FACUA ha denunciado a Microsoft, Google y Yahoo ante la Agencia de Protección de Datos, ya que consideran insuficiente la pregunta secreta como medida de seguridad para obtener una nueva contraseña, vulnerando la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal
La pregunta secreta es un mecanismo que utiliza un usuario cuando olvida o pierde su contraseña para modificarla siempre y cuando sepa algunos datos personales, como pueden ser el código postal o la fecha de nacimiento y la respuesta a una pregunta "secreta", establecida cuando se da de alta en el servicio. En algunas ocasiones las preguntas están preestablecidas y en otras el sistema nos permite añadir nuestra propia pregunta. Las hay tan triviales, como el nombre de una mascota, de un pariente o de una película favorita.
Hace unos días publicábamos la intrusión que había sufrido David Bisbal en su cuenta de Hotmail. Esto fue posible porque los extorsionadores sabían cuál era la dirección de su correo y averiguaron la respuesta a su pregunta, que teniendo en cuenta su popularidad , sería publicada en alguna de las entrevistas que hay disponibles en la red. Tal y como ocurrió con Sarah Palin.
Es obvio que el problema existe y que la falta de concienciación de los usuarios hace posible el ataque. Incluso en las ocasiones en las que se permite añadir una nueva pregunta, el desconocimiento convierte esta fortaleza en una debilidad, ya que la nueva pregunta es aún mas sencilla que una de las preestablecidas. Por lo tanto, es necesario un cambio en la tecnología para evitar el riesgo.
Por otra parte, imagino que han decido estas tres compañías como muestra, además de por su popularidad, ya que prácticamente todos los servicios online como blogs, contenedores de imágenes, redes sociales, subastas, contenedores de video o cualquier otro, tienen sistemas similares. Además de los ¿2.000? servicios de correo distintos en los que uno se puede dar de alta.
La pregunta secreta es un mecanismo que utiliza un usuario cuando olvida o pierde su contraseña para modificarla siempre y cuando sepa algunos datos personales, como pueden ser el código postal o la fecha de nacimiento y la respuesta a una pregunta "secreta", establecida cuando se da de alta en el servicio. En algunas ocasiones las preguntas están preestablecidas y en otras el sistema nos permite añadir nuestra propia pregunta. Las hay tan triviales, como el nombre de una mascota, de un pariente o de una película favorita.
Hace unos días publicábamos la intrusión que había sufrido David Bisbal en su cuenta de Hotmail. Esto fue posible porque los extorsionadores sabían cuál era la dirección de su correo y averiguaron la respuesta a su pregunta, que teniendo en cuenta su popularidad , sería publicada en alguna de las entrevistas que hay disponibles en la red. Tal y como ocurrió con Sarah Palin.
Es obvio que el problema existe y que la falta de concienciación de los usuarios hace posible el ataque. Incluso en las ocasiones en las que se permite añadir una nueva pregunta, el desconocimiento convierte esta fortaleza en una debilidad, ya que la nueva pregunta es aún mas sencilla que una de las preestablecidas. Por lo tanto, es necesario un cambio en la tecnología para evitar el riesgo.
Por otra parte, imagino que han decido estas tres compañías como muestra, además de por su popularidad, ya que prácticamente todos los servicios online como blogs, contenedores de imágenes, redes sociales, subastas, contenedores de video o cualquier otro, tienen sistemas similares. Además de los ¿2.000? servicios de correo distintos en los que uno se puede dar de alta.
2 comments :
Bueno, tiene fácil solución: da lo mismo lo que te pregunten lo que tienes que poner como respuesta es otra contraseña más larga y más compleja que la normal y que guardas apuntada en un lugar seguro (al estilo de los códigos PUK de las tarjetas de los móviles).
El problema es fijarse en lo que te están preguntando, la lo mismo que te pregunten el nombre de tu perro o la ciudad de nacimiento la respuesta debe ser tan segura (o más incluso) que la propia contraseña (ya sabes, por eso de las cadenas...)
Los denunciamos a ellos por usar un certificado con firma MD5?
Publicar un comentario