" />
ZOOM
GALERÍA
0 COMENTARIOS

Un analista propone un sistema de premio-castigo para que los usuarios elijan contraseñas seguras

Las contraseñas seguras de Pavlov

«Algo que he aprendido sobre los humanos es que, en muchos casos, eligen el camino más fácil y sólo cuando se ofrece una recompensa se salen de ese camino». En estos términos se expresa Lance James, responsable de Ciberinteligencia en Deloitte, que plantea un sistema conductivista para lograr que los usuarios elijan contraseñas seguras.

Recordemos el famoso experimento de Pavlov: este comprobó que los perros sujetos de estudio reaccionaban salivando ante cualquier estímulo que se asociara con una recompensa, la comida. Así, entrenó a varios animales tocando una campana poco antes de recibir los alimentos. Al poco tiempo, los perros comenzaron a salivar cuando la campana sonaba, incluso si el acontecimiento no iba seguido de la ansiada comida.

El sistema propuesto se basa en este mismo mecanismo de reflejos condicionados. El sistema analiza la fortaleza de las contraseñas, tal y como muchos servicios hacen ahora para persuadir al usuario de elegir una clave de acceso que resulte difícil de romper por un atacante. Al contrario que en estos, las dificultades de elegir una contraseña difícil de adivinar o de romper mediante un ataque de fuerza bruta están compensadas por un aliciente: el tiempo de validez de la contraseña.

Cuanto más segura es la contraseña, más tiempo pasará hasta que el usuario deba cambiarla. Así, una contraseña muy débil sólo será válida por tres días. Una contraseña de seguridad media servirá durante dos semanas, mientras que las contraseñas más seguras no deberán cambiarse por dos o tres meses.

Lance James asegura que los humanos «somos programables y la mejor manera de ver el cerebro humano es mirarlo como una red Bayesiana [sistemas que aprenden con el uso, como los filtros antispam]. Necesita entrenamiento para adaptarse al cambio, y que se le provea de información repetida y consistente». En otras palabras, que de poco sirve exponer las bondades de elegir passwords seguras, sino que es mucho más efectivo proporcionar respuestas negativas a la conducta incorrecta y positivas cuando es la deseable.

De este modo, un usuario que elija sistemáticamente contraseñas muy poco seguras deberá esforzarse más por recordar la que ha elegido más recientemente, de manera que el premio por elegir una contraseña segura será el de poder dedicar menos esfuerzo a recordarla. Además, James propone que se establezcan también incentivos por elegir una buena contraseña: premios a la más segura del mes o a los usuarios más cuidadosos con la seguridad.

Aunque el propio autor matiza que se deben establecer otras medidas de seguridad y también establecer unos requisitos mínimos que impidan que las contraseñas sean completamente inseguras, el planteamiento es interesante. Sin embargo, es posible que no sea original, ya que otro analista de seguridad, Matthew Slyman, ya propuso algo similar en un artículo fechado en 2011.

En cualquier caso, en plena oleada de problemas de seguridad, de sistemas de verificación en dos pasos y de esfuerzos de compañías como Google, Paypal o Microsoft por acabar con las contraseñas como sistema de validación, merece la pena ver cuál sería la reacción de los usuarios en caso de que este tipo de sistemas se pongan en práctica.

Foto: Stockarch

No comments yet.

Deja un comentario