procedimiento para restablecer credenciales. Y, como casi siempre, me dio en qué pensar.

Al fin y al cabo, estas preguntas y sus correspondientes respuestas terminan no siendo más que otra contraseña. Pero no una "contraseña adicional", sino una "contraseña alternativa". No una condición de tipo AND, sino OR.

Y lo malo de tener dos contraseñas alternativas es que basta con saber una cualquiera de ellas para hacerse con el control de la cuenta. Ya se sabe: lo del eslabón más débil...

Pero, con todo lo grave que esto pueda ser, hay algo que, a largo plazo, puede ser aún más preocupante: la gente, consciente de que si olvida la respuesta no podrá restablecer sus claves de acceso, suele poner preguntas relacionadas con su vida privada.

Cuando esas respuestas están en Internet, como ocurrió con la por entonces candidata a la presidencia de los EE.UU., la cuenta queda comprometida al primer intento.

Pero... ¿Y si no lo están? Pongamos que alguien pone una pregunta del tipo "¿Cómo se llama mi esposa?" y que ese dato no está publicado en ningún sitio. Entonces, un atacante podría empezar a realizar pruebas, realizando un ataque de diccionario y, con algo de suerte, podría obtener una información que le ayude a realizar un perfil más completo de su víctima.

Pienso en qué pasaría si hubiera sido alguien con malas intenciones, y no yo, quien hubiera encontrado aquella base de datos de usuarios. Imaginad, preguntas como:
  • ¿Cómo se llama mi pareja?
  • ¿Cómo se llama mi abuela paterna?
  • ¿Cómo se llama mi hijo?
  • ¿Cómo se llama mi jefa?
  • ¿De dónde es mi pareja? 
  • ¿Cuándo se me declaró mi pareja?
  • ¿Cuál es mi número de teléfono?
  • ¿Cómo se llama mi perro?
  • ¿Dónde vivo?
  • ¿Dónde nací?
  • ¿Cuál es mi apodo?
Y muchas otras sobre gustos, hobbies y aficiones.

Imaginad estas preguntas con sus correspondientes respuestas. Pensad en lo útiles que pueden ser para preparar un ataque de ingeniería social.

Pensad en las implicaciones para la privacidad.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)