Contraseñas cognitivas II

Veamos el porque este tipo de seguridad es una mala idea:

Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de correo. Otros servicios web (Twitter, Facebook, etc), pueden enviar un recordatorio de la contraseña al email con el que se registra el usuario, así que no las necesitan. Pero precisamente, una cuenta de email es el último eslabón de la cadena. Recordemos que antiguamente, cuando los usuarios solían tener una sola cuenta (su primer email), ¿a qué correo se envía un recordatorio de la contraseña de tu email?… No se podía usar “otra cuenta“, sino que había que demostrar que se era uno mismo con las preguntas “personales”. Esa era la única razón para su existencia.

Hoy en día este método está en desuso por varias razones:

Mucha gente dispone de más de una cuenta de correo, que pueden usarse como alternativas entre sí.

Se está sustituyendo por un mensaje al móvil, tecnología ubicua, comprobada y útil.

Las contraseñas cognitivas no dejan de ser eso: contraseñas. Además son fácilmente deducibles a través del punto más débil de la seguridad… la ingeniería social.

En un mundo de exhibicionistas en la red, es una muy mala idea. Las preguntas (veremos algunos ejemplos) son simplemente absurdas. Nadie considera que el nombre de su equipo de fútbol o su película favorita sea un dato que deba ocultar. Y los servicios que hacen estas preguntas deben atenerse a este tipo de cuestiones “inocentes“… no van a demandar datos complejos, sensibles o que indaguen de forma más profunda en la personalidad del usuario. Como mucho, podrían permitir que el usuario redacte sus propias preguntas… pero eso podría tener: en el mejor de los casos el mismo efecto que una contraseña; y en el peor, ser una pregunta aún más sencilla que las prefabricadas. Esta vía de autenticación no tiene remedio.