: Preguntas secretas No protegen contraseñas

Incluso si su cónyuge no conoce su contraseña de correo electrónico, probablemente conozca suficiente información para obtenerla.

A menudo hay proveedores de correo electrónico gratuitos. una llamada "pregunta secreta" como mecanismo de verificación para restablecer la contraseña de una cuenta. Pero la respuesta a menudo es fácil de adivinar por otras personas que conocen al titular de la cuenta, según un nuevo estudio que se lanzará durante el Simposio de IEEE sobre Seguridad y Privacidad esta semana en Oakland, California.

En otros casos, extraños pueden suministrar con éxito las respuestas a algunas preguntas, que es cómo la nominada a la vicepresidencia republicana Sarah Palin perdió el control de su cuenta de Yahoo. El estudiante universitario acusado de requisar la cuenta, David Kernell, dijo que tardó menos de una hora de investigación en línea para encontrar las respuestas correctas para las preguntas de seguridad de la cuenta de Palin.

[Más información: cómo eliminar el malware de su PC con Windows]

El estudio analizó las preguntas utilizadas por Yahoo, Google, Microsoft y AOL en marzo de 2008. En una prueba, los investigadores emparejaron a dos personas, y el titular de la cuenta de correo electrónico dijo que no confiarían en el otro persona con su contraseña Cuando se le presentó la pregunta secreta del titular de la cuenta, la otra persona acertó el 17 por ciento del tiempo.

Entre dos personas que confían entre sí, un socio pudo proporcionar la respuesta correcta para una cuenta de Hotmail el 28 por ciento del tiempo, dijo el estudio.

Incluso con preguntas escritas por un usuario, el sistema que Google ahora emplea, un completo extraño podría adivinar la respuesta el 15 por ciento de las veces en cinco intentos.

Parte del problema es que las preguntas son tan insustanciales que un poco de búsqueda en Internet puede mostrar listas de programas de televisión, gaseosas, cervezas, actores, etc. favoritos que ayudan a hacer más acertadas las conjeturas. Además, los datos geográficos ayudan con preguntas tales como "¿Cuál es tu equipo deportivo favorito?", Decía el estudio.

"Nuestros resultados no nos dan la confianza de que las preguntas personales de hoy hacen que la autenticación sea adecuada", escribieron los autores. "Los que son difíciles de adivinar son menos propensos a ser elegidos por los usuarios en primer lugar, y cuando son elegidos son menos propensos a ser recordados."

Aunque Yahoo en un momento presentó el conjunto de preguntas más memorable en el momento, los participantes del estudio olvidaron sus propias respuestas dentro de los seis meses. Los autores escribieron que Yahoo reemplazó las nueve preguntas de autenticación personal en febrero.

No hay una solución fácil al problema. Muchos otros sitios web dependen de enviar un correo electrónico a la cuenta de una persona para verificar a una persona, pero dado que la cuenta de correo electrónico necesita ser verificada, plantea un problema.

Una posible solución para evitar los ataques de adivinación estadística sería penalizar las respuestas incorrectas según su popularidad. El tamaño de la penalización, escriben los autores, dependerá de la posibilidad de que el usuario legítimo responda con múltiples respuestas populares antes de obtener la correcta.

Los datos del estudio sugieren que si una persona adivina incorrectamente dos respuestas populares para una pregunta, rara vez reciben una tercera pregunta correcta.

Además, los autores recomiendan eliminar las preguntas que son estadísticamente imaginables más del 10 por ciento de las veces, como "¿Cuál es tu ciudad favorita?" Definieron una respuesta como estadísticamente adivinable si se encuentra entre las cinco respuestas más populares proporcionadas por otros participantes en su estudio.

Otro mecanismo de autenticación podría ser un SMS (Servicio de mensajes cortos) enviado por el proveedor de correo electrónico a una persona teléfono móvil. Pero eso también plantea cuestiones de seguridad, ya que los teléfonos son robados y perdidos, y la transmisión de SMS tiene problemas de seguridad, escribieron.

El estudio fue escrito por Stuart Schechter y A.J. Berheim Brush de Microsoft Research y Serge Egelman de Carnegie Mellon University.