Un riesgo calculado: por qué las webs deberían aceptar contraseñas con erratas
Por muchas veces que se haya predicho su desaparición, las viejas contraseñas siguen siendo la forma principal de autenticarse en internet y, en ocasiones, un auténtico quebradero de cabeza para aquellos que intentan acceder a sus cuentas. La mayor parte de los usuarios, en un momento u otro, habrán tenido que volver a introducir sus claves porque, a pesar de recordarlas, las habían escrito de forma incorrecta. Algunos, incluso, habrán visto bloqueadas sus cuentas por cometer el mismo fallo varias veces o probar con otras combinaciones tras fallar a la primera a causa de un error tipográfico.
Conscientes de ello y en busca de una solución, un grupo de investigadores estadounidenses han comprobado que permitir el acceso a la página cuando los usuarios teclean su contraseña con determinadas erratas podría reducir los quebraderos de cabeza sin repercutir de manera significativa en la seguridad.
“Ya habíamos escuchado que Facebook aceptaba dos tipos de erratas en las contraseñas y nos dimos cuenta que era una idea muy interesante que nadie había estudiado. Así que queríamos saber si esta práctica tenía sentido en términos de beneficio para los usuarios y si representaba una degradación en la seguridad”, explica a HojaDeRouter.com Thomas Ristenpart, profesor en la Universidad de Cornell y parte del equipo que ha llevado a cabo el estudio.
En primer lugar, los investigadores establecieron cuáles eran las erratas más comunes a la hora de introducir las contraseñas. Para ello se apoyaron en la filtración de claves de RockYou, una de las mayores hasta la fecha, que expuso los códigos de acceso de 32 millones de usuarios.
“La investigación académica se ha beneficiado muchas veces de este tipo de robos porque permiten estudiar las elecciones de clave que realizan los usuarios. En nuestro caso, las hemos utilizado para llevar a cabo un experimento que reveló qué tipo de erratas comete la gente al introducirlas”, concreta Ristenpart.
Para ello pidieron a los participantes que teclearan una serie de contraseñas extraídas de esta lista. En el estudio, que presentaron en el Simposio de Seguridad y Privacidad del IEEE, aclaran que mantuvieron las palabras malsonantes, elección popular entre muchos usuarios a la hora de asegurar sus cuentas.
En total, comprobaron los errores repetidos al introducir 100.000 claves distintas. “Dejar las mayúsculas activadas, escribir con mayúscula la primera letra de una contraseña y añadir una letra sobrante al final de una clave son los más comunes”, precisa.
El salto a Dropbox
Comprobar los beneficios de aceptar contraseñas con erratas era muy difícil sin llevar a cabo una prueba en un servicio real, por lo que el equipo se dirigió a Dropbox, un popular servicio de almacenamiento en la nube. “Dropbox tiene más de 500 millones de usuarios y es una compañía muy abierta a la hora de permitir estudios siempre que sean seguros para sus usuarios, así que contactamos con ellos y aceptaron enseguida”, explica Rahul Chatterjee, estudiante de doctorado en la Universidad de Cornell y parte del equipo del proyecto.
Tras la respuesta afirmativa de la empresa, el equipo llevó a cabo un experimento de 24 horas para comprobar el impacto real de permitir el acceso a la cuenta aceptando tres de las erratas más comunes: mayúsculas activadas, primera letra mayúscula y letra sobrante al final de la clave. Un 3 % de los que no consiguieron entrar podrían haberlo hecho si se hubieran permitido estos errores y muchos otros se habrían ahorrado realizar múltiples intentos, disminuyendo el tiempo empleado en acceder a la página.
“Esto implicaría que habría menos mensajes de ‘contraseña incorrecta’ y que los usuarios serían capaces de acceder al servicio más rápidamente, en vez de perder el tiempo intentando probar su autenticidad ante un ordenador”, puntualiza Chatterjee.
Aceptar erratas ¿un riesgo?
Para algunos, permitir que las páginas acepten contraseñas con erratas puede sonar a mala idea. Al fin y al cabo, un atacante que intente adivinar una clave no necesitaría escribirla de forma exacta para tener acceso. Sin embargo, los investigadores de la Universidad de Cornell, el El Instituto Tecnológico de Massachusetts (MIT) y Dropbox, firmantes del estudio, creen que la idea no es peligrosa si se implementa teniendo en cuenta la forma en la que se eligen las contraseñas y las erratas que normalmente se producen.
“Antes de llevar a cabo el estudio se pensaba que sería peligroso, pero hemos cuantificado la pérdida de seguridad y permitir ciertas erratas no empeorará la protección de las cuentas”, defiende el estudiante de doctorado.
Sin embargo, aceptar erratas sí podría dar ventaja a los posibles atacantes en algunas situaciones. Por ejemplo, si la clave fuera “12345” —lamentablemente una de las más elegidas por los usuarios— y un atacante adivinara “123456”, podría entrar. Para prevenir estas situaciones concretas, el equipo creó dos verificadores de contraseñas que toleraran erratas pero no las aceptaran en determinados casos, cuando pudiera resultar arriesgado.
Estos verificadores se probaron en distintos escenarios simulados para comprobar hasta qué punto se comprometería la seguridad si el atacante tuviera 1.000 intentos para adivinar una contraseña, algo altamente improbable en la práctica porque las compañías limitan el número de intentos de los que dispone el usuario para introducir una clave personal. Los atacantes nunca lograban una ventaja mayor al 0.02 %.
“Si se controla cuidadosamente qué erratas son aceptadas y centramos nuestra atención en algunos de los fallos más comunes, la seguridad no se ve comprometida. Estamos hablando de un aumento de un 0.02 % de las probabilidades. Esto no afectará a la tasa de 'hackeo' de cuentas”, defiende Ristenpart. “Ahora estamos pensando en analizar si se pueden corregir otros errores más complejos, como cambiar accidentalmente el orden de dos caracteres”, concreta el investigador.
El experimento demuestra que un riesgo calculado podría mejorar el proceso de acceder a una web. Ahora solo falta que, con Facebook ya a la cabeza, las compañías se animen a adoptar esta tecnología. Por supuesto, esto no querrá decir que el mensaje de “su contraseña es incorrecta” vaya a ser desterrado para siempre, pero puede que muchos se ahorren una cuenta bloqueada o unos cuantos intentos desesperados por recordar la clave mientras las mayúsculas activadas o el dedo que se desliza para añadir una letra adicional les separan de lograr la validación.
---------------------
Las imágenes de este artículo son propiedad, en orden de aparición, de Thomas Au, Pexels, Automobile Italia y Marc Farladeau