Investigadores de la Universidad de Stanford revelarán la siguiente semana un sistema de seguridad que puede derrotar los ataques más agresivos para garantizar que los usuarios no puedan ser obligados a revelar sus contraseñas, incluso por la fuerza bruta, pues sencillamente ellos no las conocen, son contraseñas subliminales.
El equipo detrás de las contraseñas subliminales quería saber si podían utilizar el aprendizaje implícito, cuando alguien aprende patrones, sin darse cuenta conscientemente de esto, para anular la amenaza de los usuarios de verse obligados a revelar una contraseña.
Para crear la contraseña subliminal, el equipo creó un juego de entrenamiento para computadora, que imitaba las características del popular video juego Guitar Hero, haciendo que los usuarios dediquen tiempo a las instrucciones en pantalla.
El equipo creó un sitio web de este juego de entrenamiento y enseñó a los sujetos cómo utilizarlo, los prospectos fueron reclutados de Mechanical Turk de Amazon.
En el juego de entrenamiento, se representarton círculos cayendo en una de las seis columnas; los jugadores anotaban puntos si pulsaban las teclas correspondientes a las posiciones de las columnas en la pantalla justo antes de que el círculo golpeara el piso de la columna.
Cada columna tenía tres posibles posiciones donde los círculos podían caer, junto con una columna vacía, que servía de ayuda a los usuarios para asignar los círculos de las columnas de manera más eficaz cuando el juego se reproducía rápidamente.
La contraseña subliminal está creada a partir de una secuencia de 30 caracteres que utilizan ese juego de teclas, pero a los usuarios nunca se les dice qué secuencia es.
En su lugar, se presentan con una serie de sesiones de entrenamiento que incluyen esa secuencia de 30 caracteres, junto con algunas secuencias al azar.
Los jugadores gastan alrededor de 35 a 40 minutos repitiendo esta sesión de entrenamiento.
Para autenticar el usuario, el equipo probó a los sujetos nuevamente con el juego. Pero esta vez, el tema se presenta con algunos círculos que se encuentran en los patrones que veían en el programa de capacitación y otros que no lo hicieron.
El equipo mostró que los usuarios siempre obtuvieron mejores resultados en las secuencias que habían sido entrenadas para aprender implícitamente las secuencias aleatorias. Los usuarios que nunca se habían sometido a las sesiones de entrenamiento no mostraron tales distinciones.
El equipo, que se compone de Hristo Bojinov y Dan Boneh de Stanford, junto con sus colegas Daniel Sanchez y Paul Reber de la Uniersidad de Northwestern y Patrick Lincoln de SRI, presentarán sus trabajos en el Usenix Security Symposium en Bellevue, Washington, la semana próxima.
Asimismo, reconocen que el sistema es sólo un modelo de prueba de concepto en la actualidad. "Esperamos seguir analizando la velocidad a la que las contraseñas aprendidas implícitamente se olvidan, y la frecuencia requerida de las sesiones de reforzamiento", mencionaron en su trabajo de investigación.
Sin embargo, los investigadores de Mechanical Turk proporcionaron una "base de confianza de que es posible" construir un sistema de contraseñas a través del aprendizaje subliminal implícito, agregaron. Una forma muy pura para derrotar ataques de fuerza bruta.
Fuente: v3.co.uk
0 comentarios:
Publicar un comentario