O eso es lo que se pretendia.
En concreto, se pide especificar un correo electronico alternativo (al que enviarian la contraseña en caso de perderla) y seleccionar un par de preguntas y especificar las respuestas.
En los temas de seguridad, generalmente intentar establecer un incremento de la misma suele causar un efecto contrario, por paradojico que parezca. Veamos un ejemplo.
Un usuario utiliza en su oficina de forma habitual el password "mariloli". De repente una nueva directiva obliga a que el password cumpla una serie de condiciones:
- Longitud minima de 12 caracteres
- Utilizar mayusculas y minusculas
- Minimo de un caracter numerico
- Minimo de un caracter no-alfanumerico
- Que no aparezca en un diccionario
La teoria dice que una contraseña de ese tipo seria muy resistente ante un ataque de fuerza bruta.
A la practica, "vA-eT2?Hac&C" es algo que el usuario sera incapaz de recordar y lo acaba apuntando en un post-it y pegandolo en el monitor. O como mucho, debajo del teclado.
Con la seguridad de Yahoo ocurre algo similar. El usuario no es consciente de lo que implican esas preguntas y ademas le estan forzando a que complete el paso para poder acceder a su correo. Asi que selecciona un par de ellas, escribe sus respuestas y se olvida.
Esto es un peligro. Por norma general no sera un hacker ruso el que quiera acceder a tu cuenta, sino un conocido. Y a un conocido no se sera dificil saber (o averiguar con cierta facilidad, haciendo a las personas adecuadas unas preguntas a priori inocentes) "Como se llama tu sobrina mayor" y "Cual era la marca de tu primera moto".
Con ello selecciona un nuevo password y accede a tu cuenta. Si ademas cambia esas preguntas, ya no tienes forma alguna de volver a acceder a tu cuenta.
Y mientras tanto, en tu correo encontrara informacion jugosa como:
- Mensajes privados e informacion comprometida
- Usuarios y passwords de tus distintos servicios de internet
- Informacion bancaria (y quizas claves para operar!)
Y podra suplantar tu identidad para enviar mails a tus jefes, a tus amigos, ... Divertido, no?
Y todo porque tu sobrina se llama Eva y tu primera moto fue una Vespa.
La primera recomendacion es seleccionar dos preguntas de elaboracion propia, como por ejemplo "Cuanto mide mi pene?" y "Cuanto pague de seguro del coche en el 2007?".
La segunda recomendacion, para hacerlo casi inviolable es no dar las respuestas correctas ("Suficiente" y "297 euros") sino otra cosa ("Cristobal" y "Colon").
Como medida adicional, si eres un poco despistado lo puedes anotar en un post-it. Eso si, ese post-it deberas guardarlo en una caja de seguridad!
.
.
Entradas
No hay comentarios:
Publicar un comentario