Muchos de nosotros hemos tenido que volver a introducir una contraseña por haberla escrito mal. Tal vez hasta haya llegado a bloquear el acceso a alguna cuenta suya tras cometer demasiados errores tipográficos.

Una nueva investigación demuestra cómo evitarlo mediante el mismo enfoque utilizado por los mensajes de texto y los documentos: la función de autocorrección.

Los investigadores analizaron los inicios de sesión del servicio de almacenaje de datos Dropbox para demostrar que permitir el acceso a los usuarios aunque se equivoquen en unos pocos caracteres puede limitar la frustración de los usuarios sin perjudiciar significativamente la seguridad.

El profesor del Instituto Jacobs Technion-Cornell del instituto tecnológico de la Universidad de Cornell en Nueva York (Cornell Tech, EEUU) Ari Juels, afirma: "En nuestra opinión, se trata de algo muy grande. Las páginas web deberían cambiar sus políticas de contraseñas para facilitarl la vida a sus usuarios. La degradación de la seguridad es bastante pequeña".

De entrada, permitir que las contraseñas con errores tipográficos desbloqueen una cuenta parece mala idea. Después de todo, un atacante que intente averiguar la contraseña no necesitaría acertar con una precisión exacta. Facebook ha sido criticada por permitir a la gente iniciar sesión incluso cuando se equivoque con la mayúscula de la primera letra de su contraseña o tenga activado el bloqueo de mayúsculas.

Pero Juels y sus colaboradores de Cornell Tech, del Instituto Tecnológico de Massachusetts (MIT, EEUU) y de Dropbox afirman que la idea no resulta peligrosa si se implementa de forma que tenga en cuenta cómo la gente elige sus contraseñas y los errores tipográficos que comete. Su trabajo fue presentado en el Simposio IEEE Sobre Seguridad y Privacidad la semana pasada.

Recopilaron datos sobre los errores tipográficos al analizar 24 horas de inicios de sesión en Dropbox, que dispone de cientos de millones de usuarios. Casi el 10% de los intentos de iniciar sesión fallidos fracasaron por un puñado de errores tipográficos fácilmente corregibles, como dejar puesto el bloqueo de mayúsculas. Alrededor del 3% de los usuarios que no lograron acceder a sus cuentas podrían haberlo logrado si una prestación de autocorrección hubiera atajado los tres tipos de errores tipográficos más comunues: dejar puesto el bloqueo de mayúsculas, equivocarse con la mayúscula del primer caracter o borrar u obviar el último caracter.

Comparar esos datos con patrones o contraseñas obtenidas por filtraciones de datos, como las 32 millones de cuentas filtradas de la empresa de juegos de azar RockYou, sugiere que corregir esos errores comunes no proporciona apenas ventajas para los atacantes que intentan averiguar las contraseñas. En la mayoría de los casos, los intentos "extra" generados al aceptar errores tipográficos no valen gran cosa. Los atacantes emplean listas de contraseñas para probar suerte primero con las contraseñas más comunes, y aplicar este arreglo de errores tipográficos a esas contraseñas normalmente genera un resultado sin sentido, no otra contraseña común.

Aunque aceptar los errores tipográficos más frecuentes sí podría beneficiar a los atacantes para algunas contraseñas. Por ejemplo, si su contraseña fuera "12345" y un atacante probara suerte con "123456", lograría entrar. Para impedir estos casos, Juels y sus colaboradores crearon dos tipos de correctores contraseñas resistentes a los errores tipográficos que no aceptarán errores tipográficos para determinadas contraseñas en función del riesgo, a partir de datos procedentes de listas contraseñas filtradas.

Esos correctores fueron probados en escenarios que simulaban lo que sucedería si un atacante dispusiera de 1.000 intentos de averiguar la contraseña de una cuenta (algo improbable en el mundo real, ya que las empresas limitan el número de intentos fallidos). El atacante nunca obuvo una ventaja de más del 0,2%. Los investigadores afirman que esto sugiere que los beneficios para la gente que intente acceder a sus cuentas deberían compensar de sobra las posibles desventajas de aceptar errores tipográficos.

Juels concluye: "En algunos casos prácticamente no observamos ninguna degradación de la seguridad. Esperamos que este trabajo cambie las prácticas de esta industria".