¿Qué les están dando de comer a los expertos de seguridad del Banco de Chile?
Hoy me muestran una página, en donde me piden cambiar la contraseña. No habiendo explicación o introducción de por medio, lo primero que pensé fue en phishing o suplantación.
La primera página me pide una nueva contraseña y valida que sea segura. Después de tontear un buen rato, determiné que una palabra inventada de 6 caracteres y 1 número, no califica de segura, ni siquiera empleando una letra en mayúscula. Cuando mucho, califica como regular. Se requiere un mínimo 2 caracteres en mayúsculas y 2 números. No permite otros caracteres. (El algoritmo y el script que utilizan está disponible y explicado aquí). Hasta aquí bien, salvo el detalle del párrafo anterior.
Pero lo bueno, viene a continuación.
Con la nueva exigencia, es altamente probable que mucha gente tendrá problemas para recordar su contraseña, y para ayudarles, ¿qué mejor que el usuario responda 3 preguntas de su elección?. El siguiente texto sirve de encabezado (el énfasis es mío):
- Las Preguntas de Seguridad le permitirán reactivar su actual clave cuando esté bloqueada o cambiarla cuando la haya olvidado.
- Asegúrese de escribir respuestas fáciles de recordar y que sólo usted conozca. Ellas sólo serán conocidas por usted ya que éstas quedarán encriptadas.
- Para evitar errores u olvidos, le recomendamos que ingrese respuestas de una sola palabra.
¿Para qué me piden una contraseña rebuscada si luego me hacen preguntas tontas?
Es conocido y popular el dicho: una cadena de seguridad es tan segura como el eslabón más débil. Al añadir las preguntas, se baja la barrera de seguridad. Ya no tiene sentido recordar o saber la contraseña, si hay una forma más fácil de entrar. Además, las respuestas a las preguntas se pueden obtener fácilmente vía ingeniería social. Solamente leyendo los perfiles de Facebook, o en una conversación ocasional, se podría obtener dichas respuestas de mucha gente.
¿Acaso no se enteraron del incidente de seguridad de Twitter? En donde el atacante no intentó obtener o adivinar la contraseña de sus empleados, sino que se limitó a recolectar información que le permitiera responder este tipo de preguntas. Lo mismo le ocurrió a Sarah Palin (candidata a la vicepresidencia de EEUU) con su cuenta de correo.
Antes que me respondan que para eso está el digipass (el nombre comercial de la autenticación de dos factores), no es válido. Si fuera así, ¿qué ocurre con la confidencialidad de los datos? o incluso, ¿para qué se molestan en pedir una contraseña fuerte y otra débil?
No obstante, hay que reconocer que el equipo creativo se la jugó y cambió las tradicionales preguntas (marca/modelo de automóvil, nombre de la mascota, etc.), por algunas ligeramente más novedosas, aunque son igualmente fáciles de determinar para alguien interesado. A saber:
Además, estas preguntas permanecerán durante años, toda vez que ya comenzó su uso. De todas formas, escribo las preguntas con la lejana esperanza que las eliminen.
- El regalo que más le ha gustado
- Nombre del profesor(a) del que tiene mejores recuerdos
- Nombre del primer amor
- Nombre del primer amigo(a) de la infancia
- Si pudiera, ¿qué se cambiaría?
- Profesión u oficio que deseaba ser cuando niño(a)
- Primera Operación quirúrgica
- Personaje Histórico preferido
- Nombre de la persona que siempre ha admirado
- Nombre de la empresa en donde menos le ha gustado trabajar
- Modelo de su primer auto
- Evento que marcó su vida
- Destino del primer viaje importante
- Calle donde vivió cuando era niño
- Actividad que menos le gusta realizar
Como solución, apelo a que el ingenio no será suficiente para colocarlas en orden aleatorio, cuando se intente recuperar la contraseña. Así que creo que, una sana recomendación es utilizar una contraseña como cualquier otra, ya sea la misma para las 3 primeras preguntas u otra combinación a gusto. Así por ejemplo, Modelo de su primer auto → 1qLhaMb0; Evento que marcó su vida → 1qLhaMb0, etc. donde «qLhaMb» son las iniciales de «qué Le hicieron a Mi banco» rodeado por 1 y 0. Claro, que siendo una contraseña, se pueden usar todos los improperios con que uno quiera describir a su banco.
Por cierto, si olvidase la clave, preferiría que el banco me exija ir a una sucursal, en donde me puedan exigir mostrar mi cédula de identidad; y una vez validado se pueda definir una nueva contraseña con todo la ceremonia que hacen cuando uno abre una cuenta corriente. Sin embargo, este mecanismo tiene un costo para el banco, mientras que la otra, le traspasan el total del costo al usuario.
Para terminar, una joyita del chilenismo para definir los estilos del código fuente de la página, particularmente en aquella que se refieren al usuario:
<div id="header"> <span id="brea"> Usted está en:Eso es profesionalismo ;-)
Suscripción vía
brea? Qué es brea?
Es una mala pronunciación de «breva», el cual es un fruto pero también se utiliza para decir que alguien es menso, torpe, idiota. En España podría ser algo como «gilipollas», aunque me parece que el término no es tan áspero. En Argentina no sé cual será el equivalente, pero creo que me entiendes la idea :-)
tuve esa experiencia en el BCI y fue horrible! estuve 22 min. al fono de un telefono especialmente habilitado para estos efectos, ya que la política de seguridad envuelta en el tema, especificaba que ni mi ejecutiva podía resetear la contraseña. dada esa experiencia, diría que ese planteamiento no es opción.
por cierto, lo de "brea" lo encontré genial! XD
Hola, me interesó mucho el tema, en cuanto a estas instancias donde los bancos sugieren cambiar contraseñas, cada cierto tiempo. Edwards hace lo mismo, y es lógico, usan las mismas plataformas.
Ahora y sólo para apoyar al colega, no creo que "brea" vaya por el camino de referirse como tal al usuario, si no más, una simple abreviatura del inglés "breadcrumb", donde todos sabemos que se utiliza mucho para hacer referencia a la ruta de navegación del sitio.
Saludos cordiales