Una contraseña cognitiva es una forma de autenticación basada en el conocimiento que requiere que el usuario responda una pregunta, presumiblemente algo que conoce intrínsecamente, para verificar su identidad. Los sistemas de contraseñas cognitivas se han investigado durante muchos años y actualmente se utilizan comúnmente como una forma de acceso secundario. Se desarrollaron para superar el problema común de memorización versus solidez que existe con las contraseñas tradicionales. Las contraseñas cognitivas, en comparación con otros sistemas de contraseñas, se pueden medir mediante el uso de una relación de memorización versus adivinabilidad. [1]
La investigación sobre las contraseñas como método de autenticación ha tenido que luchar entre la facilidad de memorización y la seguridad. [2] Las contraseñas que se recuerdan fácilmente son fácilmente descifradas por los atacantes. Por otro lado, las contraseñas seguras son difíciles de descifrar pero también difíciles de recordar. [3] [4] Cuando las contraseñas son difíciles de recordar, los usuarios pueden escribirlas, y la confidencialidad de la contraseña se ve comprometida. [5] Las primeras investigaciones sobre este equilibrio entre seguridad y usabilidad apuntaron a desarrollar un sistema de contraseñas que utilizara datos personales fáciles de recordar y alentara la participación del usuario. Esta línea de investigación resultó en el concepto de contraseña asociativa, un sistema de contraseñas basado en pistas y respuestas seleccionadas por el usuario . [6] Este concepto de contraseñas asociativas se amplió a un conjunto preestablecido de preguntas y respuestas que se esperaría que los usuarios conocieran y pudieran recordar fácilmente. [7] El análisis empírico de las contraseñas y la cognición humana resultó en una recomendación de que no se debería esperar que las personas recuerden más de las cuatro contraseñas complejas. [8]
Basándose en la idea de las preguntas, los investigadores posteriores desarrollaron una serie de innovaciones para las contraseñas cognitivas. Las contraseñas faciales utilizaban la capacidad de identificar a individuos en una red social y la particular fortaleza cognitiva de reconocer rostros. [9] Trabajos posteriores que evaluaron estas claves confirmaron la recomendación de cuatro contraseñas como una expectativa cognitiva razonable. [10]
Una revisión histórica del uso de diversas señales reveló que el diseño y la disposición específicos de la página afectan la memorabilidad y la fuerza. [11] Trabajos posteriores demostraron que la inclusión de una señal visual permitió mejoras muy significativas en el equilibrio entre memorabilidad y seguridad. [12]
El núcleo de un sistema de contraseñas cognitivas son las pistas, que pueden ser fotografías de rostros, periódicos, imágenes u otras pistas gráficas o textuales. Uno de los primeros métodos para ayudar a recordar recomendaba las preguntas de seguridad , que ahora aparecen más tarde . Estas preguntas se diseñaron para que fueran más fáciles de recordar que el método estándar de autenticación de nombre de usuario y contraseña. Por tanto, una medida de la solidez de una contraseña cognitiva es la relación entre facilidad de memorización y facilidad de adivinación. [13]
Las preguntas desarrolladas para los sistemas de contraseñas cognitivas se clasifican como basadas en hechos o en opiniones. Los sistemas basados en hechos tienen preguntas con respuestas que se consideran independientes de los sentimientos de un individuo, como "¿Cómo se llama la escuela secundaria a la que asististe?". Las preguntas basadas en opiniones son lo opuesto y, como su nombre lo indica, tienen respuestas basadas en opiniones personales como "¿Cuál es tu color favorito?" [14] Investigaciones posteriores desarrollaron un conjunto de criterios para la selección de preguntas que incluían la capacidad de respuesta generalizada, el número de respuestas potenciales y la falta generalizada de ambigüedad. El primer criterio sugería que las preguntas deberían poder ser respondidas por todos (es decir, no preguntar "¿Cuándo compró su primera casa?" porque no todos los usuarios pueden haber comprado casas). El segundo criterio recomendaba seleccionar preguntas con un conjunto suficientemente grande de respuestas potenciales (es decir, no preguntar "¿Cuántos hijos tiene?" porque la mayoría de las personas responderían 0, 1 o 2). Un objetivo de diseño es tener preguntas que sean lo más inequívocas posible (es decir, no preguntar "¿Cuántos miembros de la familia tiene?" ya que puede haber cierta confusión en cuanto a quiénes se incluirían en ese recuento). [15] Para crear preguntas utilizables, un criterio eficaz es el uso de preguntas persuasivas y atractivas. [16]
Las personas mayores que se enfrentan al deterioro cognitivo normal del envejecimiento pueden responder bien a las señales visuales. [17] Las interacciones táctiles pueden hacer que la tecnología sea más accesible. [18]
Se espera que la capacidad de un usuario para recordar correctamente su contraseña disminuya a medida que pasa el tiempo. [19] Sin embargo, la memorabilidad de las contraseñas cognitivas permanece relativamente estable a lo largo del tiempo con tasas de recuerdo significativamente más altas que las contraseñas tradicionales. [20] [21] Cuando se comparan las preguntas basadas en hechos y opiniones, es más probable que las preguntas basadas en hechos se recuerden correctamente que las preguntas basadas en opiniones, pero aún mucho más probable que las contraseñas tradicionales. [20] Las preguntas cognitivas, con un grupo promediado en su conjunto, muestran una capacidad de adivinación relativamente alta, mucho más alta que las contraseñas tradicionales, pero cuando se analizan individualmente, se ha demostrado que ciertas preguntas tienen proporciones de memorabilidad/capacidad de adivinación aceptables. [20]
Las siguientes son algunas preguntas típicas sobre contraseñas cognitivas: