Ingresá

Aparicio Abella

¿Por qué la mayoría de los usuarios de internet usamos contraseñas tan inseguras?

2 minutos de lectura
Contenido exclusivo con tu suscripción de pago
Contenido no disponible con tu suscripción actual
Exclusivo para suscripción digital de pago
Actualizá tu suscripción para tener acceso ilimitado a todos los contenidos del sitio
Para acceder a todos los contenidos de manera ilimitada
Exclusivo para suscripción digital de pago
Para acceder a todos los contenidos del sitio
Si ya tenés una cuenta
Te queda 1 artículo gratuito
Este es tu último artículo gratuito
Nuestro periodismo depende de vos
Nuestro periodismo depende de vos
Si ya tenés una cuenta
Registrate para acceder a 6 artículos gratis por mes
Llegaste al límite de artículos gratuitos
Nuestro periodismo depende de vos
Para seguir leyendo ingresá o suscribite
Si ya tenés una cuenta
o registrate para acceder a 6 artículos gratis por mes

Editar

Existe una enorme diversidad de comportamientos o tácticas para protegerse en línea. Sin embargo, una y otra vez la predictibilidad de las contraseñas es considerada uno de los aspectos más críticos del problema sobre la ciber seguridad de los usuarios de internet (Carstens, 2009; Ur y otros, 2016).

Estudios recientes señalan algunas posibles aristas tras este fenómeno. Wash y otros (2016) encontraron que la reutilización de las contraseñas –uno de los principales problemas asociados a su predictibilidad– se incrementa con la complejidad de estas, así como en función de cuán frecuentemente son utilizadas.

Por otro lado, Ur y otros (2016) realizaron experimentos en los que compararon las contraseñas que los usuarios creen que son seguras con su fortaleza real en base a la cantidad de intentos necesarios para adivinarlas (en ataques de descifrado masivo o “de fuerza bruta”). Ur y otros (2015), utilizando una metodología más cualitativa, investigaron los procesos de creación de contraseñas. Ambos estudios encontraron que estos no son homogéneos entre los diferentes tipos de cuentas utilizadas (por ejemplo, bancos versus mails) y que varían de individuo a individuo.

En cuanto a posibles explicaciones acerca de las malas prácticas de creación de contraseñas, Ur y otros (2015; 2016) señalan la gran variación en la comprensión sobre cómo las contraseñas pueden ser atacadas. Ion y otros (2015) proponen que las percepciones problemáticas de los usuarios respecto de buenas prácticas de ciberseguridad se deben en gran parte a consejos de seguridad mal diseñados.

Sucede que, generalmente, los consejos o campañas de ciberseguirdad destinadas a usuarios de internet no contemplan los aspectos cognitivos y conductuales del comportamiento humano (Ion y otros, 2015) ni las diferencias e inequidades entre los internautas (Dodel y Mesch, 2018). Por ejemplo, abocarse a restringir el uso de internet o de determinados sitios para reducir riesgos puede parecer tentador, pero no sólo que los expertos en seguridad no la califican como una práctica efectiva (Ion y otros, 2015), sino que también es muy probable que limite el desarrollo y las oportunidades de los usuarios en la web.

Sin embargo, existe una serie de buenas prácticas menos dañinas que podrían ser relativamente costo-eficiente para usuarios con algo de colaboración de los desarrolladores. A modo de ejemplo, quisiera señalar dos propuestas interesantes.

En primer lugar, aumentar la usabilidad de programas que requieren conocimientos más técnicos (gestiones de contraseña o sistema de doble autenticación, por ejemplo) al incrustarlos en los sistemas operativos o transformarlos en soluciones de instalación única/permanente como actualmente sucede con los antivirus.

En segundo lugar, mejorar los contadores de fuerza de contraseñas parece crítico. En la actualidad estos señalan únicamente si los passwords son fuertes o débiles, pero los usuarios pueden no ser conscientes de los motivos por los cuales la contraseña que ingresaron es predecible o débil (Ion y otros, 2015; Ur y otros, 2016). Más allá de si utilizan mayúsculas y caracteres especiales, otros aspectos como la inclusión de términos comunes (por ejemplo, dios o amor) o el ingreso de una cadena de caracteres predecible (por ejemplo, “123”, “qwe” o “=?¡”) no se ven reflejados en estos contadores.

Dr. Matias Dodel, investigador, Universidad Católica del Uruguay

Referencias:

Carstens, D. S. (2009). “Human and social aspects of password authentication” en Gupta, M. y Sharman, R. (eds.) Social and human elements of information security: Emerging trends and countermeasures. Hershey: IGI Global.

Dodel, M. y Mesch, G. (2018). “Inequality in Digital Skills and the Adoption of Online Safety Behavior”. Information, Communication & Society, 21(5).

Ion, I.; Reeder, R. y Consolvo, S. (2015). “‘... No one Can Hack My Mind’: Comparing Expert and Non-Expert Security Practices”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).

Ur, B. y otros (2015). “‘I added ‘!’at the end to make it secure’: Observing password creation in the lab”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).

Ur, B. y otros (2016). “Do Users’ Perceptions of Password Security Match Reality?”, en Proceedings of the SIGCHI Conference on Human Factors in Computing Systems.

Wash, R. y otros (2016). “Understanding password choices: How frequently entered passwords are re-used across websites”, en Proceedings of the Symposium on Usable Privacy and Security (SOUPS).

¿Tenés algún aporte para hacer?

Valoramos cualquier aporte aclaratorio que quieras realizar sobre el artículo que acabás de leer, podés hacerlo completando este formulario.

Este artículo está guardado para leer después en tu lista de lectura
¿Terminaste de leerlo?
Guardaste este artículo como favorito en tu lista de lectura