Fatiga de la contraseña

La fatiga de las contraseñas es la sensación que experimentan muchas personas que deben recordar una cantidad excesiva de contraseñas como parte de su rutina diaria, como iniciar sesión en una computadora en el trabajo, deshacer el candado de una bicicleta o realizar operaciones bancarias desde un cajero automático (ATM). ). El concepto también se conoce como caos de contraseñas o más ampliamente como caos de identidad . ^[1]

Causas

La importancia cada vez mayor de la tecnología de la información e Internet en el empleo, las finanzas , la recreación y otros aspectos de la vida de las personas, y la consiguiente introducción de tecnología de transacciones seguras , ha llevado a que la gente acumule una proliferación de cuentas y contraseñas.

Según una encuesta realizada en febrero de 2020 por el administrador de contraseñas Nordpass, un usuario típico tiene 100 contraseñas. ^[2]

Algunos factores que causan fatiga de la contraseña son:

demandas inesperadas de que un usuario cree una nueva contraseña
demandas inesperadas de que un usuario cree una nueva contraseña que utilice un patrón particular de letras, dígitos y caracteres especiales
Exigir que el usuario escriba la nueva contraseña dos veces.
demandas frecuentes e inesperadas para que el usuario vuelva a ingresar su contraseña a lo largo del día mientras navega por diferentes partes de una intranet
escritura a ciegas, tanto al responder a una solicitud de contraseña como al establecer una nueva contraseña.

Problemas relacionados

Además de contribuir al estrés , la fatiga de las contraseñas puede alentar a las personas a adoptar hábitos que reducen la seguridad de su información protegida. Por ejemplo, el titular de una cuenta puede usar la misma contraseña para varias cuentas diferentes, elegir deliberadamente contraseñas fáciles de recordar que son demasiado vulnerables a la piratería o confiar en registros escritos de sus contraseñas.

Muchos sitios, en un intento de evitar que los usuarios elijan contraseñas fáciles de adivinar, agregan restricciones en la longitud o composición de las contraseñas que contribuyen a la fatiga de las contraseñas. En muchos casos, las restricciones impuestas a las contraseñas en realidad sirven para disminuir la seguridad de la cuenta (ya sea impidiendo buenas contraseñas o haciendo que la contraseña sea tan compleja que el usuario termina almacenándola de forma insegura, como en una nota post-it). Algunos sitios también bloquean caracteres no ASCII o alfanuméricos.

La fatiga de las contraseñas generalmente afectará a los usuarios, pero también puede afectar a los departamentos técnicos que administran las cuentas de los usuarios, ya que reinicializan constantemente las contraseñas; esta situación acaba bajando la moral en ambos casos. En muchos casos, los usuarios terminan escribiendo sus contraseñas en texto sin cifrar en archivos de texto para no tener que recordarlas o incluso escribirlas en notas adhesivas que luego guardan en un cajón del escritorio.

Soluciones

Algunas empresas están bien organizadas a este respecto y han implementado métodos de autenticación alternativos ^[3] o han adoptado tecnologías para que las credenciales de un usuario se ingresen automáticamente. Sin embargo, es posible que otros no se centren en la facilidad de uso , o incluso empeoren la situación, al implementar constantemente nuevas aplicaciones con su propio sistema de autenticación.

El software de inicio de sesión único (SSO) puede ayudar a mitigar este problema al exigir a los usuarios que solo recuerden una contraseña para una aplicación que, a su vez, dará acceso automáticamente a varias otras cuentas, con o sin la necesidad desoftware de agente en la computadora del usuario. Una posible desventaja es que la pérdida de una única contraseña impedirá el acceso a todos los servicios que utilizan el sistema SSO y, además, el robo o uso indebido de dicha contraseña presenta al delincuente o atacante muchos objetivos.
Software de gestión de contraseñas integrado : muchos sistemas operativos proporcionan un mecanismo para almacenar y recuperar contraseñas mediante el uso de la contraseña de inicio de sesión del usuario para desbloquear una base de datos de contraseñas cifradas . Microsoft Windows proporciona Credential Manager para almacenar nombres de usuario y contraseñas que se utilizan para iniciar sesión en sitios web u otras computadoras en una red, Mac OS X tiene una función de Llavero que proporciona esta funcionalidad, y una funcionalidad similar está presente en los escritorios de código abierto GNOME y KDE . Además, navegador weblos desarrolladores han agregado una funcionalidad similar a todos los principales navegadores. Sin embargo, si el sistema del usuario está dañado, robado o comprometido, también pueden perder el acceso a los sitios en los que dependen del almacenamiento de contraseñas o las funciones de recuperación para recordar sus datos de inicio de sesión.
El software de gestión de contraseñas como KeePass , Password Safe y NordPass puede ayudar a mitigar el problema de la fatiga de las contraseñas almacenando las contraseñas en una base de datos cifrada con una sola contraseña. Sin embargo, esto presenta problemas similares a los del inicio de sesión único, ya que perder la contraseña única impide el acceso a todas las demás contraseñas, mientras que otra persona que la obtenga tendrá acceso a ellas.
Recuperación de contraseña : la mayoría de los servicios web protegidos por contraseña proporcionan una función de recuperación de contraseña que permitirá a los usuarios recuperar sus contraseñas a través de la dirección de correo electrónico (u otra información) vinculada a esa cuenta. Sin embargo, este sistema se ha convertido en sí mismo en un objetivo de ataques de ingeniería social por parte de delincuentes. Estos delincuentes obtienen suficiente información sobre el objetivo para hacerse pasar por ellos y solicitar un correo electrónico de reinicio, que luego se redirige a través de otros medios a una cuenta bajo el control del atacante, lo que permite al atacante secuestrar la cuenta.

Ver también

Notas

^ "Caos de contraseñas" en TheFreeDictionary
^ Williams, Shannon. "La persona promedio tiene 100 contraseñas - estudio" . securitybrief.co.nz . Consultado el 26 de abril de 2021 .
^ Como certificados digitales , tokens OTP , autenticación de huellas dactilares o sugerencias de contraseña.

Enlaces externos

Noguchi, Yuki. Acceso denegado , Washington Post, 23 de septiembre de 2006.
Catone, Josh. Forma incorrecta: 61% usa la misma contraseña para todo , 17 de enero de 2008.
identitychaos.com , blog de MIIS e ILM

[1] "Caos de contraseñas" en TheFreeDictionary

[2] Williams, Shannon. "La persona promedio tiene 100 contraseñas - estudio" . securitybrief.co.nz . Consultado el 26 de abril de 2021 .

[3] Como certificados digitales , tokens OTP , autenticación de huellas dactilares o sugerencias de contraseña.

[1]