Por @Wicho — 23 de Febrero de 2005

Paris-y-perro.jpgA estas alturas ya no es ninguna novedad que aparezcan imágenes comprometidas y supuestamente privadas de Paris Hilton en público, y aunque en el caso de la famosa cinta de vídeo parece claro que simplemente alguien que no debía se hizo con ella, el reciente crackeo de su cuenta con T-Mobile (que no hackeo) parece haber sido simplemente una cuestión de un cracker atento que se dio cuenta de dos o tres cosas, al menos tal y como lo cuenta Brian McWilliams en How Paris got hacked?:

  1. El sistema de recuperación de claves olvidadas de T-Mobile incluye una "pregunta secreta", de tal forma que si conoces la "respuesta secreta" te permite cambiar una clave olvidada.

  2. Una de las preguntas utilizadas en este sistema es "¿Cómo se llama tu mascota preferida?"

  3. La rica heredera está encantadísima con su chihuahua; de hecho ofreció una recompensa de 5.000 dólares cuando se le perdió el verano pasado.
¿Cómo de difícil piensas que es encontrar el nombre del animalito en cuestión? Seguro que no tardas más de treinta segundos en hacerlo.

Así que ya podía matarse la "pobre" chica buscando una clave complicada; como dice Bruce Schneier en The Curse of the Secret Question, es inútil:

La respuesta a la pregunta secreta es mucho más fácil de adivinar que una buena clave, y la información es mucho más pública. Y lo que es peor, todo el mundo parece usar las mismas preguntas secretas. [...]

Las claves han alcanzado el fin de su vida útil. Hoy sólo funcionan para aplicaciones de baja seguridad. La pregunta secreta es sólo una manifestación de ese hecho.

Y ojo que no es un problema que se limite sólo a T-Mobile; muchísimos sitios y servicios usan este sistema de recuperación de claves y no todos te dejar escoger la pregunta.

Compartir en Flipboard  Compartir en Facebook  Tuitear

11 comentarios

#1 — Alvy

De todos modos a mi me parece que se ha autocrackeado para hacerse un poquillo de publicidad, no sería la primera vez que pasa.

Las fotos por cierto son como demasiado «buenas» me parece a mi.

#2 — Wicho

De todos modos a mi me parece que se ha autocrackeado para hacerse un poquillo de publicidad [...]

Sí, no sería la primera vez, y ya se sabe, lo importante es que hablen de uno, aunque sea mal, pero en cualquier caso eso no le quita nada de razón a Schneier.

Las fotos por cierto son como demasiado «buenas» me parece a mi.

Ojo, que las que parecen mejores (las que están en blanco y negro) son en realidad fotos de fotos.

#3 — Yabu

Bueno, pero lo de la pregunta secreta no tiene mayor importancia, es simplemente otra clave. Aunque ponga "¿como se llama tu mascota?" tu puedes poner "3P_a17" o "macagonlosenanoscoloraos" y entonces se convierte en solo un password adicional de acceso.

Ahora, si estas gilipollas pues estas gilipollas...

#4 — grapa

Hola,

probad la recuperación de clave de Gmail, es genial.

saludos.

#5 — Wicho

[...] tu puedes poner "3P_a17" o "macagonlosenanoscoloraos" [...]

Sí, claro, pero el problema es que la inmensa mayoría de la gente pone la respuesta verdadera.

#6 — uno

entonces la culpa no es del sistema de recuperacion de claves sino de la gente.

#7 — Anonymous

"entonces la culpa no es del sistema de recuperacion de claves sino de la gente.".

Pues no, es problema del que diseño el sistema de recuperación de claves porque la mayoría de la gente, aunque no te lo creas, tiende a no mentir cuando se les pregunta algo.

#8 — Eneko Alonso

Cierto es que podemos poner cualquier clave en respuesta a las preguntas, pero cierto es que no lo hace todo el mundo.

Creo que al registrarse debería avisarse al usuario que cualquier persona que sepa la respuesta a la pregunta podría acceder en el futuro a sus datos e incluso inhabilitarle la cuenta.

Es decir, es un fallo del sistema de recuperacion de claves o mejor dicho, de la empresa o web donde te registras.

Seguro que si yo demando a una web por no avisarme de que cualquiera que sepa la respuesta puede hacerse pasar por mi, ganaría. Sobre todo aquí en USA.

#9 — horv

Lo cierto es que este problema fué lo primero que me vino a la mente la primera vez que me pidieron una respuesta secreta (lo que me predujo un inmediato hastío intelectual); lo que he hecho siempre desde entonces es escoger al azar la pregunta, si me dan la opción, y poner como respuesta otra contraseña, por ejemplo: "¿Cuál es el nombre de tu mascota?" -> "ax3dfr09h"

#10 — Eremita

Para mi que a esta chica le gusta mas que hablen de ella que a un tonto un lápiz.

Ya hacía mucho que no protagonizaba ningúna habladuría y lo echaba de menos...

#11 — spaceheadshrinker

Existe alguien tan tont@ que pueda olvidar su clave? En cuanto a las preguntas para poder recordar la clave no bastaria con digitar algo como 35fdg54fdg4fda6g en la respuesta?