¿Qué les están dando de comer a los expertos de seguridad del Banco de Chile?
Hoy me muestran una página, en donde me piden cambiar la contraseña. No habiendo explicación o introducción de por medio, lo primero que pensé fue en phishing o suplantación.
La primera página me pide una nueva contraseña y valida que sea segura. Después de tontear un buen rato, determiné que una palabra inventada de 6 caracteres y 1 número, no califica de segura, ni siquiera empleando una letra en mayúscula. Cuando mucho, califica como regular. Se requiere un mínimo 2 caracteres en mayúsculas y 2 números. No permite otros caracteres. (El algoritmo y el script que utilizan está disponible y explicado aquí). Hasta aquí bien, salvo el detalle del párrafo anterior.
Pero lo bueno, viene a continuación.
Con la nueva exigencia, es altamente probable que mucha gente tendrá problemas para recordar su contraseña, y para ayudarles, ¿qué mejor que el usuario responda 3 preguntas de su elección?. El siguiente texto sirve de encabezado (el énfasis es mío):
- Las Preguntas de Seguridad le permitirán reactivar su actual clave cuando esté bloqueada o cambiarla cuando la haya olvidado.
- Asegúrese de escribir respuestas fáciles de recordar y que sólo usted conozca. Ellas sólo serán conocidas por usted ya que éstas quedarán encriptadas.
- Para evitar errores u olvidos, le recomendamos que ingrese respuestas de una sola palabra.
¿Para qué me piden una contraseña rebuscada si luego me hacen preguntas tontas?
Es conocido y popular el dicho: una cadena de seguridad es tan segura como el eslabón más débil. Al añadir las preguntas, se baja la barrera de seguridad. Ya no tiene sentido recordar o saber la contraseña, si hay una forma más fácil de entrar. Además, las respuestas a las preguntas se pueden obtener fácilmente vía ingeniería social. Solamente leyendo los perfiles de Facebook, o en una conversación ocasional, se podría obtener dichas respuestas de mucha gente.
¿Acaso no se enteraron del incidente de seguridad de Twitter? En donde el atacante no intentó obtener o adivinar la contraseña de sus empleados, sino que se limitó a recolectar información que le permitiera responder este tipo de preguntas.
Lo mismo le ocurrió a Sarah Palin (candidata a la vicepresidencia de EEUU) con su cuenta de correo.
Antes que me respondan que para eso está el digipass (el nombre comercial de la autenticación de dos factores), no es válido. Si fuera así, ¿qué ocurre con la confidencialidad de los datos? o incluso, ¿para qué se molestan en pedir una contraseña fuerte y otra débil?
No obstante, hay que reconocer que el equipo creativo se la jugó y cambió las tradicionales preguntas (marca/modelo de automóvil, nombre de la mascota, etc.), por algunas ligeramente más novedosas, aunque son igualmente fáciles de determinar para alguien interesado. A saber:
- El regalo que más le ha gustado
- Nombre del profesor(a) del que tiene mejores recuerdos
- Nombre del primer amor
- Nombre del primer amigo(a) de la infancia
- Si pudiera, ¿qué se cambiaría?
- Profesión u oficio que deseaba ser cuando niño(a)
- Primera Operación quirúrgica
- Personaje Histórico preferido
- Nombre de la persona que siempre ha admirado
- Nombre de la empresa en donde menos le ha gustado trabajar
- Modelo de su primer auto
- Evento que marcó su vida
- Destino del primer viaje importante
- Calle donde vivió cuando era niño
- Actividad que menos le gusta realizar
Además, estas preguntas permanecerán durante años, toda vez que ya comenzó su uso. De todas formas, escribo las preguntas con la lejana esperanza que las eliminen.
Como solución, apelo a que el ingenio no será suficiente para colocarlas en orden aleatorio, cuando se intente recuperar la contraseña. Así que creo que, una sana recomendación es utilizar una contraseña como cualquier otra, ya sea la misma para las 3 primeras preguntas u otra combinación a gusto. Así por ejemplo, Modelo de su primer auto → 1qLhaMb0; Evento que marcó su vida → 1qLhaMb0, etc. donde «qLhaMb» son las iniciales de «qué Le hicieron a Mi banco» rodeado por 1 y 0. Claro, que siendo una contraseña, se pueden usar todos los improperios con que uno quiera describir a su banco.
Por cierto, si olvidase la clave, preferiría que el banco me exija ir a una sucursal, en donde me puedan exigir mostrar mi cédula de identidad; y una vez validado se pueda definir una nueva contraseña con todo la ceremonia que hacen cuando uno abre una cuenta corriente. Sin embargo, este mecanismo tiene un costo para el banco, mientras que la otra, le traspasan el total del costo al usuario.
Para terminar, una joyita del chilenismo para definir los estilos del código fuente de la página, particularmente en aquella que se refieren al usuario:
<div id="header"> <span id="brea"> Usted está en:
Eso es profesionalismo ;-)
brea? Qué es brea?
Es una mala pronunciación de «breva», el cual es un fruto pero también se utiliza para decir que alguien es menso, torpe, idiota. En España podría ser algo como «gilipollas», aunque me parece que el término no es tan áspero. En Argentina no sé cual será el equivalente, pero creo que me entiendes la idea :-)
tuve esa experiencia en el BCI y fue horrible! estuve 22 min. al fono de un telefono especialmente habilitado para estos efectos, ya que la política de seguridad envuelta en el tema, especificaba que ni mi ejecutiva podía resetear la contraseña. dada esa experiencia, diría que ese planteamiento no es opción.
por cierto, lo de “brea” lo encontré genial! XD
Hola, me interesó mucho el tema, en cuanto a estas instancias donde los bancos sugieren cambiar contraseñas, cada cierto tiempo. Edwards hace lo mismo, y es lógico, usan las mismas plataformas.
Ahora y sólo para apoyar al colega, no creo que “brea” vaya por el camino de referirse como tal al usuario, si no más, una simple abreviatura del inglés “breadcrumb”, donde todos sabemos que se utiliza mucho para hacer referencia a la ruta de navegación del sitio.
Saludos cordiales
Hola Germán.
Jajajaja me da entre pena y risa, ya que estoy trabajando en la renovacion del portal (que no es el actual). Esas son las reglas del negocio definidas por ellos y que como desarrollador debo respetar. Por lo demás, el digipass es precisamente para poder cambiar tu clave si la has olvidado, en combinación con las preguntas (ambos factores a la vez), mientras que la “recuperacion de clave” (un simple desbloqueo de usuario) puede hacer uso de digipass o preguntas, privilegiando si cuentas con ambos factores, el digipass. Lo otro curioso, si algún dia te pasa, no puedes desbloquear a tu usuario (ya sea cambiando la clave bloqueada o recuperandola) más de 3 veces. A la cuarta te exigirá si o si ir a mesón de ayuda.
Estamos claros que es y fue una mala medida el exigir el cambio de clave y registro de preguntas sin previo aviso.
Pero bueno, si fuera posible me gustaría que me pudieras dar consejos para mejorar la seguridad, considerando que el nuevo portal será muy “AJAX”. Todo es bienvenido.
Y no tendremos estilos “brea”… a menos que lo que haya querido decir el tío sea “bread” del clasico “miga de pan”
Saludos maestro
Javier,
Si te se pierde el digipass (o te lo hurtan), entonces un tercero mal intencionado podría recuperar la contraseña. La pregunta de respuesta fácil sigue siendo el eslabón más débil.
Ojalá eliminen el uso de frames. No representa ningún beneficio, ni en términos de desarrollo ni para los usuarios cuando la sesión en un frame expira más rápido.
En todo caso, yo cerré mi cuenta del banco, así que no te podré dar mucha retroalimentación… salvo si veo a mi señora reclamar que dejó de funcionar :-)
Aun pierdiendo el digipass puede recuperar la clave, pero eso implica que ese tercero debe luego conocer la clave original (no tiene forma de saberla a menos que te amenace de muerte). Y lo de los frames ya está tratado, erradicados definitivamente asi que cuando pasemos a producción en unos varios meses más se verá. Y bueno, cualquier queja sirve hahaha. Saludos y espero que te esté llendo de lujo (y)