Durante décadas el método de seguridad más usado para autenticarse han sido las contraseñas, aunque desde hace varios años se viene vaticinando que la **muerte de los passwords_ llegará pronto y serán sustituidos muy probablemente por la identificación biométrica, esos días están aún algo lejos, y mucho más de implementarse en tu cuenta de correo electrónico o para que accedamos a nuestro perfil de Facebook mediante _scanner retinal.
Actualmente la identificación biométrica se utiliza en lugares con alto nivel de seguridad, pero no hay que ir muy lejos tampoco, si nos fijamos en el Touch ID de los iPhones de Apple, vemos como este tipo de sistemas pueden ser implementados en los dispositivos que usamos día a día. La cuestión es que claramente requieren de un hardware especial. Mientras tanto seguimos atrapados en el mundo de las contraseñas, y aunque constantemente estamos ofreciendo consejos sobre cómo crear y recordar contraseñas realmente seguras, algo que siempre se pasa por alto es el asunto de la pregunta de seguridad.
¿Cómo se llamaba mi primera mascota?
La pregunta de seguridad es algo que todo el que haya creado su cuenta de correo por primera vez ha tenido que rellenar, y usualmente sin prestarle nada de atención. Esta pregunta se usa cómo un método de recuperación de contraseña en caso de que se nos olvide la nuestra. Así que es algo sumamente importante** y a pesar de esto pasan dos cosas bastante graves, los servicios que siguen usando la pregunta de seguridad como método de recuperación lo implementan de forma terrible, y los usuarios lo ignoran a tal punto de colocar lo primero que se les viene a la mente solo por salir del paso.
Si se te ocurre responder preguntas de seguridad con la verdad, estás en problemas.
Muchas de esas preguntas de seguridad vienen pre-establecidas por el sistema de autenticación, y van de tontas, a estúpidas, a ¿qué estaban pensando? Cosas cómo: ¿En que ciudad naciste?, ¿Lugar dónde fuiste al colegio?, ¿Nombre de tu primera mascota?, etc. ¿Notan lo ridículamente inseguras que son?
Para robarse tu cuenta una persona malintencionada solo tendría que tener tu correo electrónico, pinchar en "Olvidé mi contraseña" y utilizar el método de la pregunta de seguridad para acceder. Si se te ha ocurrido poner el colegio al que fuiste de verdad, el nombre de tu primer perro, o la ciudad dónde de hecho naciste, le has regalado acceso a cualquiera que pueda buscarte en Facebook. Por suerte las solicitudes de recuperación de contraseña suelen enviar un correo a tu bandeja de entrada advirtiéndote que alguien ha solicitado cambiar tu contraseña, y te dan un enlace para cancelar el cambio en caso de que no hayas sido tu.
Ahora bien, siempre se puede decir que no recuerdas ni nombre de usuario/correo, ni contraseña de la cuenta. Si nunca añadiste una cuenta de correo alternativa, o un número de teléfono que usar para poder autentifcarte y recuperar tu cuenta en caso de tener mala memoria o ser muy despistado, en muchos casos vas a ir a dar a la pregunta de seguridad. Y, es así como alguien puede aprovecharse de esto.
Verificación en dos pasos
Particularmente si se puede saltar el uso de una pregunta de seguridad al crear una cuenta en algún sitio, lo hago. Detesto el método, y me parece ultra inseguro e inútil. Lo ideal es siempre tener una cuenta de correo alternativa conectada para recuperar la contraseña en caso de olvidarla, o asociar un número de teléfono. Eso es lo mínimo. Lo ideal, es usar la verificación en dos pasos.
Para explicarlo de forma sencilla, la verificación en dos pasos se usa en muchos sitios a los que accedemos constantemente. Por ejemplo, en los telecajeros. En este caso contamos con 2 factores que nos identifican, algo que nos sabemos (el PIN) y algo que tenemos (la tarjeta de débito/crédito). Este es un método más seguro porque para robarte el ladrón necesita no solo la tarjeta sino saber la contraseña. Por supuesto, si te apuntan con un revolver a la cabeza para que digas la contraseña, la verificación en dos pasos es inútil. Pero difícilmente alguien te apunte con un arma para acceder a tu email desde tu casa.
Ahora, en Internet, la verificación de dos pasos es algo que deberíamos activar en casi todas nuestras cuentas. Y usualmente es algo muy sencillo de hacer. Si quieres saber que servicios de los que usas acepta verificación en dos pasos, puedes verlo en twofactorauth.org. Aunque el método puede variar, las bases son las mismas, usualmente cuando actives la siguiente capa de seguridad, tendrás que ingresar no solo tu contraseña en cada sitio, sino algún código extra que se te proporciona a través de correo, SMS, o de una aplicación especial como por ejemplo Google Autenthicator. Con esta capa de protección adicional, si alguien quiere acceder a tu cuenta, usualmente deberá tener tu correo, tu contraseña, y además tu móvil. Aunque para algunos puede resultar tedioso el tener que pasar por este proceso cada vez que quieres acceder a tus cuentas, la "molestia" vale la pena si te interesa proteger tus datos. En todo caso, aplicaciones como Authy pueden aligerarte significativamente esta "terrible carga".