Articulo de referencia

PassWindow

Ejemplo de clave y desafío de PassWindow PassWindow es una técnica para generar contraseñas de un solo uso y facilitar la verificación de transacciones , que se utiliza como mét...

ventana de acceso
Ejemplo de clave y desafío de PassWindow

PassWindow es una técnica para generar contraseñas de un solo uso y facilitar la verificación de transacciones , que se utiliza como método de autenticación de segundo factor en línea.

El sistema funciona codificando dígitos en una matriz de segmentos similar a las matrices de siete segmentos utilizadas en pantallas digitales. La matriz se divide luego en dos patrones componentes que, al superponerse, revelan el conjunto. [ 1 ]

La mitad del patrón está impresa en una región transparente de una tarjeta de plástico, mientras que la otra se muestra en una pantalla electrónica, como un monitor de computadora . Estos se denominan , respectivamente, patrón clave y patrón de desafío . [ 1 ]

Cada patrón de clave es único, y el patrón de desafío solo puede decodificarse mediante su clave impresa correspondiente. [ 1 ]

Al variar el patrón de desafío que se muestra en la pantalla, se puede comunicar una serie de dígitos al titular de la tarjeta sin que estos se muestren visualmente en la pantalla.

PassWindow se implementa normalmente de forma que se muestra una secuencia animada y en bucle continuo de patrones de desafío, cada uno de los cuales codifica un solo dígito colocado en una ubicación aleatoria dentro de la matriz.

Una solución válida a este desafío consiste, por lo tanto, en un número específico de dígitos que aparecen consecutivamente.

Uso en la autenticación de dos factores

Al imprimir un patrón de clave PassWindow en un soporte transparente, como una sección transparente de una tarjeta de plástico, una tarjeta de identificación de plástico estándar (ID-1) puede utilizarse como token físico (algo que usted posee) que puede emplearse en un sistema de autenticación de dos factores .

Generación de contraseñas de un solo uso

Mediante el sistema PassWindow, un servidor de autenticación que conozca el secreto compartido (el patrón de clave del usuario) puede generar un patrón de desafío que contiene una cadena de dígitos y/o letras para un patrón de clave específico .

El usuario decodifica la secuencia de dígitos del patrón utilizando su clave PassWindow y la envía como respuesta al desafío del servidor. La respuesta correcta confirma que el cliente tiene acceso físico al token.

Estos dígitos se utilizan luego como contraseña de un solo uso . [ 1 ]

Autenticación mutua

La autenticación mutua o autenticación bidireccional (a veces denominada autenticación 2WAY) se refiere a la autenticación adecuada entre dos partes. En términos tecnológicos, implica que un cliente o usuario se autentique ante un servidor y que este, a su vez, se autentique ante el usuario, de forma que ambas partes tengan la certeza de la identidad de la otra. Al describir los procesos de autenticación en línea, la autenticación mutua suele denominarse autenticación de sitio web a usuario o autenticación de sitio a usuario.

Autenticación mutua pasiva con PassWindow

En el caso más simple, el cliente verifica que el servidor desde el que recibe el desafío es correcto al confirmar que la solución es inteligible al superponer su clave sobre el desafío. Un desafío ininteligible o corrupto alerta al usuario de que podría no estar conectado al servidor que pretende. [ 1 ]

Verificación de la transacción

Además, se puede codificar una cadena de dígitos conocida en el desafío al momento de su generación para proporcionar una autenticación adicional entre el servidor y el cliente, evitando así la repetición de desafíos almacenados. Conocido como código de verificación, algunos ejemplos incluyen números de cuenta de destino o totales de transacciones cuando se utiliza para proteger transacciones monetarias en línea. Este uso se conoce comúnmente como verificación de transacciones y constituye la base principal de la excepcional resistencia de PassWindow a los ataques de intermediario ( Man-in-the-middle , MITM) y de navegador ( Man-in-the-browser , MITB). [ 1 ]

Historia

Matt Walker, australiano, inventó el concepto original de PassWindow tras muchos años investigando diversos sistemas de autenticación de dos factores en línea. El elevado coste de muchos sistemas de tokens electrónicos, así como su incapacidad para protegerse contra una gama cada vez mayor de ataques complejos, obligaron a Matthew a replantearse por completo la forma en que se lleva a cabo la autenticación moderna.

Durante ese período, mientras el mundo de la seguridad buscaba soluciones cada vez más complejas y de alta tecnología, que evidentemente eran cada vez más vulnerables a ataques cada vez más complejos y de alta tecnología, Matthew decidió adoptar el enfoque opuesto y buscar una solución de autenticación que tuviera la simplicidad pura como principio fundamental.

En el proceso, descubrió un método completamente nuevo y seguro en seguridad en línea. [ 2 ]

Apariciones en los medios

  • PassWindow apareció por primera vez en los medios en mayo de 2009 como una "solución económica para la seguridad" debido a su capacidad para generar contraseñas de un solo uso de forma segura sin necesidad de desplegar dispositivos electrónicos en sus usuarios finales. [ 3 ]
  • El inventor de PassWindow, Matthew Walker, apareció en el programa de televisión australiano The New Inventors en junio de 2009. [ 4 ]
  • PassWindow ha aparecido varias veces en los medios de comunicación, [ 5 ] [ 6 ] además de ser objeto de un libro blanco escrito por la corporación VEST, de Francia. [ 1 ]
  • PassWindow ha sido seleccionada como finalista en los premios The Wall Street Journal 2010 Asian Innovation Awards. [ 7 ]
  • PassWindow ha aparecido en The Wall Street Journal como "Una nueva forma de burlar a los estafadores de Internet". [ 8 ]

Referencias

  1. 1 2 3 4 5 6 7 S. O'Neil y P. Lock (2009), "PassWindow: Una nueva solución para proporcionar autenticación de segundo factor" . Recuperado el 1 de mayo de 2010.
  2. Acerca de PassWindow
  3. K. Dearne, "Solución económica para la seguridad" , The Australian , 26 de mayo de 2009.
  4. Los Nuevos Inventores, Episodio 24, 2009. Presentador: James O'Loghlin . Los Nuevos Inventores , ABC1 , Brisbane, Australia, 15 de junio de 2009.
  5. Walker, Matthew. "Sistema de autenticación visual de bajo costo: PassWindow" . Entrevista con Desley Blanch. Innovations . ABC Radio Australia . 2 de octubre de 2009. Consultado el 2 de mayo de 2010.
  6. Kassner, Michael (31 de agosto de 2009). "PassWindow: Un proceso de autenticación de sitios web totalmente nuevo" . Tech Republic . Consultado el 2 de mayo de 2010.
  7. The Wall Street Journal , "Premios a la Innovación Asiática 2010" . Consultado el 30 de junio de 2010.
  8. The Wall Street Journal , "Una nueva forma de burlar a los estafadores de Internet" . Consultado el 14 de julio de 2010.
  • El sitio web oficial de PassWindow
  • Análisis en formato de informe técnico del método PassWindow, elaborado por Vest Corporation, Francia.
  • Evaluación de ataques hipotéticos contra el método de autenticación PassWindow realizada por M. Slyman, G. Nicolae, S. O'Neil y B. Van Der Merwe.