Existe una enorme diversidad de comportamientos o tácticas para protegerse en línea. Sin embargo, una y otra vez la predictibilidad de las contraseñas es considerada uno de los aspectos más críticos del problema sobre la ciber seguridad de los usuarios de internet (Carstens, 2009; Ur y otros, 2016).
Estudios recientes señalan algunas posibles aristas tras este fenómeno. Wash y otros (2016) encontraron que la reutilización de las contraseñas –uno de los principales problemas asociados a su predictibilidad– se incrementa con la complejidad de estas, así como en función de cuán frecuentemente son utilizadas.
Por otro lado, Ur y otros (2016) realizaron experimentos en los que compararon las contraseñas que los usuarios creen que son seguras con su fortaleza real en base a la cantidad de intentos necesarios para adivinarlas (en ataques de descifrado masivo o “de fuerza bruta”). Ur y otros (2015), utilizando una metodología más cualitativa, investigaron los procesos de creación de contraseñas. Ambos estudios encontraron que estos no son homogéneos entre los diferentes tipos de cuentas utilizadas (por ejemplo, bancos versus mails) y que varían de individuo a individuo.
En cuanto a posibles explicaciones acerca de las malas prácticas de creación de contraseñas, Ur y otros (2015; 2016) señalan la gran variación en la comprensión sobre cómo las contraseñas pueden ser atacadas. Ion y otros (2015) proponen que las percepciones problemáticas de los usuarios respecto de buenas prácticas de ciberseguridad se deben en gran parte a consejos de seguridad mal diseñados.
Sucede que, generalmente, los consejos o campañas de ciberseguirdad destinadas a usuarios de internet no contemplan los aspectos cognitivos y conductuales del comportamiento humano (Ion y otros, 2015) ni las diferencias e inequidades entre los internautas (Dodel y Mesch, 2018). Por ejemplo, abocarse a restringir el uso de internet o de determinados sitios para reducir riesgos puede parecer tentador, pero no sólo que los expertos en seguridad no la califican como una práctica efectiva (Ion y otros, 2015), sino que también es muy probable que limite el desarrollo y las oportunidades de los usuarios en la web.
Sin embargo, existe una serie de buenas prácticas menos dañinas que podrían ser relativamente costo-eficiente para usuarios con algo de colaboración de los desarrolladores. A modo de ejemplo, quisiera señalar dos propuestas interesantes.
En primer lugar, aumentar la usabilidad de programas que requieren conocimientos más técnicos (gestiones de contraseña o sistema de doble autenticación, por ejemplo) al incrustarlos en los sistemas operativos o transformarlos en soluciones de instalación única/permanente como actualmente sucede con los antivirus.
En segundo lugar, mejorar los contadores de fuerza de contraseñas parece crítico. En la actualidad estos señalan únicamente si los passwords son fuertes o débiles, pero los usuarios pueden no ser conscientes de los motivos por los cuales la contraseña que ingresaron es predecible o débil (Ion y otros, 2015; Ur y otros, 2016). Más allá de si utilizan mayúsculas y caracteres especiales, otros aspectos como la inclusión de términos comunes (por ejemplo, dios o amor) o el ingreso de una cadena de caracteres predecible (por ejemplo, “123”, “qwe” o “=?¡”) no se ven reflejados en estos contadores.
Dr. Matias Dodel, investigador, Universidad Católica del Uruguay
Referencias:
Carstens, D. S. (2009). “Human and social aspects of password authentication” en Gupta, M. y Sharman, R. (eds.) Social and human elements of information security: Emerging trends and countermeasures. Hershey: IGI Global.
Dodel, M. y Mesch, G. (2018). “Inequality in Digital Skills and the Adoption of Online Safety Behavior”. Information, Communication & Society, 21(5).
Ion, I.; Reeder, R. y Consolvo, S. (2015). “‘... No one Can Hack My Mind’: Comparing Expert and Non-Expert Security Practices”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).
Ur, B. y otros (2015). “‘I added ‘!’at the end to make it secure’: Observing password creation in the lab”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).
Ur, B. y otros (2016). “Do Users’ Perceptions of Password Security Match Reality?”, en Proceedings of the SIGCHI Conference on Human Factors in Computing Systems.
Wash, R. y otros (2016). “Understanding password choices: How frequently entered passwords are re-used across websites”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).