McBroom explica que las empresas a menudo sustituyen contraseñas por códigos de acceso en combinación con una notificación automática o una aplicación de autenticación que llega a través de un teléfono inteligente. Para muchas empresas, la forma predeterminada de autenticación multifactor (MFA) se ha convertido en el código enviado al número de teléfono inteligente registrado del cliente, lo que presenta sus propios inconvenientes.
4. Creer que un código enviado al teléfono del usuario es una panacea de seguridad
Al igual que dentro de una empresa, debes diferenciar los niveles de seguridad necesarios para los clientes en función del nivel de acceso. Sin embargo, en los últimos años, los bancos han llegado a exigir un código enviado por mensaje de texto para casi todos los puntos de acceso, incluso solo para verificar los saldos de las cuentas. Si bien esto puede parecer nada más que una molestia menor para el cliente, puede generar serios problemas tanto de acceso como de seguridad. Alguno Suscriptores de teléfonos de AT&T (incluido el autor) no pueden recibir estos mensajes de texto en un teléfono, incluso después de enviar mensajes de texto a los números designados para otorgar permiso.
Aquellos que utilizan otros operadores pueden verse excluidos de esa opción cuando viajan al extranjero, donde las tarjetas SIM estadounidenses no funcionan. Peor aún es que no cumplir con la demanda del código pone al cliente en riesgo de que le congelen su cuenta, lo que le impediría el acceso a los cajeros automáticos. ¿Valen la pena todas esas posibles desventajas por la seguridad adicional que se obtiene del código telefónico? No es así, ya que los delincuentes pueden obtener estos códigos a través de Ataques de fatiga de autenticación multifactor, campañas de phishinga intercambio de SIMo otros metodos.
5. Confiar en preguntas de seguridad
Cuando se trata de responder preguntas de seguridad, puedes equivocarte incluso si tienes razón, lo que puede provocar que el sistema automatizado te bloquee. Eso me pasó cuando tuve que responder la pregunta “¿Quién es tu autor favorito?” Utilicé el nombre correcto, pero no coincidía con el registro para el cual había puesto solo el apellido, como en Austen en lugar de Jane Austen.
En lugar de las tradicionales preguntas de seguridad, Steinberg recomienda las basadas en el conocimiento, particularmente con un par de grados de separación para que a los piratas informáticos les resulte más difícil encontrar la información. Por ejemplo, para alguien que tiene una hermana llamada Mary, recomendaría la opción múltiple «¿Cuál de las siguientes calles asocias con Mary?» donde uno de ellos es un domicilio anterior.
Steinberg admite que para utilizar estos datos es necesario obtener el derecho legal sobre ellos, lo que también puede resultar caro para una empresa. Si bien Experian, por ejemplo, podría acceder a él, cobraría por ello.
6. No comprender las ventajas y desventajas de la biometría
Cuando la gente sugiere un futuro sin contraseñas, algunos imaginan que la biometría las reemplazará con una mayor seguridad. Se han utilizado huellas dactilares en lugar de contraseñas, aunque «pueden ser una situación complicada», según McBroom, y pueden generar más frustración en el usuario si un error impide que se realice la lectura de la impresión y, por lo tanto, no otorga acceso a alguien que las necesita. él.
Incluso si funcionan según lo previsto, Steinberg identifica dos inconvenientes importantes al depender de la biometría, como las huellas dactilares, el escaneo del iris o del rostro, o el reconocimiento de voz. Una es que un delincuente podría, por ejemplo, extraer fácilmente las huellas dactilares de cualquier cosa que la persona autorizada haya manipulado (a veces incluso el propio dispositivo) para obtener acceso. La otra es que una vez que eso sucede, no puedes simplemente restablecer las huellas digitales de la misma manera que lo haces con las contraseñas.
Como sugiere McBroom, la biometría puede ser útil “en dispositivos que requieren presencia en persona, como una máquina de trabajo personal o lectura de datos con láser para laboratorios”.
Otro contexto supervisado para la identificación biométrica es el de los aeropuertos. En Israel, dice Sunshine, los ciudadanos escanean sus pasaportes biométricos mejorados en una máquina en lugar de hacer cola durante más de una hora para ser vistos por una persona como deben hacer sus homólogos estadounidenses en JFK.
Algunos datos biométricos no son obviamente visibles. La biometría del comportamiento se basa, por ejemplo, en el patrón individual de escribir las claves utilizadas para una contraseña a un ritmo determinado con ligeras pausas entre ciertas letras. Según Steinberg, agregar esa capa invisible que puede cifrarse y almacenarse junto con la contraseña cifrada mejora la seguridad.
«La biometría invisible es mejor de lo que se puede ver», afirma Steinberg. Esto plantea un último error que la gente comete cuando se trata de la experiencia del usuario: asumen que la seguridad se trata de las cosas que ven cuando, como los icebergs, la mayor parte debería estar debajo de la superficie visible. «Cuanto menos tenga que ver el usuario, mejor», afirma Steinberg. Esa es la clave para minimizar un efecto adverso en la experiencia del usuario.