miércoles, 29 de septiembre de 2010

Autenticación basada en la búsqueda del tesoro

Leo vía  el Twitter de Microsiervos una noticia que me ha llamado la atención por original e ingeniosa.
Ya hace algunos años, en el 2007 comenté cómo se estaban planteando sistemas  basados en usar imágenes como métodos de autenticación. La idea era que el usuario tuviera que clickar en ciertas partes que sólo él sabría como método de verificar la identidad.

El sistema que ahora sale a escena es similar pero más sencillo y posiblemente intuitivo para el usuario final. La idea que se esta investigando es probar la identidad del usuario mediante la localización de puntos secretos en un mapa. El usuario debe mover, girar y localizar puntos concretos para ser identificado. Este sistema podría no ser vulnerable a las capturas de teclado y a las capturas de la posición del ratón. La noticia original puede leerse con mas detalle en este enlace.



Las contraseñas serian en este caso las coordenadas de los puntos elegidos y este sistema puede ser mas fácilmente recordable por el usuario final. Seria como pedir al usuario que esconda un tesoro. El reto-respuesta que el usuario debe recordar serian los puntos secretos del mapa en cuestión donde escondió el tesoro (algo que sólo el sabe y que solo el podría encontrar). Aun no siendo un método de doble factor, al menos podría ser más robusto en cuanto a longitud de la clave que los sistemas actuales.  Tal como se comenta en La Información.com,  "los investigadores calculan que con unos diez dígitos que representen la latitud y otros diez para la longitud el sistema tendría una fortaleza de unos 20 dígitos, mucho más que los cuatro convencionales que se usan en las tarjetas de crédito o los 6-8 que suelen ser habituales en las contraseñas de Internet".

3 comentarios:

Audea Seguridad dijo...

Me parece muy interesante el tema tratado en esta entrada.

La verdad es que nunca se me habría ocurrido un sistema de autenticación similar, y por lo que parece, supone un nuevo reto para los atacantes, y los mecanismos de fuerza bruta.

Espero que pronto se vean avances significativos con la implantación de estos mecanismos. Saludos.

Jose Capilla dijo...

Muy buena idea, desde luego. Supongo que en cada control de entrada cambiará la disposición del mapa o algo así, para hacerlo inmune a capturas del ratón.

gorritsu dijo...

Articulo muy interesante. La verdad que no me imaginaba llegar hasta este punto.

El único "pero" que le veo es ... que podría seguir siendo vulnerable a las capturas de pantalla ??

Haces referencia a las capturas de teclado y posición del ratón pero todos sabemos que hay más ...

Tambien es cierto que este metodo no sería el único para llevar realizar la autenticación completa. Agur

 
;