El patrón de “el correo electrónico es autenticación”

 (rubenerd.com)
4 puntos por GN⁺ 2024-09-09 | 1 comentarios | Compartir por WhatsApp
  • La mayoría de las personas no usan bloqueadores de anuncios, JavaScript restringido, administradores de contraseñas, etc.
  • Muchas personas pasan por un proceso de inicio de sesión como este
    • Ir a la página de inicio de sesión
    • Hacer clic en "Olvidé mi contraseña"
    • Ir al correo electrónico
    • Hacer clic en el enlace de recuperación
    • Ingresar una contraseña temporal que no van a recordar
    • Repetir
  • Si les preguntas por qué pasan por ese proceso, la mayoría no lo sabe
  • Ya se ha discutido mucho sobre los administradores de contraseñas, el riesgo de robo de identidad y la necesidad de autenticación de dos factores y multifactor
  • Surge la duda de por qué la gente usa "Olvidé mi contraseña" como medio de autenticación
  • No es una decisión consciente, sino un hábito formado con el tiempo
  • Reflexiona sobre si se puede aprovechar ese hábito para diseñar sistemas que hagan que las personas usen el sistema de una mejor manera

Resumen de GN⁺

  • Este artículo trata sobre el hábito de las personas de autenticarse a través del proceso de olvidar la contraseña
  • Aunque ya se ha hablado mucho sobre la necesidad de administradores de contraseñas y autenticación de dos factores, plantea la pregunta de por qué la gente sigue ciertos procesos
  • Explora la posibilidad de aprovechar estos hábitos para diseñar mejores sistemas de seguridad
  • Productos con funciones similares incluyen LastPass, 1Password y otros

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-09
Opinión de Hacker News

  • La cuenta de correo electrónico es el método más común de autenticación en línea

    • El número de teléfono también es competitivo, pero la gente puede perder su celular
    • La seguridad del número de teléfono es menor que la de la cuenta de correo
    • Al diseñar un sistema de autenticación de usuarios, hay que considerar la recuperación de la cuenta

  • Cuando un negocio ofrece simplicidad, usa un sistema de autenticación por correo electrónico

    • El usuario ingresa su correo electrónico
    • Se envía un código de verificación por correo
    • Cuando el usuario ingresa el código, permanece conectado de forma "indefinida"
    • Si es un correo nuevo, se crea una cuenta automáticamente
    • Algunos usuarios pueden crear por error cuentas nuevas al usar varios correos
    • Este método mejora mucho la conversión entre registro e inicio de sesión

  • Los sistemas de autenticación basados en contraseña son poco realistas

    • Las contraseñas se usan de dos maneras
      • Protegidas con una sola contraseña mediante un gestor de contraseñas
      • Reutilizando la misma contraseña en varios servicios
    • La mayoría de los servicios ofrecen recuperación por correo electrónico
    • Las cuentas personales de correo casi nunca se cambian, no se comparten y no se reutilizan

  • Se propone iniciar sesión enviando un enlace URL de un solo uso por correo electrónico

    • El enlace expira en 10 minutos y es de un solo uso
    • Quien tenga el enlace puede iniciar sesión, pero solo se puede acceder a él desde el correo electrónico
    • La seguridad depende de la cuenta de correo

  • La razón por la que los proveedores de servicios incomodan a los usuarios es simple

    • Las sesiones del proveedor de correo casi nunca terminan
    • Se puede configurar el token de autenticación del servicio con la misma duración que la sesión de Gmail, o permitir iniciar sesión con OTP

  • La mayoría de la gente intenta hacer algo en la computadora y lo resuelve sobre la marcha

    • El software lo crean personas que entienden bien los sistemas, pero los usuarios no
    • Cuando los usuarios encuentran un patrón que funciona, se aferran a él
    • Muchas escuelas usan tabletas, así que no se desarrolla la intuición de uso de computadoras

  • Hay sitios que se saltan el paso de olvidar la contraseña y usan el correo como autenticación

    • Ingresar la dirección de correo electrónico
    • Recibir un correo con un código
    • Ingresar el código e iniciar sesión
    • Esto puede ser incómodo para quienes usan varios correos

  • Best Buy usa un método parecido

    • Aunque se guarde la contraseña con un gestor de contraseñas, aparece como inválida por la protección contra ATO
    • Uno termina cansándose de intentar resolver el problema y sigue el camino más fácil

  • El flujo de inicio de sesión es parecido

    • A) Visitar el sitio web, copiar y pegar la contraseña desde el gestor de contraseñas, recibir por correo una solicitud de TOTP
    • B) Visitar el sitio web, hacer clic en olvidé mi contraseña, recibir un enlace de inicio de sesión, ingresar una cadena aleatoria
    • A veces el método B es más rápido

  • La razón por la que los usuarios no guardan contraseñas es que no tienen un gestor de contraseñas

    • Incluso si conocen los gestores de contraseñas, cambiar de cuenta al trabajar en una PC compartida en la nube es molesto
    • En los sitios sin función para guardar contraseñas, no las guardan