¿Sabías que el momento en que un usuario escribe una contraseña en un sitio web, la misma se revela en un «guardián» para su verificación? Investigadores de IBM desarrollaron técnicas criptográficas para ayudar a evitar esta exposición a la privacidad, eludiendo a aquel guardián y aumentando la privacidad de todos los usuarios de Internet.
Una de las soluciones que ofrecen los investigadores consiste en permitir la verificación de identidad sin la necesidad de revelar la contraseña al guardián.
«En un protocolo más avanzado, la verificación se distribuye entre dos o más guardianes, ninguno de los cuales puede robar la identidad de un usuario por sí solo. Este trabajo también se está ampliando para proteger no solo las contraseñas digitales, sino también la biometría, como las huellas dactilares, que a veces se proporcionan como identificación. Es probable que estos protocolos avanzados aumenten la confianza de los usuarios en servicios como el comercio electrónico o la autenticación de dispositivos móviles», publicó ITware Latam, medio especializado en Tecnología de la Información.
Un dato interesante a tener en cuenta, es que a pesar de que la contraseña viaje de forma segura al servidor, todavía existe la posibilidad de que pueda ser robada en su destino.
«Las contraseñas de los usuarios no se almacenan en texto sin cifrar en los servidores de las empresas, proporcionando un cierto grado de protección de la privacidad. En cambio, se crea un «hash» con la ayuda de una función matemática. Este hash, una especie de versión codificada de la contraseña, se almacena junto con el nombre de usuario en una base de datos. Pero cuando los atacantes entran en esa base de datos de contraseña, a menudo pueden averiguar la contraseña de texto sin cifrar a partir del hash», detalló ITware Latam.
Los investigadores de IBM están tratando de cambiar la posibilidad de que los atacantes puedan conseguir esa contraseña sin cifrar a través del hash. Desarrollaron técnicas matemáticas que permiten una forma más segura de verificar que una contraseña coincida con su codificación en la base de datos, sin revelar la contraseña al proveedor de servicios de Internet.
El equipo publicó una investigación sobre el protocolo basado en la autenticación de inicio de sesión único (SSO), eliminando la necesidad de crear una contraseña adicional para cada nuevo servicio web, de esta manera eliminaron ese único guardián y crearon un protocolo SSO distribuido, utilizando al menos dos proveedores de redes sociales para la autenticación.
Ventajas de utilizar este nuevo protocolo SSO distribuido
-Con este nuevo método, los usuarios nunca necesitan entregar su contraseña a un guardián.
-Como los proveedores de servicios no tienen la codificación completa, no pueden averiguar la contraseña ni pueden hacerse pasar por el usuario.
-Los atacantes no pueden ingresar a la base de datos.