Un equipo de expertos de IBM investigó las posibles vulnerabilidades de seguridad de los servidores que almacenan los “hash” vinculados a las contraseñas y desarrolló nuevas técnicas criptográficas para evitar esta exposición a la privacidad, ante los “guardianes” que se encargan del resguardo de “passwords” cuando los usuarios navegan por internet.
Cada vez que se escribe una contraseña en un sitio web, ésta se revela a un «guardián». Las contraseñas de los usuarios no se almacenan en texto sin cifrar en los servidores de las empresas, lo que proporciona cierto grado de protección de la privacidad; sin embargo se crea un «hash» con la ayuda de una función matemática.
“Este ‘hash’, una especie de versión codificada de la contraseña, se almacena junto con el nombre del usuario en una base de datos. Pero cuando los atacantes entran en esa base de datos de contraseña, a menudo pueden averiguar la contraseña de texto sin cifrar a partir del hash”, destacó IBM.
Es decir, llevándolo a una escena del día a día, es como si la persona al llegar a su casa, en lugar de sólo poner la llave en la cerradura para abrir la puerta tuviera que recurrir a un “guardián” -a quien se entregó previamente- para que éste la verifique y así pueda pasar.
Julia Hesse, Research scientist, Cryptography & Privacy, de IBM Research Europe-Zurich, explicó que la investigación sobre las vulnerabilidades de los servidores que almacenan los hash, que llevó al desarrollo de técnicas criptográficas novedosas y permiten la verificación de identidad sin la necesidad de revelar la contraseña al “guardián”, aumentando la privacidad de todos los usuarios de Internet.
“En un protocolo más avanzado, la verificación se distribuye entre dos o más guardianes, ninguno de los cuales puede robar la identidad de un usuario por sí solo. Este trabajo también se está ampliando para proteger no solo las contraseñas digitales, sino también la biometría como las huellas dactilares, que a veces se proporcionan como identificación”.
Como uno de los beneficios de este trabajo, se considera probable que este protocolo aumentado y mejorado incremente la confianza de los usuarios en servicios como el comercio electrónico o la autenticación de dispositivos móviles.
“El equipo de IBM eliminó ese único guardián y creó un protocolo SSO distribuido que usa al menos dos proveedores de redes sociales para la autenticación. Con este nuevo método, los usuarios nunca necesitan entregar su contraseña a un guardián”.
En cambio, agregó, ellos mismos calculan codificaciones de contraseñas, usando un protocolo OPRF (Oblivious Pseudo-Random Functions), con ayuda de proveedores de redes sociales, que nunca aprenden la contraseña en el proceso; luego, las codificaciones se fragmentan en piezas ininteligibles y cada una se almacena en el servidor de un proveedor.
“Dado que ninguno de los proveedores de servicios tiene la codificación completa, ya no pueden averiguar la contraseña y, por lo tanto, no es posible hacerse pasar por el usuario. Y tampoco los atacantes que ingresan a la base de datos”.
Entonces, con un protocolo que use al menos dos proveedores de redes sociales para la autenticación, la verificación se distribuye entre dos o más guardianes, ninguno de los cuales puede robar la identidad de un usuario por sí solo.
C$T-GM