Respuesta secreta: Un servicio de recuperacion de contraseña? o un BUG grave de seguridad?

Hace mucho habia querido escribir esta entrada, pero por cuestiones de tiempo y trabajo no habia podido sacar el espacio para redactar este articulo el cual es totalmente una opinion personal, muchos expertos del tema, diran que estoy totalmente equivocado, por esta razon, aclaro que este articulo fue basado en mi propia experiencia y opinion.

Muy seguramente todos alguna vez habran usado el famoso vinculo de “olvido la contraseña”  en hotmail, para reestablecer su contraseña,  para esto existen 2 opciones.

  • Direccion de correo electronico alternativo: Esta opcion es quizas la mas apropiada para reeestablecer nuestro password, pero la pregunta es, cuantos de nosotros nos tomamos la tarea de relacionar una direccion de correo alternativo al correo de hotmail?
  • Respuesta pregunta secreta: En teoria esta opcion no deberia tener problema, siempre y cuando los usuarios comunes entendieran el concepto de la pregunta secreta.

Hasta aqui todo normal,  ustedes amigos lectores, estaran pensando donde esta el bug? donde esta el fallo de seguridad?

Para resolver esta pregunta, haremos ejemplo sencillo. Tomemos un correo electronico de un usuario  comun, el cual sea conocido por nosotros, y comencemos el proceso de reestablecer la contraseña:

 

Ahora, simplemente es usar nuestra logica, o un poco de ingenieria social para adivinar la clave secreta,  si conocemos a la persona, no vamos a tener ningun inconveniente en responder la pregunta, ya que generalmente TODOS los usuarios ponen preguntas demasiado obvias que cualquier persona que los conozca un poco podra descifrar.

Me tome la dificil y dispendiosa tarea, de realizar esta prueba con 10 personas conocidas,  en esta muestra habian desde personas muy allegadas, y personas recien conocidas. Los resultados son alarmantes, 7 de esos 10 correos fueron vulnerados simplemente prediciendo la respuesta secreta, es decir, alrededor del 70% de la muestra se pudo cambiar el password.

Como ven es algo preocupante, por que TODOS los usuarios de Hotmail, no entienden el mecanismo de la pregunta secreta, y alli publican preguntas demasiado sencillas y no tan secretas. Para aumentar la seguridad de tu cuenta, es fundamental poner una pregunta que en realidad sea secreta, que solo tu conozcas la respuesta, por que de esta forma garantizaras que cualquier curioso te robe el password de una forma sencilla.

6 Comments