Pregunta de seguridad

Pregunta utilizada para controlar el acceso.

Una pregunta de seguridad es una forma de secreto compartido ^[1] que se utiliza como autenticador . Es comúnmente utilizado por bancos , compañías de cable y proveedores inalámbricos como una capa de seguridad adicional.

Historia

Las instituciones financieras han utilizado preguntas para autenticar a los clientes desde al menos principios del siglo XX. En un discurso de 1906 en una reunión de una sección de la Asociación Estadounidense de Banqueros , el banquero de Baltimore William M. Hayden describió el uso de preguntas de seguridad por parte de su institución como complemento a los registros de firmas de los clientes . Describió las tarjetas de firma utilizadas para la apertura de nuevas cuentas , que tenían espacios para el lugar de nacimiento del cliente, "residencia", apellido de soltera de la madre, ocupación y edad. ^[2]

Hayden señaló que algunos de estos elementos a menudo se dejaban en blanco y que la información de "residencia" se usaba principalmente para contactar al cliente, pero el apellido de soltera de la madre era útil como una "prueba sólida de identidad". Aunque observó que era raro que alguien ajeno a la familia del cliente intentara retirar dinero de la cuenta de un cliente, dijo que el apellido de soltera de la madre era útil para la verificación porque rara vez se conocía fuera de la familia y que incluso las personas que abrían las cuentas eran "A menudo no estoy preparado para esta pregunta". ^[2] De manera similar, según la práctica moderna, un proveedor de tarjetas de crédito podría solicitar el apellido de soltera de la madre de un cliente antes de emitir un reemplazo para una tarjeta perdida. ^[1]

En la década de 2000, las preguntas de seguridad se hicieron de uso generalizado en Internet . ^[1] Como forma de autoservicio de restablecimiento de contraseña , las preguntas de seguridad han reducido los costos del servicio de asistencia técnica de tecnología de la información . ^[1] Al permitir el uso de preguntas de seguridad en línea , se vuelven vulnerables al registro de pulsaciones de teclas y ataques de adivinación por fuerza bruta , ^[3] así como al phishing . ^[4] Además, mientras que un representante humano de servicio al cliente puede ser capaz de hacer frente adecuadamente a respuestas de seguridad inexactas, las computadoras son menos hábiles . Como tal, los usuarios deben recordar la ortografía exacta y, a veces, incluso las mayúsculas y minúsculas de las respuestas que proporcionan, lo que plantea el riesgo de que se escriban más respuestas, exponiéndolos a robo físico.

Solicitud

Debido a la naturaleza común de las redes sociales, muchas de las preguntas de seguridad tradicionales más antiguas ya no son útiles ni seguras. Una pregunta de seguridad es simplemente otra forma de mecanismo de contraseña. Por lo tanto, una pregunta de seguridad no debe compartirse con nadie más ni incluir información fácilmente disponible en sitios web de redes sociales, y debe ser simple, memorable, difícil de adivinar y constante en el tiempo. Al comprender que no todas las preguntas funcionarán para todos, RSA (un proveedor de seguridad de red estadounidense, una división de EMC Corporation) ofrece a los bancos 150 preguntas para elegir. ^[1]

Muchos han cuestionado la utilidad de las preguntas de seguridad. ^{[5] [6] [7]} El especialista en seguridad Bruce Schneier señala que, dado que son datos públicos sobre una persona, son más fáciles de adivinar para los piratas informáticos que las contraseñas. Los usuarios que saben esto crean respuestas falsas a las preguntas y luego olvidan las respuestas, frustrando así el propósito y creando un inconveniente que no vale la pena invertir. ^[8]

Ver también

• Contraseña cognitiva
• Autenticación basada en conocimientos
• Fatiga de contraseña

Referencias

1. Levin, Josh (30 de enero de 2008). "¿En qué ciudad tuviste tu luna de miel? Y otras preguntas de seguridad bancaria monstruosamente estúpidas". Pizarra.
2. William M. Hayden (1906), Sistemas en las cajas de ahorros, The Banking Law Journal , volumen 23, página 909.
3. Bonneau, José; Bursztein, Elie; Caron, Ilán; Jackson, Rob; Williamson, Mike (18 de mayo de 2015). "Secretos, mentiras y recuperación de cuentas: lecciones del uso de preguntas de conocimiento personal en Google". Actas de la 24ª Conferencia Internacional sobre la World Wide Web . Florencia Italia: Comité Directivo de Conferencias Internacionales World Wide Web. págs. 141-150. doi : 10.1145/2736277.2741691 . ISBN 978-1-4503-3469-3.
4. "Los usuarios de Facebook, sin saberlo, participan en una estafa viral de sugerencia de contraseña al 'jugar juegos de preguntas'". Tu contenido . 2021-05-30 . Consultado el 17 de julio de 2021 .
5. Robert Lemnos, ¿Se responden demasiado fácilmente a sus "preguntas secretas"? MIT Technology Review , 18 de mayo de 2009 (consultado el 21 de mayo de 2015)
6. Victor Luckerson, Deje de utilizar esta respuesta dolorosamente obvia para sus preguntas de seguridad, Revista Time , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
7. Elie Bursztein, Nueva investigación: algunas preguntas difíciles para las 'cuestiones de seguridad', 24ª Conferencia Internacional de la World Wide Web (WWW 2015), Florencia, Italia, 18 al 22 de mayo de 2015; Blog de seguridad en línea de Google , 21 de mayo de 2015 (consultado el 21 de mayo de 2015)
8. Bruce Schneier. "La maldición de la cuestión de la seguridad".