Por @Wicho — 23 de Febrero de 2005

Paris-y-perro.jpgA estas alturas ya no es ninguna novedad que aparezcan imágenes comprometidas y supuestamente privadas de Paris Hilton en público, y aunque en el caso de la famosa cinta de vídeo parece claro que simplemente alguien que no debía se hizo con ella, el reciente crackeo de su cuenta con T-Mobile (que no hackeo) parece haber sido simplemente una cuestión de un cracker atento que se dio cuenta de dos o tres cosas, al menos tal y como lo cuenta Brian McWilliams en How Paris got hacked?:

  1. El sistema de recuperación de claves olvidadas de T-Mobile incluye una "pregunta secreta", de tal forma que si conoces la "respuesta secreta" te permite cambiar una clave olvidada.

  2. Una de las preguntas utilizadas en este sistema es "¿Cómo se llama tu mascota preferida?"

  3. La rica heredera está encantadísima con su chihuahua; de hecho ofreció una recompensa de 5.000 dólares cuando se le perdió el verano pasado.
¿Cómo de difícil piensas que es encontrar el nombre del animalito en cuestión? Seguro que no tardas más de treinta segundos en hacerlo.

Así que ya podía matarse la "pobre" chica buscando una clave complicada; como dice Bruce Schneier en The Curse of the Secret Question, es inútil:

La respuesta a la pregunta secreta es mucho más fácil de adivinar que una buena clave, y la información es mucho más pública. Y lo que es peor, todo el mundo parece usar las mismas preguntas secretas. [...]

Las claves han alcanzado el fin de su vida útil. Hoy sólo funcionan para aplicaciones de baja seguridad. La pregunta secreta es sólo una manifestación de ese hecho.

Y ojo que no es un problema que se limite sólo a T-Mobile; muchísimos sitios y servicios usan este sistema de recuperación de claves y no todos te dejar escoger la pregunta.

Compartir en Flipboard Publicar / Tuitear Publicar