Contraseña cognitiva

Forma de autenticación basada en el conocimiento

Una contraseña cognitiva es una forma de autenticación basada en el conocimiento que requiere que el usuario responda una pregunta, presumiblemente algo que conoce intrínsecamente, para verificar su identidad. Los sistemas de contraseñas cognitivas se han investigado durante muchos años y actualmente se utilizan comúnmente como una forma de acceso secundario. Se desarrollaron para superar el problema común de memorización versus solidez que existe con las contraseñas tradicionales. Las contraseñas cognitivas, en comparación con otros sistemas de contraseñas, se pueden medir mediante el uso de una relación de memorización versus adivinabilidad. ^[1]

Historia

La investigación sobre las contraseñas como método de autenticación ha tenido que luchar entre la facilidad de memorización y la seguridad. ^[2] Las contraseñas que se recuerdan fácilmente son fácilmente descifradas por los atacantes. Por otro lado, las contraseñas seguras son difíciles de descifrar pero también difíciles de recordar. ^{[3] [4]} Cuando las contraseñas son difíciles de recordar, los usuarios pueden escribirlas, y la confidencialidad de la contraseña se ve comprometida. ^[5] Las primeras investigaciones sobre este equilibrio entre seguridad y usabilidad apuntaron a desarrollar un sistema de contraseñas que utilizara datos personales fáciles de recordar y alentara la participación del usuario. Esta línea de investigación resultó en el concepto de contraseña asociativa, un sistema de contraseñas basado en pistas y respuestas seleccionadas por el usuario . ^[6] Este concepto de contraseñas asociativas se amplió a un conjunto preestablecido de preguntas y respuestas que se esperaría que los usuarios conocieran y pudieran recordar fácilmente. ^[7] El análisis empírico de las contraseñas y la cognición humana resultó en una recomendación de que no se debería esperar que las personas recuerden más de las cuatro contraseñas complejas. ^[8]

Basándose en la idea de las preguntas, los investigadores posteriores desarrollaron una serie de innovaciones para las contraseñas cognitivas. Las contraseñas faciales utilizaban la capacidad de identificar a individuos en una red social y la particular fortaleza cognitiva de reconocer rostros. ^[9] Trabajos posteriores que evaluaron estas claves confirmaron la recomendación de cuatro contraseñas como una expectativa cognitiva razonable. ^[10]

Una revisión histórica del uso de diversas señales reveló que el diseño y la disposición específicos de la página afectan la memorabilidad y la fuerza. ^[11] Trabajos posteriores demostraron que la inclusión de una señal visual permitió mejoras muy significativas en el equilibrio entre memorabilidad y seguridad. ^[12]

Preguntas cognitivas

El núcleo de un sistema de contraseñas cognitivas son las pistas, que pueden ser fotografías de rostros, periódicos, imágenes u otras pistas gráficas o textuales. Uno de los primeros métodos para ayudar a recordar recomendaba las preguntas de seguridad , que ahora aparecen más tarde . Estas preguntas se diseñaron para que fueran más fáciles de recordar que el método estándar de autenticación de nombre de usuario y contraseña. Por tanto, una medida de la solidez de una contraseña cognitiva es la relación entre facilidad de memorización y facilidad de adivinación. ^[13]

Desarrollo de preguntas

Las preguntas desarrolladas para los sistemas de contraseñas cognitivas se clasifican como basadas en hechos o en opiniones. Los sistemas basados ​​en hechos tienen preguntas con respuestas que se consideran independientes de los sentimientos de un individuo, como "¿Cómo se llama la escuela secundaria a la que asististe?". Las preguntas basadas en opiniones son lo opuesto y, como su nombre lo indica, tienen respuestas basadas en opiniones personales como "¿Cuál es tu color favorito?" ^[14] Investigaciones posteriores desarrollaron un conjunto de criterios para la selección de preguntas que incluían la capacidad de respuesta generalizada, el número de respuestas potenciales y la falta generalizada de ambigüedad. El primer criterio sugería que las preguntas deberían poder ser respondidas por todos (es decir, no preguntar "¿Cuándo compró su primera casa?" porque no todos los usuarios pueden haber comprado casas). El segundo criterio recomendaba seleccionar preguntas con un conjunto suficientemente grande de respuestas potenciales (es decir, no preguntar "¿Cuántos hijos tiene?" porque la mayoría de las personas responderían 0, 1 o 2). Un objetivo de diseño es tener preguntas que sean lo más inequívocas posible (es decir, no preguntar "¿Cuántos miembros de la familia tiene?" ya que puede haber cierta confusión en cuanto a quiénes se incluirían en ese recuento). ^[15] Para crear preguntas utilizables, un criterio eficaz es el uso de preguntas persuasivas y atractivas. ^[16]

Las personas mayores que se enfrentan al deterioro cognitivo normal del envejecimiento pueden responder bien a las señales visuales. ^[17] Las interacciones táctiles pueden hacer que la tecnología sea más accesible. ^[18]

Memorabilidad vs. adivinabilidad

Se espera que la capacidad de un usuario para recordar correctamente su contraseña disminuya a medida que pasa el tiempo. ^[19] Sin embargo, la memorabilidad de las contraseñas cognitivas permanece relativamente estable a lo largo del tiempo con tasas de recuerdo significativamente más altas que las contraseñas tradicionales. ^{[20] [21]} Cuando se comparan las preguntas basadas en hechos y opiniones, es más probable que las preguntas basadas en hechos se recuerden correctamente que las preguntas basadas en opiniones, pero aún mucho más probable que las contraseñas tradicionales. ^[20] Las preguntas cognitivas, con un grupo promediado en su conjunto, muestran una capacidad de adivinación relativamente alta, mucho más alta que las contraseñas tradicionales, pero cuando se analizan individualmente, se ha demostrado que ciertas preguntas tienen proporciones de memorabilidad/capacidad de adivinación aceptables. ^[20]

Ejemplos

Las siguientes son algunas preguntas típicas sobre contraseñas cognitivas:

• ¿Cual es el apellido de soltera de tu madre?
• ¿Quién es tu superhéroe favorito?
• ¿Cómo se llama tu perro?
• ¿Cómo se llama tu coche?
• ¿Cual es tu pelicula favorita?
• ¿En qué ciudad naciste?
• ¿Cual es tu color favorito?

Referencias

1. Shon Harris (2002). "2". Pasaporte de certificación CISSP(R) de Mike Meyers. Pasaporte de certificación de Mike Meyers Serie Passport (edición ilustrada). McGraw-Hill Professional. pág. 36. ISBN 978-0-07-222578-5.
2. Simon HA. Ciencia cognitiva: la ciencia más nueva de lo artificial. Ciencia cognitiva. 1 de enero de 1980;4(1):33-46.
3. Zviran y Haga, 1990a
4. J. Yan, A. Blackwell, R. Anderson y A. Grant. Memorabilidad y seguridad de contraseñas: resultados empíricos. [IEEE Security and Privacy, 2(5):25–31, 2004.
5. Zviran y Haga, 1999, pág. 173
6. Smith, 1987
7. Zviran y Haga, 1990a, pág. 723
8. A. Adams y MA Sasse . Los usuarios no son el enemigo. Commun. ACM, 42(12):40–46, 1999.
9. Wiedenbeck, J. Waters, J.-C. Birget, A. Brodskiy y N. Memon. PassPoints: diseño y evaluación longitudinal de un sistema gráfico de contraseñas. Int. J. Hum.-Comput. Stud., 63(1-2):102–127, 2005.
10. Brostoff, S., y Sasse, MA (2000). ¿Son las contraseñas más útiles que las de tipo Passface? Una investigación de campo. En People and computers XIV—usability or else! (págs. 405-424). Springer, Londres.
11. Biddle R, Chiasson S, Van Oorschot PC. Contraseñas gráficas: aprendizaje a partir de los primeros doce años. ACM Computing Surveys. 1 de agosto de 2012;44(4):19.
12. Camp, L. Jean, Jacob Abbott y Siyu Chen. "CPasswords: aprovechamiento de la memoria episódica y el diseño centrado en el ser humano para una mejor autenticación". 49.ª Conferencia Internacional de Hawái sobre Ciencias de Sistemas (HICSS) de 2016. IEEE, 2016.
13. Bunnell y otros, 1997, pág. 631
14. Zviran y Haga, 1990
15. Bunnell y otros, 1997, pág. 633
16. Alain Forget, Sonia Chiasson, PC van Oorschot y Robert Biddle. 2008. Mejorar las contraseñas de texto mediante la persuasión. En Actas del 4º simposio sobre privacidad y seguridad utilizables (SOUPS '08). ACM, Nueva York, NY, EE. UU., 1-12.
17. Anderson, N. y Craik, F., “La memoria en el cerebro envejecido”, The Oxford handbook of memory, págs. 411–425, 2000.
18. Z. Zimmerman y L Jean Camp, "Efectos del diseño adaptado a las personas mayores en la aceptación de nuevas tecnologías", Taller sobre diseño de interacción con personas mayores CHI; CHI 2010, (Atlanta, GA.) 4 de abril de 2010.
19. (Brown y otros, 2004, pág. 642)
20. Bunnell y otros, 1997, pág. 635
21. Zviran y Haga, 1990a, p.728

Obras citadas

• Brown, Alan S.; al, et. (2004), "Generación y recordación de contraseñas", Applied Cognitive Psychology , 18 (6): 641–651, doi :10.1002/acp.1014
• Bunnell, Julie; al, et. (1997), "Contraseñas cognitivas, asociativas y convencionales: tasas de recuperación y adivinación", Computers & Security , 16 (7): 629–641, doi :10.1016/s0167-4048(97)00008-4
• Smith, Sidney L. (1987), "Autenticación de usuarios mediante asociación de palabras", Human Factors and Ergonomics Society , 31 (1): 135–138, doi :10.1177/154193128703100130
• Zviran, Moshe; Haga, William J. (1990a), "Contraseñas cognitivas: la clave para un control de acceso sencillo", Computers & Security , 9 (8): 723–736, doi :10.1016/0167-4048(90)90115-a
• Zviran, Moshe; Haga, William J. (1999), "Seguridad de contraseñas: un estudio empírico", Journal of Management Information Systems , 15 (4): 161–185, doi :10.1080/07421222.1999.11518226, hdl : 10945/40319
• Zviran, Moshe; Elrich, Zippy (2006), "Identificación y autenticación: tecnología y cuestiones de implementación", Comunicaciones de la Asociación de Sistemas de Información , 17 (4): 90–105, doi : 10.17705/1CAIS.01704

Enlaces externos

• Autenticación de contraseñas visual y cognitiva