Draw a Secret ( DAS ) es un esquema gráfico de ingreso de contraseñas desarrollado por Ian Jermyn, Alain Mayer, Fabian Monrose, Michael K. Reiter y Aviel D. Rubin y presentado en un artículo en el 8º Simposio de Seguridad USENIX en agosto de 1999. [1]
El sistema reemplaza las cadenas de contraseñas alfanuméricas por una imagen dibujada en una cuadrícula. En lugar de ingresar una contraseña alfanumérica, este método de autenticación permite a los usuarios usar un conjunto de gestos dibujados en una cuadrícula para autenticarse. El dibujo del usuario se asigna a una cuadrícula en la que se registra en una secuencia el orden de los pares de coordenadas utilizados para dibujar la contraseña. Se insertan nuevas coordenadas en la secuencia de "contraseñas" registrada cuando el usuario finaliza un trazo (el movimiento de presionar la pantalla o el mouse para comenzar a dibujar seguido de retirar el lápiz o el mouse para crear una línea o forma) y comienza otro en la cuadrícula.
En DAS, una contraseña es un dibujo libre dibujado en una cuadrícula de tamaño N x N. Cada celda de la cuadrícula se denota por coordenadas discretas bidimensionales (x, y) ∈ [1, N] × [1, N]. Un dibujo completo, es decir, un secreto, se codifica como la secuencia ordenada de celdas que el usuario cruza mientras construye el secreto. [2]
El argumento predominante a favor de las contraseñas gráficas en lugar de las alfanuméricas es el uso del efecto de superioridad de la imagen , que describe el mejor rendimiento de la mente humana al recordar imágenes y objetos en lugar de cadenas de texto. Este efecto se utiliza a través de DAS, ya que los dibujos complejos son menos difíciles de memorizar para la mente humana que una larga cadena de caracteres alfanuméricos. Esto permite al usuario ingresar secuencias más sólidas y seguras a través de esquemas de ingreso de contraseñas gráficas que el ingreso de texto convencional con relativa facilidad.
Esta variación del sistema DAS original tiene como objetivo mejorar tanto la seguridad del sistema como la facilidad de verificación por parte del usuario. Se utiliza la misma cuadrícula que en el Draw a Secret original, pero simplemente se muestra una imagen de fondo sobre la cuadrícula. La imagen de fondo ayuda a reconstruir contraseñas difíciles de recordar. Esto se debe a que, al utilizar el sistema original, el usuario no solo debe recordar los trazos asociados con la contraseña, sino también las celdas de la cuadrícula por las que pasan los trazos. Esto puede presentar dificultades, ya que todas las celdas de la cuadrícula son iguales y no tienen unicidad. Con BDAS, el usuario puede elegir una imagen para colocar sobre la cuadrícula, que tiene características únicas para ayudar a colocar correctamente el dibujo.
Un estudio realizado en la Universidad de Newcastle mostró que con una imagen de fondo, los participantes en el estudio tendían a construir frases de contraseña más complejas (por ejemplo, con una mayor longitud o número de trazos) que otros que habían usado DAS, aunque la tasa de recuperación después de un período de una semana mostró un porcentaje casi idéntico de participantes que tenían la capacidad de recordar secuencias DAS sobre secuencias BDAS. [2]
R-DAS es una variación del sistema Draw a Secret original, en el que el usuario puede rotar la cuadrícula de dibujo entre trazos de la secuencia o después de que se haya ingresado toda la secuencia y se haya dibujado el "secreto". Después de realizar una rotación, cualquier rotación siguiente en la misma dirección, sin una rotación contraria en una dirección diferente entre ellas, se considera una rotación. [3]
A continuación se muestra un ejemplo de la fortaleza de la contraseña agregada: [3]
Si la contraseña original se ingresa de la siguiente manera (presentada como la secuencia de trazos a través de la cuadrícula):
(1,1)(2,1)(3,1)(4,1)(5,1)(6)(5,1)(5,2)(5,3)(5,4)(5 ,5)(6)(1,1)(1,2)(1,3)(1,4)(1,5)(6)(3,1)(3,2)(3,3)( 6)
Con R-DAS, se pueden insertar múltiples cambios de dirección para aumentar la seguridad:
(1,1)(2,1)(3,1)(4,1)(5,1)(6) (-90) (5,1)(5,2)(5,3)(5, 4)(5,5)(6) (+90) (-45) (1,1)(1,2)(1,3)(1,4)(1,5)(6) (+225) (3,1)(3,2)(3,3)(6) (+180)
La codificación de un secreto particular tiene una relación de uno a muchos con los posibles dibujos que puede representar. Esto implica que, de hecho, más de un dibujo puede aceptarse como una autenticación exitosa del usuario. [2] Esto es especialmente cierto con un pequeño número de celdas en la cuadrícula N x N.
Para resolver este problema, se pueden incluir más celdas en la cuadrícula. Este proceso hace que sea más difícil recorrer todas las celdas necesarias para completar la secuencia de contraseña. El costo de esta seguridad adicional es un aumento en la dificultad para que el usuario reproduzca la contraseña. Cuantas más celdas haya en la cuadrícula, más preciso deberá ser el usuario al ingresar la contraseña para recorrer todas las celdas requeridas en el orden correcto.
Mediante el uso de "puntos de acceso" o "puntos de interés" comunes en una cuadrícula o imagen de fondo, se puede iniciar un ataque de diccionario gráfico para adivinar las contraseñas de los usuarios. [4] Otros factores, como formas y objetos similares en la imagen de fondo, también forman vulnerabilidades de "orden de clic", ya que estas formas pueden agruparse y usarse en una secuencia. [5] Estos ataques son mucho más comunes en la variación de fondo de Draw a Secret, ya que utiliza una imagen que se puede usar para explotar las vulnerabilidades explicadas anteriormente. Un estudio de 2013 [6] también mostró que los usuarios tienen la tendencia a pasar por procesos de selección de contraseñas similares en diferentes imágenes de fondo.
Esta forma de ataque se inicia cuando un observador observa al usuario ingresar su contraseña. Este ataque está presente en la mayoría de los esquemas de entrada para autenticación, pero los esquemas DAS son especialmente vulnerables ya que los trazos del usuario se muestran en la pantalla para que todos los vean. Esto es diferente a la entrada de texto alfanumérico donde los caracteres ingresados no se muestran en la pantalla.
Se han diseñado tres técnicas para proteger los sistemas DAS y BDAS de ataques de espionaje: [7]
La implementación inicial de DAS fue en PDA ( Personal Digital Assistant ). Recientemente, con el lanzamiento de Windows 8 , Microsoft incluyó la opción de cambiar a una "contraseña con imagen". Esto es esencialmente una implementación de BDAS (ya que requiere la elección de una imagen en el fondo) pero solo se limita a una secuencia de tres gestos para establecer una contraseña, lo que reduce la seguridad real que proporciona BDAS sobre las contraseñas alfanuméricas convencionales. [8]
{{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda )