El estudio que actualmente considero definitivo es Secretos, mentiras y recuperación de cuenta: lecciones del uso de preguntas de conocimiento personal en Google
Citan un estudio de Mike Just y David Aspinall (ref. 21) que dice que si los usuarios hacen sus propias preguntas, tienden a tener menos respuestas plausibles que las preguntas preseleccionadas. No estoy seguro de las respuestas preseleccionadas. El estudio de Google muestra que las preguntas de seguridad en general son terribles, con un 20% de posibilidades de adivinar correctamente “comida favorita”, o un 4% de posibilidades de adivinar el segundo nombre de un español en solo una prueba, aparte de los problemas de encontrar respuestas en el las redes sociales de la víctima (o de sus amigos).
No he llegado al punto de crear una cuenta de United y luego iniciar sesión. Si se le presenta una sola pregunta, la posibilidad de adivinar correctamente es de aproximadamente el 3%. Si tiene que responder dos, la probabilidad cae a 1 en 900, y con los 5, a 1 respetable en 24 millones, suponiendo que elija respuestas al azar. El procedimiento en una página web debe ser resistente a un keylogger, pero no a la captura de pantalla o grabación de video.
- ¿Cómo se compara y contrasta un software de seguridad de Internet y un antivirus?
- ¿Para qué sirve el archivo aircrack-ng.c en la fuente integrada de aircrack-ng?
- ¿Por qué no pueden simplemente depurar un ransomware y obtener la clave privada?
- ¿Cómo aseguro una contraseña correctamente cuando un humano debe poder leerla pero solo una máquina debe acceder a ella?
- ¿Cómo ocurre un ataque cibernético?
