jueves, 14 de febrero de 2008

¿CUÁL ES TU CONTRASEÑA FAVORITA?



Durante mi infancia, tenía varios amigos con quienes compartía un conjunto de señales, expresiones y actitudes que nos identificaba como grupo. Los no iniciados en las mismas trataban de descifrarlas y cuando lo conseguían nos dedicábamos a inventar otras: eran nuestras contraseñas.

Después llegaron las computadoras e Internet; empezamos a conectarnos en forma remota con servidores, diarios on line, páginas favoritas, teletrabajo, bancos y un montón de sitios que requerían de contraseñas para acceder a los mismos. Nos vimos obligados a tener varias contraseñas y, es lógico, no es simple recordarlas a todas ellas.

Los bancos rápidamente se dieron cuenta que podían ahorrar mucho dinero si los clientes pueden realizar numerosas transacciones en forma remota desde una computadora. Los clientes rápidamente nos dimos cuenta que la dupla “nombre de usuario – contraseña” no era lo suficientemente segura y empezamos a solicitar una mayor protección. Fue entonces cuando aparecieron las “preguntas de seguridad” o “secretos compartidos”.

La técnica es sencilla y aparentemente efectiva: en la pagina web de la institución aparece una o varias preguntas de índole familiar, la contestamos y queda almacenada para nuestra autentificación.

Veamos algunos ejemplos de estas preguntas.

1.- El apellido de soltera de su esposa: no me sirve porque no estoy casado.
2.- El nombre de su primer cachorro: mis padres nunca me dejaron tener alguno.
3.- El nombre de su maestra favorita: hace tanto tiempo que terminé la escuela primaria y me mudé de ciudad, de forma tal que no tengo manera de recordarlo.
4.- El número de patente de su primer auto: imposible porque se cambió del formato numérico al formato alfanumérico.
5.- El nombre de tu banda favorita: dudo que aquellos a quienes les gusta el tango o el bolero piensen en términos de banda musical favorita.
6.- Tu apodo en la infancia: lo odiaba tanto que lo último que deseo es recordarlo y almacenarlo.

Los expertos en el tema afirman que una buena pregunta de seguridad debe responder a los siguientes cuatro criterios:

a.- No debe ser fácil de adivinar o encontrar (segura)
b.- No debe cambiar con el tiempo (estable)
c.- Debe ser fácilmente recordable
d.- Debe ser simple y no ambigua

Para que una respuesta sea segura, debe tener una respuesta difícil de adivinar o de localizar. Técnicamente se dice que esa respuesta tiene una alta entropía, lo que implica un número muy alto de respuestas posibles y que la probabilidad de cada una de ellas debe ser relativamente baja. Esa respuesta tampoco debe ser fácilmente accesible por otros miembros de la familia, ex-cónyuges y ex–amigos, puesto que los mismos podrían tener grandes expectativas respecto a nuestro dinero.

A partir de lo anterior sugieren una lista de malas y buenas preguntas:

Malas preguntas
· Cuál es su dirección
· Cuál es su apellido materno

Buenas preguntas
· Cuando era chico, cuál pensaba que iba a ser su trabajo como adulto
· El nombre de su primer amor

Una buena pregunta de seguridad no debe cambiar con el tiempo. Es por ello que en la misma no debe figurar el término “favorito”, porque el mundo moderno nos ofrece tantas novedades que inevitablemente vamos mutando nuestros gustos y preferencias. Por otro lado, si participamos en Facebook u otros sitios sociales donde compartimos o sugerimos nuestras preferencias, nuestros favoritos están al alcance de cualquiera.

Malas preguntas
· Donde trabaja
· Donde planifica vivir cuando se jubile
· Donde fue de vacaciones el último verano

Buenas preguntas
· Cuál es el segundo nombre de su hijo menor
· Cuál es el nombre de la escuela donde terminó la primaria

Una pregunta no fácilmente recordable es aquella que nos obliga a alejarnos de la computadora para poder responderla o que nos sumerja en una larga reflexión para no equivocarnos. Algunos especialistas sugieren no incluir preguntas que nos retrocedan a la infancia e inclusive que no se refieran a sucesos con más de un año de antigüedad. El problema es que varias de las preguntas calificadas como buenas con los anteriores criterios, ahora dejan de serlo.

Las respuestas simples y no ambiguas deben ser concluyentes, con un formato obvio y no sensitivas al tema de “mayúsculas – minúsculas”. Por lo tanto, cuidado con las fechas, los nombres propios y las ambigüedades.

Analizando todo lo anterior, los expertos en seguridad bancaria concluyeron que es imposible encontrar buenas preguntas de seguridad. Si bien existen tecnologías para autentificar basadas en imágenes y en mensajes de texto, las mismas son lo suficientemente costosas para que los bancos se nieguen a incorporarlas en el trato de los clientes “comunes”.

Sugieren dos alternativas:

1.- que el usuario genere sus propias preguntas y respuestas al momento de incorporarse al home banking. No dudo que muchas personas se van a “tildar” frente a la computadora al momento de pensar sus preguntas y es altamente probable que se olviden lo que escribieron cuando llegue el momento de la autentificación.

2.- un sistema basado en llamadas telefónicas: la primera vez el usuario ingresa su teléfono particular, su teléfono laboral y su celular. Cuando solicita recordar su contraseña, indica a cual de los teléfonos hay que llamarlo y si esa comunicación se establece, le aparece en la pantalla de la computadora la contraseña solicitada. No es un método perfecto, pero al menos no hay cachorros, ni bandas, ni familiares ni maestras odiadas.

En la Argentina, durante el año 2001, los bancos establecieron el denominado “corralito financiero”. Mediante el mismo se confiscaron los ahorros de numerosos clientes quienes tuvieron que recurrir a la Justicia para intentar recuperarlos. Si un banco argentino me permite generar mi propia pregunta para acceder a mis registros, sin lugar a dudas ella será: ¿Cuándo me van a devolver lo que aún me deben?.

No hay comentarios.: