Las apps de autenticación para móviles son una buena manera de mejorar la seguridad de las contraseñas. Si no fuera porque ralentizan el proceso al tener que teclear esos malditos códigos numéricos. ¿Seguro que en 2018 no existe una forma mejor?
Dos investigadores de la Universidad de Birmingham Alabama creen que han encontrado la respuesta, pero se necesita unos buenos altavoces, un teléfono y un smartwatch.
Listening Watch, un proyecto basado en un trabajo anterior de los investigadores Prakash Shrestha y Nitesh Saxena, utiliza el poder del sonido para autenticarte en tus webs favoritas. Puedes encontrar una descripción del concepto en este enlace.
Cuando te identificas en una web, la autenticación de dos factores (2FA) ofrece un nivel extra de protección sobre las contraseñas porque comprueba otro factor que el usuario conoce antes permitir el acceso. En algunos casos el factor es hardware. En otros, es un dispositivo de uso común como un teléfono.
Los ciberdelincuentes siempre están buscando maneras de saltarse la 2FA. Por ejemplo RSA, tuvo que reemplazar la mayoría de sus tokens SecurID en 2011 después de que alguien robara los códigos que inicializaban cada uno. NIST desaprobó los SMS como mecanismo 2FA en junio del año pasado, al comprobar que intrusos estaban robando números de teléfono y utilizándolos como falsa autenticación.
La 2FA también es latosa, supone un paso extra para identificarse en cualquier sitio, lo que molesta a los usuarios. En 2016, un estudio mostró que el 28% de los usuarios no utiliza el 2FA, y 6 de cada 10 que lo hacen es porque están obligados.
¿Una manera más sencilla?
Si utilizas el método de Listening Watch, un usuario tratando de identificarse en una web tiene que introducir su nombre de usuario y contraseña como siempre. Entonces la web comienza a mantener dos conversaciones separadas, una con el navegador y otra con el smartphone del usuario, que está enlazado con el smartwatch o monitor de actividad de su muñeca.
La web envía al navegador una señal de audio generada automáticamente recitando un código. Al mismo tiempo envía un mensaje al teléfono del usuario para que el dispositivo de su muñeca grave todo lo que oye.
El navegador reproduce el código y lo graba enviándolo de vuelta a la web. Al mismo tiempo el smartwatch también está grabando y lo envía al teléfono. Si el usuario está usando el smartwatch entonces tanto el navegador como el smartwatch deberían haber grabado lo mismo.
Tras recibir el audio de la web y del smartwatch el teléfono utiliza el reconocimiento de voz para extraer el mensaje de cada audio. Si los códigos coinciden, también compara las dos señales de audio para determinar si son similares. Si lo son, entonces el usuario está cerca del navegador y el teléfono dice a la web que acepte su petición de conexión en el caso de no ser rechazada.
El estudio es una reforma completa de un proyecto anterior de los mismos investigadores llamado Sound-Proof. Este usaba un concepto parecido, pero en vez de basarse en códigos utilizaba el sonido ambiente. Sin embargo, un atacante podría predecir y replicar esos sonidos, lo que constituye una vulnerabilidad. Un atacante cercano al usuario podría simplemente grabar el sonido ambiente para atacar el sistema.
El sistema de códigos de Listening Watch hace que el audio sea totalmente impredecible, dicen los investigadores. El uso de dispositivos wearables, que normalmente tienen una resolución baja relativa, con un micrófono de alcance limitado, lo que imposibilita que alguien grabe el audio sin que pase inadvertido. Sin embargo existe el peligro de que mejore la calidad de los micrófonos de los smartwatch lo que podría suponer una amenaza de un ataque local.
Este puede ser un mecanismo sencillo para la 2FA. Es una idea interesante, pero por ahora los usuarios más preocupados por su seguridad posiblemente continuarán utilizando sus fastidiosos generadores de códigos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario