La fatiga de contraseña es el sentimiento experimentado por muchas personas que requieren recordar un excesivo número de contraseñas como parte de su rutina diaria , tal como el inicio de sesión en la computadora del trabajo, abrir un candado de bicicleta o realizar operaciones bancarias desde un cajero automático (ATM). El concepto también es conocido como caos de contraseña o generalmente como caos de identidad.[1]
El creciente protagonismo de las tecnologías de información y el Internet en el empleo, las finanzas, la recreación y otros aspectos de la vida de las personas, y la posterior introducción de la tecnología de transacciones seguras, ha llevado a las personas a acumular una prolifera cantidad de cuentas y contraseñas . Según una encuesta en 2002 de seguridad en línea de la consultoría británica NTA Monitor, el típico usuario de computadora tiene 21 cuentas que requieren una contraseña.[2]
Además de contribuir al estrés, la fatiga de contraseña puede incitar a las personas a adoptar hábitos que reducen la seguridad en su información protegida. Por ejemplo, un titular de la cuenta puede utilizar la misma contraseña para varias cuentas diferentes, deliveradamente escogen las contraseñas fáciles de recordar y que son más vulnerables al cracking, o se basan en registros escritos de sus contraseñas.
Otros factores causantes de la fatiga de contraseña son
- Aviso inesperado que pide al usuario crear una nueva contraseña.
- Aviso inesperado que pide al usuario crear una nueva contraseña que utilice un patrón particular de letras, dígitos y caracteres especiales.
- Aviso que pide al usuario escribir la nueva contraseña dos veces.
- Avisos frecuentes e inesperados que piden al usuario ingresar de nuevo su contraseña a lo largo del día mientras navega por diferentes partes de la intranet.
- Mecanograía ciega, responder una solicitud de contraseña y establecer una nueva al mismo tiempo.
Algunas compañías están bien organizadas en este rubro y han implementado métodos de autenticación alternativa[3] o adoptado tecnologías para que las credenciales de un usuario se introduzcan automáticamente, pero otras no se enfocan en la facilidad de uso e incluso empeoran la situación por la constante implementación de nuevas aplicaciones con propios sistemas de autenticación.
La fatiga de contraseña típicamente afecta a los usuarios, pero puede afectar también a los departamentos técnicos que gestionan cuentas de usuario, ya que reinician contraseñas constantemente; esta situación termina con la baja de moral en ambos casos. En muchos casos los usuarios terminan escribiendo sus contraseñas en archivos de texto para no tener que memorizarlos, o incluso las escriben en notas post-it que luego pegan en el escritorio.
Un software Single Sign-on (SSO) puede ayudar a mitigar este problema con solo pedir al usuario recordar una contraseña en una aplicación que automáticamente dará acceso a varias cuentas más, con o sin la necesidad de un agente de software en la computadora de los usuarios. Una desventaja potencial es que la pérdida de una sola contraseña impedirá el acceso a todos los servicios que utilizan el sistema de SSO, y el robo o mal uso de una contraseña presenta muchas blancos para los criminales o atacantes.
Muchos sistemas operativos proporcionan un mecanismo para almacenar y recuperar contraseñas usando las contraseñas de inicio de sesión del usuario para desbloquear otra contraseña encriptada en la base de datos. Microsoft Windows proporciona un Controlador de Credenciales para almacenar nombres de usuario y contraseñas usadas al iniciar sesión en sitios web u otras computadoras en la red, Mac OS X tiene una opción Keychain que permite esta funcionalidad, y una funcionalidad parecida está presente en los códigos abiertos GNOME y KDE.
Adicionalmente, desarrolladores de buscadores web han añadido funcionalidades parecidas en todos los navegadores importantes, los software de manejo de contraseñas tales como KeePass y Password Safe pueden ayudar a mitigar el problema de fatiga de contraseña mediante el almacenamiento de contraseñas en una base de datos encriptada con una contraseña única.
Adicionalmente, la mayoría de los servicios web para la protección de contraseñas proporcionan una opción de recuperación de contraseña que permitirá a los usuarios recuperar sus contraseñas vía correo electrónico (u otra información) ligada a esa cuenta.
Estas herramientas plantean el problema de que si el sistema del usuario está dañado, robado o comprometido; aparte de que los datos son mal utilizados, también pueden perder el acceso a los sitios donde se almacenan las contraseñas o a las funciones que recuperan datos de inicio de sesión. Por esta razón, a menudo se aconseja mantener un registro separado de los sitios, nombres de usuario y contraseñas que son físicamente independientes del sistema.
Muchos sitios, en un intento de prevenir el uso de las contraseñas fáciles de adivinar, añaden restricciones en la longitud o composición de las contraseñas las cuales contribuyen a la fatiga de contaseña. En muchos casos, las restricciones colocadas en las contraseñas de hecho disminuyen la seguridad de la cuenta (ya sea mediante la prevención de buenas contraseñas o haciendo la contraseña tan compleja que el usuario termina almacenándola de forma insegura, como en una nota de post-it por ejemplo). Algunos sitios también bloquean los caracteres que no son ASCII o alfanuméricos.
Véase también
- BugMeNot
- Fatiga de decisión
- Gestión de Identidad
- Gestor de contraseñas
- Seguridad de la contraseña
- Pregunta de Seguridad
Notas
- ↑ "Password chaos" at TheFreeDictionary
- ↑ Hayday, Graham. Security nightmare: How do you maintain 21 different passwords? Archivado el 6 de diciembre de 2009 en Wayback Machine., Silicon.com, 2002-12-11
- ↑ Such as digital certificates, OTP tokens, fingerprint authentication or password hints.
Enlaces externos
- Noguchi, Yuki. Access Denied, Washington Post, 23 September 2006.
- Catone, Josh. Bad Form: 61% Use Same Password for Everything, 17 de enero de 2008.
- identitychaos.com, MIIS & ILM blog