Una pregunta de seguridad es una forma de secreto compartido [1] que se utiliza como autenticador . Es comúnmente utilizado por bancos , compañías de cable y proveedores de servicios inalámbricos como una capa de seguridad adicional .
Historia
Las instituciones financieras han utilizado preguntas para autenticar a los clientes desde al menos principios del siglo XX. En un discurso de 1906 en una reunión de una sección de la Asociación de Banqueros Estadounidenses , el banquero de Baltimore William M. Hayden describió el uso que hace su institución de las preguntas de seguridad como complemento de los registros de firmas de los clientes . Describió las tarjetas de firma utilizadas para abrir nuevas cuentas , que tenían espacios para el lugar de nacimiento, la "residencia", el apellido de soltera de la madre, la ocupación y la edad del cliente. [2]
Hayden señaló que algunos de estos elementos a menudo se dejaban en blanco y que la información de "residencia" se usaba principalmente para contactar al cliente, pero el apellido de soltera de la madre era útil como una "prueba sólida de identidad". Aunque observó que era raro que alguien ajeno a la familia del cliente intentara retirar dinero de la cuenta de un cliente, dijo que el apellido de soltera de la madre era útil en la verificación porque rara vez se conocía fuera de la familia y que incluso las personas que abrían cuentas no eran familiares. "a menudo no está preparado para esta pregunta". [2] Del mismo modo, en la práctica moderna, un proveedor de tarjeta de crédito podría solicitar de un cliente madre 's nombre de soltera antes de emitir un reemplazo de una tarjeta perdida. [1]
En la década de 2000, las preguntas de seguridad se generalizaron en Internet . [1] Como una forma de restablecimiento de contraseña de autoservicio , las preguntas de seguridad han reducido los costos de la mesa de ayuda de tecnología de la información . [1] Al permitir el uso de preguntas de seguridad en línea , se vuelven vulnerables al registro de pulsaciones de teclas y a los ataques de adivinación por fuerza bruta . [3] Además, mientras que un representante de servicio al cliente humano puede ser capaz de hacer frente a respuestas de seguridad inexactas de manera adecuada, las computadoras son menos hábiles . Como tal, los usuarios deben recordar la ortografía exacta y, a veces, incluso el caso de las respuestas que brindan, lo que plantea la amenaza de que se escriban más respuestas, exponiéndolos al robo físico.
Solicitud
Debido a la naturaleza común de las redes sociales, muchas de las preguntas de seguridad tradicionales más antiguas ya no son útiles ni seguras. Es importante recordar que una pregunta de seguridad es solo otra contraseña. Por lo tanto, una pregunta de seguridad no debe compartirse con nadie más, ni debe incluir información disponible en los sitios web de las redes sociales, sin dejar de ser simple, memorable, difícil de adivinar y constante a lo largo del tiempo. Al comprender que no todas las preguntas funcionarán para todos, RSA (un proveedor de seguridad de red de EE. UU., Una división de EMC Corporation) ofrece a los bancos 150 preguntas para elegir. [1]
Muchos han cuestionado la utilidad de las cuestiones de seguridad. [4] [5] [6] El especialista en seguridad Bruce Schneier señala que, dado que son datos públicos sobre una persona, son más fáciles de adivinar para los piratas informáticos que las contraseñas. Los usuarios que saben esto crean respuestas falsas a las preguntas, luego olvidan las respuestas, frustrando así el propósito y creando un inconveniente que no vale la pena la inversión. [7]
Ver también
Referencias
- ↑ a b c d e Levin, Josh (30 de enero de 2008). "¿En qué ciudad hiciste luna de miel? Y otras preguntas de seguridad bancarias monstruosamente estúpidas" . Pizarra.
- ↑ a b William M. Hayden (1906), Systems in Savings Banks , The Banking Law Journal , volumen 23, página 909.
- ^ Bonneau, Joseph; Bursztein, Elie; Caron, Ilan; Jackson, Rob; Williamson, Mike (18 de mayo de 2015). "Secretos, mentiras y recuperación de la cuenta: lecciones del uso de preguntas de conocimiento personal en Google" . Actas de la 24ª Conferencia Internacional sobre World Wide Web . Florencia Italia: Comité Directivo de las Conferencias Internacionales de la World Wide Web: 141–150. doi : 10.1145 / 2736277.2741691 . ISBN 978-1-4503-3469-3.
- ^ Robert Lemnos, ¿Sus "preguntas secretas" son demasiado fáciles de responder? , MIT Technology Review , 18 de mayo de 2009 (consultado el 21 de mayo de 2015)
- ^ Victor Luckerson, deje de usar esta respuesta dolorosamente obvia para sus preguntas de seguridad , Revista Time , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
- ^ Elie Bursztein, Nueva investigación: Algunas preguntas difíciles para 'Preguntas de seguridad' , 24ª Conferencia Internacional World Wide Web (WWW 2015), Florencia, Italia, 18 al 22 de mayo de 2015; Blog de seguridad en línea de Google , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
- ^ Bruce Schneier. "La maldición de la cuestión de seguridad" .