El entrenamiento de contraseñas de gamificación muestra beneficios de seguridad



Al elegir contraseñas, los usuarios a menudo recurren a ciertos patrones inseguros, pero los buenos hábitos se pueden aprender usando juegos simples, según un grupo de investigadores.

Las contraseñas siguen siendo problemáticas para muchas empresas porque los usuarios tienden a elegir combinaciones predecibles de letras, números y símbolos. El uso de un juego para la formación puede reforzar las reglas para elegir contraseñas más seguras, afirmó un grupo de investigadores de Tata Consulting Expert services con sede en India en una presentación en el Simposio de USENIX sobre Privacidad y Seguridad Usable el 10 de agosto y en un informe.

En un estudio con los 4,904 empleados de la compañía, los investigadores encontraron que un juego educativo, llamado Passworld, mejoró la elección de contraseñas de los usuarios a lo largo de varias medidas, como la creación de secuencias únicas de caracteres sin duplicados o patrones repetidos. El juego requería que los usuarios encontraran un artefacto valioso y luego lo protegieran usando un fuerte conjunto de puertas, cada una de las cuales representaba una letra, número o símbolo especial.

Si bien el juego en realidad no trató de romper la contraseña del jugador, sí evaluó las opciones del usuario contra la lista de reglas, dijo Gokul Chettoor Jayakrishnan, investigador de Tata Consultancy Services y uno de los autores del artículo.

«No les estamos diciendo exclusivamente a los usuarios que esta es una contraseña segura, pero al ultimate del juego, estamos viendo si los usuarios aprendieron la heurística y produjeron contraseñas más diversas al last», dice.

El juego primero probó el conocimiento del jugador sobre la heurística para la creación de contraseñas seguras durante una prueba previa, y luego hizo que el usuario jugara y creara una contraseña. Luego distrajo al usuario con minijuegos, hasta que el juego probó la recuperación de la contraseña por parte de la persona. Finalmente, el juego puso a prueba el conocimiento del jugador sobre contraseñas seguras.

Si bien los usuarios originalmente tendían a seguir prácticas similares e inseguras para crear contraseñas, como una palabra seguida de un número, después de jugar el juego, los participantes aumentaron la diversidad de contraseñas. papel encontró. Además, muchos menos empleados optaron por incluir términos bloqueados en sus contraseñas, lo que llevó a una reducción del 77% en el uso de términos organizacionales comunes.

«Al principio, había una tendencia común de los usuarios a crear contraseñas similares, porque había reglas, como que la contraseña debe tener cierta longitud», dijo Jayakrishnan. «Pero una vez que jugaron, hubo una mayor diversidad de contraseñas».

La mala elección de las contraseñas por parte de los usuarios y la inclinación por reutilizar las contraseñas han estado en el centro de muchas violaciones de datos y compromisos de la pink. Las empresas más pequeñas de menos de 25 empleados tienden a tener 14 contraseñas por empleado, mientras que las de empresas más grandes de más de 1,000 empleados tienen solo 4 contraseñas por persona, declaró la firma de gestión de credenciales LastPass su informe «2019 Annual Worldwide Password Security».

Los medidores de seguridad de la contraseña, que brindan a los usuarios una métrica interactiva de una contraseña a medida que ingresan los caracteres, ayudan hasta cierto punto, pero los investigadores han descubierto que algunos usuarios desconfían de las guías porque los usuarios no tienen una foundation en las reglas para crear contraseñas seguras, el los investigadores declararon en su artículo.

Para muchas empresas, la solución es sacar de la ecuación las opciones de los usuarios. Las empresas están adoptando cada vez más la autenticación multifactor (MFA) para ayudar a fortalecer la seguridad que, de otro modo, dependería de la elección de la contraseña de los empleados. En 2019, el 57% de las empresas habían adoptado MFA, frente al 45% del año anterior, según el informe de LastPass.

Además, a medida que los administradores de contraseñas se han vuelto más comunes en los dispositivos móviles, los empleados han adoptado cada vez más la tecnología. Casi una cuarta parte de los empleados utilizaron un administrador de contraseñas en sus dispositivos móviles, según LastPass.

La gamificación de todo no necesariamente ha mejorado todas las métricas de seguridad. Los usuarios aún optaron por utilizar patrones de teclado predecibles, como «querty», y la ubicación predecible de letras mayúsculas, como el principio o el remaining de una oración.

«Algunas de las heurísticas vieron una disminución, incluidos los patrones de teclado y mayúsculas, lo que puede indicar que necesitan más entrenamiento en el juego», dice Jayakrishnan.

Los investigadores tienen la intención de agregar modificaciones al juego para incorporar lo que han aprendido, como recordar a los usuarios en tiempo genuine sobre la importancia de no incluir patrones comunes de mayúsculas o teclado.

Contenido relacionado:

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading through, MIT&#39s Technologies Review, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic