Contraseña parcial

Un formulario de ingreso de contraseña parcial en una aplicación de banca móvil

Una contraseña parcial es un modo de autenticación de contraseñas destinado a hacer que el registro de pulsaciones de teclas y la vigilancia por encima del hombro sean menos efectivos. ^[1]

Al pedirle al usuario que ingrese solo algunos caracteres específicos de su contraseña ^[2] , en lugar de la contraseña completa, las contraseñas parciales ayudan a proteger al usuario del robo de contraseñas. Como solo se revela una parte de la contraseña a la vez, se vuelve más difícil obtenerla utilizando técnicas como el registro de pulsaciones de teclas o el espionaje por encima del hombro .

Un artículo de David Aspinall y Mike Just describe implementaciones parciales de contraseñas y ataques en un estudio detallado. ^[1]

Tras realizar pruebas con 110.000 simulaciones utilizando contraseñas de más de 8 caracteres, Junade Ali ha observado: ^[3]

• El 58% de las contraseñas se revelan en su totalidad después de 7 inicios de sesión, el 90% después de 12 y el 99% después de 19 inicios de sesión.
• Utilizando un conjunto de datos de 488.129 contraseñas vulneradas, el 58 % de los segmentos de contraseña de 3 caracteres analizados solo eran válidos para esa contraseña en la base de datos. Además, el 28 % solo se podía asociar con otra contraseña y el 8 % con otras dos contraseñas.

Verificación de contraseñas parciales

Se considera una buena práctica no almacenar contraseñas en texto plano . ^[4] En cambio, cuando se comprueba una contraseña completa, es común almacenar el resultado de pasar la contraseña a una función hash criptográfica . Como el usuario no proporciona la contraseña completa, no se puede verificar con un resumen almacenado de la contraseña completa. Algunos han sugerido almacenar el resumen de cada combinación de letras que se pueda solicitar, pero señalan que esto da como resultado la generación y el almacenamiento de una gran cantidad de resúmenes. ^{[5] [6]} Una mejor solución en términos de espacio de almacenamiento y seguridad es utilizar un esquema de intercambio de secretos . ^{[6] [7]}

Referencias

1. ""¡Dame las letras 2, 3 y 6!": Implementaciones y ataques parciales de contraseñas" (PDF) . Consultado el 14 de octubre de 2015 .
2. "¿Qué es la verificación parcial de contraseña?". The Co-operative Bank . Archivado desde el original el 28 de junio de 2011. Consultado el 3 de marzo de 2011 .
3. "Relleno de credenciales de nivel bancario: la inutilidad de la validación parcial de contraseñas". El blog de Cloudflare . 20 de diciembre de 2018.
4. Almacenamiento de contraseñas
5. "Contraseñas parciales y registradores de pulsaciones de teclas" . Consultado el 3 de marzo de 2011 .
6. "Contraseñas parciales bien hechas" . Consultado el 30 de diciembre de 2022 .
7. Actualización de contraseñas parciales