Pregunta de seguridad

Pregunta utilizada para controlar el acceso

Una pregunta de seguridad es una forma de secreto compartido ^[1] que se utiliza como autenticador . Los bancos , las compañías de cable y los proveedores de servicios inalámbricos suelen utilizarla como una capa de seguridad adicional .

Historia

Las instituciones financieras han utilizado preguntas para autenticar a los clientes desde al menos principios del siglo XX. En un discurso pronunciado en 1906 en una reunión de una sección de la Asociación de Banqueros Estadounidenses , el banquero de Baltimore William M. Hayden describió el uso de preguntas de seguridad por parte de su institución como complemento a los registros de firmas de los clientes . Describió las tarjetas de firma utilizadas para abrir nuevas cuentas , que tenían espacios para el lugar de nacimiento del cliente, su "residencia", el apellido de soltera de la madre, la ocupación y la edad. ^[2]

Hayden señaló que algunos de estos datos se dejaban a menudo en blanco y que la información sobre la "residencia" se utilizaba principalmente para ponerse en contacto con el cliente, pero el apellido de soltera de la madre era útil como "prueba sólida de identidad". Aunque observó que era poco frecuente que alguien ajeno a la familia del cliente intentara retirar dinero de una cuenta de cliente, dijo que el apellido de soltera de la madre era útil para la verificación porque rara vez se conocía fuera de la familia y que incluso las personas que abrían cuentas "a menudo no estaban preparadas para esta pregunta". ^[2] De manera similar, en la práctica moderna, un proveedor de tarjetas de crédito podría solicitar el apellido de soltera de la madre de un cliente antes de emitir un reemplazo por una tarjeta perdida. ^[1]

En la década de 2000, las preguntas de seguridad se empezaron a utilizar ampliamente en Internet . ^[1] Como una forma de restablecimiento de contraseñas de autoservicio , las preguntas de seguridad han reducido los costos de la mesa de ayuda de tecnología de la información . ^[1] Al permitir el uso de preguntas de seguridad en línea , se las vuelve vulnerables al registro de pulsaciones de teclas y a los ataques de adivinación por fuerza bruta , ^[3] así como al phishing . ^[4] Además, mientras que un representante de servicio al cliente humano puede ser capaz de lidiar con respuestas de seguridad inexactas de manera apropiada, las computadoras son menos hábiles . Como tal, los usuarios deben recordar la ortografía exacta y, a veces, incluso las mayúsculas y minúsculas de las respuestas que brindan, lo que plantea la amenaza de que se escriban más respuestas, exponiéndolos al robo físico.

Solicitud

Debido a la naturaleza común de las redes sociales, muchas de las preguntas de seguridad tradicionales más antiguas ya no son útiles ni seguras. Una pregunta de seguridad es simplemente otra forma de mecanismo de contraseña. Por lo tanto, una pregunta de seguridad no debe compartirse con nadie más ni incluir ninguna información disponible en los sitios web de las redes sociales, y debe seguir siendo simple, memorable, difícil de adivinar y constante en el tiempo. RSA (un proveedor de seguridad de redes estadounidense, una división de EMC Corporation) entiende que no todas las preguntas funcionarán para todos y ofrece a los bancos 150 preguntas para elegir. ^[1]

Muchos han cuestionado la utilidad de las preguntas de seguridad. ^{[5] [6] [7]} El especialista en seguridad Bruce Schneier señala que, dado que son datos públicos sobre una persona, son más fáciles de adivinar para los piratas informáticos que las contraseñas. Los usuarios que saben esto crean respuestas falsas a las preguntas y luego olvidan las respuestas, lo que frustra el propósito y crea un inconveniente que no vale la pena la inversión. ^[8]

Véase también

• Contraseña cognitiva
• Autenticación basada en conocimiento
• Fatiga de contraseñas

Referencias

1. Levin, Josh (30 de enero de 2008). "¿En qué ciudad fuiste de luna de miel? Y otras preguntas de seguridad bancaria monstruosamente estúpidas". Slate.
2. William M. Hayden (1906), Sistemas en las Cajas de Ahorro, The Banking Law Journal , volumen 23, página 909.
3. Bonneau, Joseph; Bursztein, Elie; Caron, Ilan; Jackson, Rob; Williamson, Mike (18 de mayo de 2015). "Secretos, mentiras y recuperación de cuentas: lecciones del uso de preguntas de conocimiento personal en Google". Actas de la 24.ª Conferencia Internacional sobre la World Wide Web . Florencia, Italia: Comité Directivo de las Conferencias Internacionales sobre la World Wide Web. págs. 141–150. doi : 10.1145/2736277.2741691 . ISBN . 978-1-4503-3469-3.
4. "Los usuarios de Facebook participan sin saberlo en una estafa viral de pistas de contraseñas al 'jugar juegos de preguntas'". Tu contenido . 2021-05-30 . Consultado el 2021-07-17 .
5. Robert Lemnos, ¿Es demasiado fácil responder a sus "preguntas secretas"?, MIT Technology Review , 18 de mayo de 2009 (consultado el 21 de mayo de 2015)
6. Victor Luckerson, Dejen de usar esta dolorosamente obvia respuesta para sus preguntas de seguridad, Time Magazine , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
7. Elie Bursztein, New Research: Some Tough Questions for 'Security Questions', 24th International World Wide Web Conference (WWW 2015), Florencia, Italia, 18-22 de mayo de 2015; Google Online Security Blog , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
8. Bruce Schneier. "La maldición de la cuestión de seguridad".