97% de incapaces no recuerdan sus 20 contraseñas "seguras"

in #passwords6 years ago

frustration.gif

[Español]

Esto es hacer mal un sistema, no ser capaz de reconocerlo, y hecharle la culpa al usuario.

"El 97% de los argentinos usa contraseñas consideradas débiles por no incluir números, caracteres especiales, letras mayúsculas y minúsculas, y por no tener al menos 10 caracteres de largo, reveló una encuesta privada.
Asimismo, el 42% de los usuarios argentinos de Internet emplea la misma clave para proteger varias cuentas, lo que incrementa el riesgo de ser hackeadas, mostró un relevamiento realizado por la empresa checa Avast.
Según el estudio -que incluyó encuestas a 1.575 personas, entre diciembre y enero pasados-, el 88% de esas personas que emplean la misma contraseña para distintas cuentas es consciente del riesgo, pero lo subestima.
Consultados acerca de por qué persisten con ese hábito, casi la mitad (46%) respondió que sólo pueden memorizar un número limitado de contraseñas; el 32% afirmó que no considera que la información de sus cuentas sea valiosa; y el 11% dijo que es demasiado perezoso para cambiar su contraseña.
La información se conoce en el Día Mundial de la Contraseña, instaurado por un grupo de empresas tecnológicas para concientizar cada primer jueves de mayo sobre la importancia de mantener claves seguras."
https://www.ambito.com/el-97-los-argentinos-usa-contrasenas-inseguras-n5029335

O sea, para los que configuran la autenticación de los sistemas, el problema no es el sistema de autenticación sino la limitada capacidad de los seres humanos para recordar diez o más combinaciones complejas de caracteres.

Es como hacer los cordones de las veredas de 2 metro de alto y luego decir que el problema es que la gente no salta lo suficiente.

Y lo más gracioso es que ya está inventada la solución, por ejemplo con los sistema de ID único (OAuth2, OpenID, etc), con los sistemas biométricos (el hardware ya está disponible en la mayoría de las laptops y celulares)

A mi criterio, el único motivo evidente por el cuál aún se usan las contraseñas complejas, diferentes y de cambio periodico forzado, es que resultan mas baratas de implementar para los programadores y administradores de sistemas, por lo tanto prefieren responsabilizar a los usuarios de la inseguridad del sistema, en vez de invertir el tiempo o dinero necesario en desarrollo de sistemas de identificación más seguros y usables.

--
[English]

This is doing a system wrong, not being able to recognize it, and blaming the user.

"97% of Argentines use passwords considered weak for not including numbers, special characters, uppercase and lowercase letters, and for not being at least 10 characters long, revealed a private survey.Also, 42% of Argentine Internet users use the same password to protect several accounts, which increases the risk of being hacked, showed a survey conducted by the Czech company Avast.According to the study, which included surveys of 1,575 people, between December and January, 88% of those people who use the same password for different accounts are aware of the risk, but underestimate it.Asked about why they persist with this habit, almost half (46%) responded that they can only memorize a limited number of passwords; 32% said they do not consider the information in their accounts valuable; and 11% said they are too lazy to change their password.The information is known on World Password Day, established by a group of technology companies to raise awareness every first Thursday in May about the importance of keeping passwords safe. "
https://translate.google.com/translate?sl=auto&tl=en&u=https%3A%2F%2Fwww.ambito.com%2Fel-97-los-argentinos-usa-contrasenas-inseguras-n5029335

That is, for those who configure the authentication of systems, the problem is not the authentication system but the limited capacity of human beings to remember ten or more complex combinations of characters.

It's like making the lanes of the sidewalks 2 meters high and then saying that the problem is that people do not jump enough.

And the funny thing is that the solution is already invented, for example with the unique ID system (OAuth2, OpenID, etc), with biometric systems (hardware is already available on most laptops and cell phones)

In my opinion, the only obvious reason why complex, different passwords and forced periodic change are still used is that they are cheaper to implement for programmers and system administrators, therefore they prefer to hold users of the system accountable for the insecurity of the system, instead of investing the time or money necessary in developing more secure and usable identification systems.