Los investigadores pueden haber descubierto una manera sencilla para que más usuarios empleen contraseñas robustas: Decirles lo fácil que son las contraseñas que escogen de hackear.
La idea viene de un estudio dirigido por la Universidad de Plymouth, en el que se comprobó en dos experimentos diferentes la efectividad de las estrategias para aconsejar sobre contraseñas.
En el primero, 300 usuarios crearon una cuenta online en la que no se ofrecía ningún tipo de consejos ni existía ningún tipo de medidor de contraseñas, ni emojis, ni comentarios
Esto último mejora mucho las estadísticas ya que las contraseñas escogidas y clasificadas como débiles bajaban de un 75% para el grupo sin avisos ni consejos, a un tercio a los que se les ofrecía un comentario emotivo
En el segundo experimento, se les explicó a 500 usuarios de EEUU lo fácil que le era a un hacker descubrir una contraseña, lo que hizo que se decidieran por contraseñas mucho más largas y por consiguiente hasta 10 veces más robustas.
Esto nos muestra un punto interesante: la forma en que le dices a alguien lo que están haciendo mal puede ser tan importante como el hecho de decírselo.
O, si lo prefieres, la forma abstracta de un medidor de fortaleza de contraseñas no es tan efectiva para cambiar el comportamiento humano como un alarmante mensaje explicando que la horrorosa contraseña escogida le va a hacer la vida más fácil a los ciberdelincuentes.
En teoría, las webs deberían permitir a los usuarios emplear contraseñas débiles, sin tener en cuenta si ofrecen consejos sobre el grado de fiabilidad que tienen.
Un estudio de Dashlane del año pasado descubrió que un número sorprendente de webs relevantes no le dan importancia a este punto, en algunas se encontró la imposición del recomendado mínimo de ocho caracteres, pero sin comprobar si el mismo carácter estaba repetido ocho veces (por ejemplo “11111111”).
Incluso webs que tienen políticas robustas de contraseñas, podrían mejorar mucho su seguridad ofreciendo a los usuarios un feedback detallado.
El coautor del estudio, el profesor Steve Furnell, afirma que una debilidad habitual en seguridad, es que pese a que las funciones de seguridad correctas estén disponibles para ser empleadas, se espera que los usuarios las adopten casi sin formación ni ayuda.
Es como si algunas webs no quisiesen insistir sobre el uso de contraseñas robustas por si eso desanima a los usuarios. En ese caso, añadir mensajes emocionales puede ser una buena forma de solucionarlo.
También es cierto que incluso las mejores contraseñas no sirven para nada si la web ya ha sido comprometida.
Sobre este punto, la web de Troy Hunt “Have I Been Pwned” recientemente ha lanzado una segunda versión que permite comprobar si una contraseña está incluida en la lista de contraseñas comprometidas, por lo que su uso se consideraría un riesgo grave de seguridad.
O quizás este es una de esas complejas cuestiones en las que los administradores de sistemas a lo mejor deberían centrarse en otros puntos como limitar el número de fallos al introducir la contraseña, asegurar que el reseteado de contraseñas no se convierte en una puerta trasera o imponiendo la autenticación de varios factores.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario