Crédito:CC0 Public Domain
Cada año, las empresas de seguridad informática comparten sus hallazgos sobre contraseñas y violaciones de datos. Una y otra vez, advierten a los usuarios de computadoras que utilicen contraseñas complejas y no utilicen las mismas contraseñas para diferentes cuentas. Y, todavía, las filtraciones de datos y otras fuentes muestran que demasiadas personas usan las mismas contraseñas simples repetidamente y que algunas de esas contraseñas son ridículamente simples, la palabra "contraseña" o el número "123456" en realidad no es una contraseña, dado incluso el software de piratería y descifrado menos sofisticado disponible para terceros maliciosos en estos días.
La inercia es un problema importante:es difícil conseguir usuarios, establecidos en sus caminos, para cambiar su edad, contraseñas fáciles de recordar a complejas, códigos difíciles de recordar. Es aún más difícil lograr que estos usuarios utilicen administradores de contraseñas o autenticación multifactor, lo que agregaría otra capa de seguridad a sus inicios de sesión.
Ahora, escribiendo en el International Journal of Information and Computer Security, Jaryn Shen y Qingkai Zeng del Laboratorio Estatal de Tecnología de Software Novedoso, y el Departamento de Ciencia y Tecnología de la Computación, en la Universidad de Nanjing, Porcelana, han propuesto un nuevo paradigma para la protección por contraseña. Su enfoque aborda los ataques en línea y fuera de línea a contraseñas sin aumentar el esfuerzo que requiere un usuario para elegir y memorizar sus contraseñas.
"Las contraseñas son la primera barrera de seguridad para los servicios web en línea. Siempre que los atacantes roben y descifren las contraseñas de los usuarios, obtienen y controlan la información personal de los usuarios. No es solo una invasión de la privacidad. También puede tener consecuencias más graves, como daños en los datos, pérdidas económicas y actividades delictivas, "escribe el equipo.
Su enfoque implica tener un sistema de inicio de sesión basado en dos servidores en lugar de uno. El usuario tiene un corto, contraseña memorable para acceder a su más larga, contraseñas "hash" generadas por computadora en otro servidor, la clave para "eliminar el hash" de esas contraseñas más largas se almacena en el segundo servidor, pero la contraseña real también se almacena en el dispositivo del usuario, por lo que la contraseña memorable actúa como un token para la autenticación de dos factores. El enfoque significa que los atacantes, incluso con las herramientas de piratería más sofisticadas, no pueden aplicar un diccionario fuera de línea y ataques de fuerza bruta de manera efectiva.