Estoy trabajando en una nueva aplicación de software que tendrá acceso a millones de registros médicos de pacientes. Quiero que esto sea seguro.
El proceso de pensamiento inicial fue simplemente usar un esquema de contraseña y nombre de usuario estándar. El problema que veo con esto es que todos nuestros usuarios simplemente usarán la misma combinación de nombre de usuario / contraseña que usan en todos los demás sitios. Esto parece ser un gran riesgo para la seguridad.
Esto me llevó a empezar a pensar en alternativas al nombre de usuario / contraseña que cumplan los siguientes criterios:
- Rápido de entrar
- Muy seguro
- Fácil de recordar
- Es poco probable que se navegue por los hombros.
- No requiere ningún hardware adicional (biométrica, tarjetas, etc.)
- Es relativamente fácil de implementar
En lo que estoy trabajando actualmente es esto:
El usuario debe ingresar un pin de 4 dígitos, seguido de un patrón preseleccionado de 4 iconos.
Cada vez, se les presenta una cuadrícula de 36 iconos que se mezclan aleatoriamente cada vez que ven la cuadrícula. Los íconos son siempre los mismos, pero están en ubicaciones diferentes.
El usuario debe elegir su serie de 4 iconos, en orden, de la cuadrícula.
Con un pin de 4 dígitos, es decir 10,000 combinaciones posibles. Agregados a una serie específica de 4 íconos de un conjunto de 36, damos como resultado:
10,000 * (36 * 35 * 34 * 33) = 14,137,200,000 resultados posibles.
¿Esto parece una solución razonable para asegurar una aplicación? ¿Cuáles son las fallas en este plan?