Harry James
0 
1011
54
Cuando nos registramos en un nuevo servicio en línea, siempre se nos pide que creemos una contraseña. Esto asegura inmediatamente la nueva cuenta. Si es sensato, elige una cadena larga y completamente aleatoria, o deja que una aplicación de administración de contraseñas haga el trabajo La Guía completa para simplificar y asegurar su vida con LastPass y Xmarks La Guía completa para simplificar y asegurar su vida con LastPass y Xmarks Si bien la nube significa que puede acceder fácilmente a su información importante donde quiera que esté, también significa que tiene muchas contraseñas para realizar un seguimiento. Por eso se creó LastPass. para ti. Luego en la secuencia vienen las preguntas de seguridad.
Estas preguntas generalmente solicitan el apellido de soltera de su madre, el nombre de su escuela primaria, el nombre de su primera mascota, etc. Diseñadas para mantener nuestras cuentas a salvo de posibles piratas informáticos, las preguntas de seguridad deberían actuar como una línea de defensa adicional.
¿Cómo respondes esas preguntas? ¿Dices la verdad, toda la verdad y nada más que la verdad? Desafortunadamente, su veracidad podría estar creando una grieta inesperada en su armadura en línea. Echemos un vistazo a cómo exactamente debería estar respondiendo esas preguntas.
Una barrera protectora
Las sugerencias de contraseña son sin duda útiles. Se mostrará una sugerencia útil si olvida su contraseña de Windows. Y esto es después de un solo intento fallido. En el caso de la contraseña de Windows, su sugerencia debería actualizar su memoria. Te recuerda usar una pista que has seleccionado, para que puedas ser tan críptico o abierto como te sientas..
Las preguntas de seguridad son diferentes. Regularmente enfrentamos las combinaciones de preguntas familiares que mencioné anteriormente, y de buena gana proporcionamos respuestas precisas. Las preguntas de seguridad se presentan como una línea de defensa adicional. Sin embargo, debe considerar la relativa facilidad de obtener algunas de las respuestas en la sociedad ultraconectada de hoy..
Los investigadores de seguridad regularmente se burlan de las preguntas de seguridad como mediocres. Cómo crear una pregunta de seguridad que nadie más puede adivinar. Cómo crear una pregunta de seguridad que nadie más puede adivinar. En las últimas semanas he escrito mucho sobre cómo hacer que las cuentas en línea sean recuperables. Una opción de seguridad típica es configurar una pregunta de seguridad. Si bien esto potencialmente proporciona una manera rápida y fácil de ... ¿Podemos tener fe en una medida de seguridad cuyas respuestas se puedan descubrir tan fácilmente??
Lo estoy haciendo mal?
Los atacantes aprovechan las preguntas fáciles Cómo detectar y evitar 10 de las técnicas de piratería más insidiosas Cómo detectar y evitar 10 de las técnicas de piratería más insidiosas Los piratas informáticos se están volviendo más astutos y muchas de sus técnicas y ataques a menudo pasan desapercibidos incluso para usuarios experimentados. Aquí hay 10 de las técnicas de piratería más insidiosas para evitar. - colores, nombres de soltera, primeras mascotas - porque pueden obtenerse fácilmente a través de cuentas de redes sociales Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué técnicas de ingeniería social usaría un hacker y cómo te proteges de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes. . Para empeorar las cosas, si su cuenta usa preguntas y respuestas extremadamente específicas, un atacante puede eliminar otras contraseñas potenciales.
Por ejemplo, si la pregunta de seguridad era “¿Dónde compraste tu primer auto??” el atacante puede ignorar inmediatamente otras respuestas más fáciles.
Estoy seguro de que ya ha sacado la solución obvia a este problema de seguridad. Si el atacante está buscando una respuesta que se relacione directamente con usted, ¿por qué no usar algo completamente diferente??
- Cuál es el apellido de soltera de tu madre? fa1c0npunc4
- Dónde conociste a tu esposa? b1cycl3tyr3
- Cuál era el nombre de tu primera mascota? n0str0d4mu5
De acuerdo, son ejemplos terribles, pero me entiendes. Si la respuesta es a) oscura yb) usa caracteres aleatorios, establecerá inmediatamente la barra de seguridad de sus cuentas un poco más alta ¿Ha tomado estos 5 primeros pasos para proteger sus cuentas en línea? ¿Has tomado estos 5 primeros pasos para proteger tus cuentas en línea? Es sorprendente la cantidad de personas que ignoran estos conceptos básicos para protegerse en línea. Estos cinco sitios web y herramientas hacen que la seguridad en línea sea una tarea más fácil. .
Y eso me hará seguro?
Más seguro, amigo, pero no del todo seguro.
Verá, en 2015, Google publicó un documento interesante que explora las lecciones que han aprendido sobre cuestiones de seguridad. Utilizando su conjunto de datos casi inigualable para analizar las preguntas secretas dadas por su monumental base de usuarios, trataron de comprender cuán efectiva es esta capa de seguridad adicional.
Crédito de imagen: Blog de Google
Nuestro análisis confirma que las preguntas secretas generalmente ofrecen un nivel de seguridad mucho más bajo que las contraseñas elegidas por el usuario. Resulta ser incluso más bajo que los proxies, como la distribución real de apellidos en la población indicaría.
Sorprendentemente, descubrimos que una causa importante de esta inseguridad es que los usuarios a menudo no responden con sinceridad. Una encuesta de usuarios que realizamos reveló que una fracción significativa de usuarios (37%) que admitieron haber proporcionado respuestas falsas lo hicieron en un intento de hacerlos “mas dificil de adivinar” aunque en conjunto este comportamiento tuvo el efecto contrario al de las personas “endurecer” sus respuestas de manera predecible.
Crédito de imagen: investigación en Google
¿Por qué tratamos de mentir, pero luego lo hacemos tan mal? Como puede ver en el cuadro anterior, la mayoría de los encuestados proporciona respuestas falsas con la creencia de que aumentará su seguridad. Entonces podemos suponer que el público en general (aunque sea una pequeña instantánea de una enorme base de datos) comprende que las preguntas de seguridad pueden y serán utilizadas en su contra..
El equipo de investigación de Google finalmente concluye que las preguntas de seguridad son algo seguras o fáciles de recordar, pero la combinación de oro es rara de encontrar. Por lo tanto “mientras que Google prefiere la recuperación de SMS y correo electrónico, ningún mecanismo es perfecto.”
Un excelente ejemplo
Desafortunadamente, Google se negó a ofrecer el tamaño real de la base de datos utilizada para el estudio. Sin embargo, confirmaron que “los datos considerados contienen cientos de millones de puntos de datos y cada pregunta analizada tuvo más de 1 millón de respuestas.” Cifras sustanciales, considerando su base de usuarios estimada.
En 2016, United Airlines lanzó su nuevo esquema de seguridad actualizado para las cuentas de sus clientes. El antiguo sistema que se basaba en PIN de 4 dígitos fue considerado inadecuado para cuentas que potencialmente contienen cientos de miles de dólares de millas de viajero frecuente. El sistema actualizado requiere que los usuarios ingresen una contraseña única, así como que respondan cinco preguntas de seguridad personal.
Suena bien, ¿verdad? Excepto que United Airlines les pide a sus clientes que elijan una contraseña segura y única, y que respondan sus preguntas utilizando un conjunto predeterminado de respuestas. Así es: respuestas predeterminadas. Por ejemplo, si eliges la pregunta “¿En qué mes es el cumpleaños de tus mejores amigos?,” sus posibles atacantes tienen, lo adivinaron, apenas doce respuestas para luchar. Tiempos difíciles.
Razón unida que “La mayoría de los problemas de seguridad que enfrentan nuestros clientes se pueden rastrear a virus informáticos que registran la escritura, y el uso de respuestas predefinidas protege contra este tipo de intrusión.”
El investigador de seguridad Brian Krebs habló directamente con el director de inteligencia de seguridad informática de United Airlines, Benjamin Vaughn. Vaughn dijo que la compañía “estaba aleatorizando las preguntas para confundir los programas de bot que buscan automatizar el envío de respuestas, y que las preguntas de seguridad respondidas incorrectamente se 'bloquearían' y no se volverían a preguntar.”
"Las preguntas de seguridad son la forma menos segura de asegurar cualquier cosa". Rik Ferguson @TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer) 19 de octubre de 2016
Además de esto, Vaughn confirmó a Krebs que múltiples intentos fallidos resultarían en una cuenta bloqueada. En consecuencia, el usuario debe comunicarse directamente con United Airlines para desbloquear su cuenta.
Sabiduría Convencional
United Airlines identificó una vulnerabilidad de seguridad, pero su respuesta no resolvió por completo el problema. Como hemos visto, la única forma verdaderamente segura de responder una pregunta de seguridad es, al igual que una contraseña, proporcionando algo verdaderamente único y aleatorio. Esto con la esperanza de que los piratas informáticos potenciales se sientan frustrados por la complejidad y pasen a la siguiente cuenta.
El hallazgo de que el público en general sufre fatiga de seguridad es importante porque tiene implicaciones en el lugar de trabajo y en la vida cotidiana de las personas. Es fundamental porque muchas personas realizan operaciones bancarias en línea, y dado que la atención médica y otra información valiosa se está trasladando a Internet.
Si las personas no pueden usar la seguridad, no lo harán, y entonces nosotros y nuestra nación no estaremos seguros.
- Psicólogo cognitivo y Fatiga de seguridad coautor, Brian Stanton
Por desgracia, la fatiga de seguridad es un problema muy real. Los usuarios están cada vez más cansados. Las infracciones de seguridad y los restablecimientos forzados de contraseñas ahora son tan comunes que muchos usuarios simplemente ignoran las alertas. Esta fatiga conduce a comportamientos de riesgo para el usuario, tanto en el hogar como en el lugar de trabajo. Te sugerimos:
- Automatizar - Tome el control de su seguridad y automatice los escaneos y las copias de seguridad. No pague: ¡cómo vencer al ransomware! No pagues - ¡Cómo vencer al ransomware! Imagínese si alguien apareciera en su puerta y le dijera: "Oye, hay ratones en tu casa que no conocías. Danos $ 100 y nos desharemos de ellos". Este es el ransomware ... y más.
- Gestión de contraseñas - Soluciones de gestión de contraseñas disponibles en LastPass Domine sus contraseñas para siempre con el desafío de seguridad de Lastpass Domine sus contraseñas para siempre con el desafío de seguridad de Lastpass Pasamos tanto tiempo en línea, con tantas cuentas, que recordar contraseñas puede ser realmente difícil. ¿Preocupado por los riesgos? Descubra cómo usar el Desafío de seguridad de LastPass para mejorar su higiene de seguridad. o KeyPass, y ambos se ocupan de sus preguntas de seguridad también.
- Tomar posesión - La seguridad de sus datos es su responsabilidad. Tenemos grandes expectativas de las instituciones que mantienen nuestros datos, y con razón. Dicho esto, si no impone fuertes medidas de seguridad en el hogar, compartirá parte de la culpa.
Hemos escrito ampliamente sobre cómo superar la fatiga de seguridad 3 formas de vencer la fatiga de seguridad y mantenerse seguro en línea menos seguro. Aquí hay tres cosas que puede hacer para vencer la fatiga de seguridad y mantenerse a salvo. . Lee y recupera el control de tus preguntas de seguridad!
¿Cómo responde a sus preguntas de seguridad? ¿Has dado en el clavo? ¿O usas una aplicación de administración de contraseñas? Háganos saber sus consejos de preguntas de seguridad a continuación!