¿Deberían los sitios web aceptar contraseñas erróneas?
¿Se te ha bloqueado la cuenta de correo por equivocarte en tu contraseña? Un estudio podría sugerir mejoras para evitar esta situación.
De acuerdo con la investigación “Password typos and How to Correct Them Securely”, hecho por la Universidad de Cornell, comprobó que admitir el acceso a un sitio web cuando el usuario introduzca su contraseña con un determinado número de errores podría ahorrar muchas inconveniencias al usuario, sin poner en riesgo la seguridad de la cuenta.
Esta investigación surgió al notar que Facebook permite 2 tipos de erratas en las contraseñas, de esta forma, se puso en práctica la idea desde el punto de vista de la experiencia de usuario y nivel de seguridad.
Primeramente, los investigadores se apoyaron en la filtración de claves de RockYou, la cual expuso las contraseñas de 32 millones de usuarios e identificaron los errores más comunes al momento de introducir una contraseña.
Se constató que en 100 mil passwords distintos presentaban erratas como el dejar las mayúsculas activas, escribir con mayúscula la primera letra de una contraseña y añadir una letra sobrante al final de la contraseña.
Para comprobar los beneficios reales de aceptar contraseñas con erratas el equipo recurrió a Dropbox, compañía que ha permitido la realización de estudios siempre que sean seguros para los usuarios, y realizó un experimento de 24 horas para comprobar el impacto real de permitir el acceso a la cuenta aceptando tres de las erratas más comunes (mayúsculas activadas, primera letra mayúscula y letra sobrante al final de la clave).
Esto dio como resultado que el 3 por ciento de los usuarios que no consiguieron entrar podrían haber accedido si el sistema operativo hubiera permitido estos errores y muchos otros hubieran disminuido el tiempo empleado en acceder al servicio.
A pesar de que la idea suene descabellada por los riegos virtuales que representa, los investigadores de la Universidad de Cornell, el Instituto Tecnológico de Massachusetts (MIT, por sus siglas en ingles), y Dropbox, participantes del estudio, afirman que la idea no es peligrosa si se implementa considerando la forma en que se eligen las contraseñas y que permitir ciertas erratas no afectará la protección de las cuentas.
Fuente: Merca2.0