Dibujo de formas libres como vía para una autenticación segura
30 October, 2014
category: Seguridad en Internet, Seguridad lógica
La biometría de los gestos al dibujar formas libres puede ser una nueva clave para la autenticación
En la búsqueda de métodos de autenticación seguros y convenientes, es posible que el dibujo de garabatos (el llamado “doodle” en inglés) resulte ser algo más que una manera de matar el tiempo durante una aburrida reunión. Llámese garabato o formas libres, pero el hecho es que los investigadores, desarrolladores de software y usuarios están valorando positivamente el dibujo de una línea curva en lugar de tener que escribir un código de cuatro dígitos.
Investigadores de la Universidad Rutgers llegaron a la conclusión de que el trazo de una forma libre es más seguro que los códigos de acceso usuales, y que sorprendentemente resulta más fácil de recordar.
Jeff Maynard tiene alguna experiencia con esto. Como fundador y director ejecutivo de Biometric Signature ID, con sede en Texas, está en busca de opciones de autenticación que no sean fácilmente hackeadas o robadas durante los ataques informáticos. El es de la opinión que la biometría gestual es idónea para esto.
“Cuando un usuario accede a una computadora o dispositivo móvil, ve una pantalla con un área para dibujo y se le pide que trace una serie de números, letras o caracteres”, explica Maynard.
El software de BioSig capta los patrones de la forma de dibujar del usuario – incluyendo longitud, velocidad y dirección – y compara esa información con el perfil registrado y encriptado del usuario. Si coincide, el mismo puede iniciar sesión en el dispositivo o acceder a los servicios.
Algunos usuarios incluso dirán que es divertido. “Les recuerda el juego de la pizarrita mágica”, dice Maynard, quien descubrió por primera vez ese elemento de diversión cuando trabajaba con clientes del sector de la educación superior. Las encuestas de los estudiantes indicaron un nivel de satisfacción con el software del 98%, y un 45% manifestó encontrar el proceso como algo entretenido o misterioso.
Los estudiantes encontraban divertido iniciar sesión repetidamente. “Al instante te da feedback de si tienes éxito o no”, explica Maynard. “La gente veía esto en alguna medida como si fuera una apuesta en un juego”.
Los ensayos independientes mostraron que BioSig tenía un producto que funcionaba. Las pruebas de falsos positivos indicaron que el software es altamente preciso – tres veces más fuerte que las regulaciones para biometría establecidas por el Instituto Nacional de Estándares y Tecnología.
Maynard señala que la tecnología de los gestos de dibujo funciona mejor cuando las personas trazan algo que tiene significado para ellas. En lugar de un simple garabato, BioSig estimula a los usuarios a que tracen tres o cuatro caracteres. “Pueden ser formas, como por ejemplo caritas o flores, pero en la mayoría de los casos recomendamos números o letras porque uno siempre tiene más posibilidad de recordarlos”, dice Maynar. “Recuerde, los caracteres pueden escribirse con patrones únicos, diferentes”.
BioSig mantiene un seguimiento de cómo sus 2 millones de usuarios se comportan cuando acceden a sus activos digitales mediante múltiples dispositivos portátiles. La compañía recoge los comportamientos que ayudan a autentificar al usuario, explica Maynar. Puede accionarse una alerta si alguien repetidamente se demora mucho en iniciar sesión o lo hace desde una dirección IP no acostumbrada.
La vulnerabilidad se mantiene
¿Cómo BioSig sabe si la persona que inicia sesión en la autorizada? Esto es un desafío en que la compañía está trabajando, gracias en parte a una subvención concedida a través de la Estrategia Nacional para Identidades de Confianza en el Ciberespacio.
Los investigadores encuentran que los gestos brindan facilidad de uso y alta seguridad
Investigadores de la Universidad de Rutgers, el Instituto Max-Planck para Informática y la Universidad de Helsinki se propusieron determinar si las formas libres generadas por el usuario sobre una pantalla táctil podrían ser una alternativa para los métodos comúnmente usados para la autenticación en los dispositivos móviles. El equipo de investigadores llegó a la conclusión de que los gestos son fáciles de recordar y pueden ser más seguros que los códigos de acceso estándar.
“Funcionaron muy bien y son resistentes a los ataques – tales como los ataques espiando sobre el hombro (shoulder surfing) — antes los cuales otros métodos son vulnerables”, señala Janne Lindqvist, profesor asistente de ingeniería eléctrica y de computación de Rutgers, y uno de los dirigentes del proyecto de contraseña.
Aproximadamente la mitad de los 63 participantes en el estudio prefirieron crear gestos utilizando un dedo, mientras que la otra mitad utilizó varios dedos. De cualquier manera, solo tomó unos pocos intentos para que los usuarios pudieran generar en solo dos segundos el gesto escogido.
El estudio mostró que los usuarios tendían a crear patrones tipo firma, que al final resultaron muy seguros. En una simulación de ataque espiando sobre el hombro, los atacantes no pudieron repetir el gesto lo suficientemente bien para obtener el acceso.
A esto se suma que los usuarios no tuvieron dificultad para recordar el gesto varias semanas después.
Los investigadores experimentaron con una tableta y un teléfono inteligente Android. Lindqvist concibe este sistema para su empleo en diversas formas, incluyendo el acceso físico a los edificios.
BioSig recibió la subvención para explorar y combatir el robo de identidad en línea. El objetivo es que los usuarios remotos autentifiquen su identidad antes de obtener el acceso a un activo digital, como una cuenta bancaria o su información personal de salud.
“Cuando se hace algo desde una conexión remota, uno tiene que encontrar diferentes maneras para determinar que el individuo es realmente el usuario”, explica Maynard. “Por eso es que hemos creado la capacidad para la extracción de datos”.
Destaca el riesgo que asumen los proveedores de Internet que aceptan tarjetas de crédito. Sin ver físicamente la tarjeta, cabe la posibilidad de que el número de la misma esté en manos de un ladrón.
“Una de las formas para evitarlo es crear una tecnología que permita que un individuo desde cualquier ubicación remota pueda crear un perfil que lo tenga registrado un proveedor, por ejemplo Nordstrom”, explica Maynard. “Cada vez que me dirijo a Nordstrom tengo que autentificar mi identidad. Lo puedo hacer con mi mouse, mi dedo, desde cualquier dispositivo. Así, aunque algún delincuente pueda tener mi número de tarjeta de crédito, no pueden lograr el ingreso para utilizar esa tarjeta”.
“Si se puede encontrar una sola tecnología que permita el acceso – como un inicio único de sesión para entrar a múltiples aplicaciones – ese es el Santo Grial”, dice Maynard. “Hacia eso es que nos estamos encaminando con la biometría de gestos”.