Traductor

Nuevo tipo de contraseñas gráficas

A fin de reforzar la seguridad ante la eventualidad de que una contraseña sea capturada, como sucede en los casos en los que listas de contraseñas son robadas de sitios web, un equipo de expertos de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, Estados Unidos, ha desarrollado un nuevo sistema de contraseñas que incorpora manchas, con forma parecida a las de tinta, para proporcionar un medida extra de protección.

Este nuevo tipo de contraseña, llamado GOTCHA (por las siglas de la definición en inglés: Generating panOptic Turing tests tell Computers and Humans Apart), sería adecuado para proteger cuentas de usuario de alto valor, como las que permiten el acceso vía internet a una cuenta bancaria, o a registros médicos o a otra información vital.

La idea con los GOTCHAs, es rechazar en internet a programas robot que capturan contraseñas. Estos programas se apoyan en la fuerza bruta del cálculo, y, sin barreras que les impidan actuar, tarde o temprano logran apoderarse de las contraseñas.

Para crear un GOTCHA, el usuario elige una contraseña y un ordenador genera al azar varias manchas de diversos colores. El usuario describe las manchas con una frase para cada gráfico. Estos textos breves se almacenan en un orden aleatorio junto con la contraseña. Cuando el usuario regresa al sitio web y hace login con la contraseña, las manchas aparecen otra vez junto con la lista de frases descriptivas; el usuario entonces empareja cada frase con el gráfico correspondiente.

[Img #16877]
El sistema de contraseñas GOTCHA incorpora manchas generadas al azar y las descripciones del usuario asignadas a esas imágenes. En el caso de la imagen aquí mostrada, la descripción hecha por el usuario es "Un robot preparándose para saltar". (Imagen: Universidad Carnegie Mellon)

Estos son rompecabezas fáciles de resolver para un humano, pero muy difíciles para un ordenador, aún teniendo los trozos aleatorios usados para generar el rompecabezas.

Para romper la contraseña del usuario offline, el atacante debe simultáneamente adivinar la contraseña del usuario y la respuesta del rompecabezas correspondiente. Un ordenador no puede hacerlo solo. Y si éste debe interactuar constantemente con un humano para resolver el rompecabezas, ya no puede explotar a fondo su fuerza bruta de cálculo.

El equipo de Jeremiah Blocki, Manuel Blum y Anupam Datta ha invitado a científicos especializados en seguridad informática a que intenten aplicar técnicas de inteligencia artificial para atacar el sistema de contraseñas GOTCHA. Su desafío GOTCHA está online aquí:

http://www.cs.cmu.edu/~jblocki/GOTCHA-Challenge.html