¿Cuáles son algunas ideas existentes en las que se puede reemplazar el uso de una contraseña para iniciar sesión en un servicio? [cerrado]

Navega tus respuestas
2

La contraseña ha sido un método de autenticación desde hace mucho tiempo y siempre escuchamos que ocurren infracciones en las que las contraseñas de los usuarios son robadas y, a veces, ni siquiera se las ha eliminado o están correctamente ocultas. Además, hay muchos otros problemas con las personas que utilizan la contraseña como reutilización, forzamiento demasiado simple o brutal, etc.

Entonces, mi pregunta es ¿cuáles son algunas ideas en las que podemos reemplazar el proceso de usar una contraseña para iniciar sesión en un servicio o aplicación? Sé que tenemos 2FA pero estoy interesado en ideas existentes o futuras para reemplazar completamente la contraseña para el usuario.

Un buen ejemplo de lo que estoy hablando acerca de cuál es una especie de alternativa es escribir DNA: enlace Pero todavía usa el idea de una contraseña para el usuario.

Creo que la idea es hacerlo tan simple y conveniente como la contraseña, pero más seguro y fácil de usar para el usuario como método de inicio de sesión.

    
pregunta joego101 30.08.2018 - 10:24
fuente

4 respuestas

1

Una opción sería la autenticación biométrica (por ejemplo, huella digital). Esta es una mala idea en muchos casos. Principalmente, no porque su dedo pueda estar dañado o alguien lo use de alguna manera insegura, sino porque si su secreto (huella digital) se conoce públicamente: le costará mucho cambiarlo.

Otra opción sería contraseñas temporales. Por ejemplo, ingresa su nombre de usuario y el servicio le envía un SMS que se le solicitará que ingrese. Es como segundo factor, pero como un primer factor. También puede ser mucho más elegante, por ejemplo. una aplicación en su dispositivo móvil le solicitará que toque un botón y esto simplemente autoriza su sesión en un cliente web en otra máquina.

Una opción diferente sería la autenticación por correo electrónico. En este caso, un servicio genera una dirección de correo electrónico única ([email protected]) a la que el usuario tiene que enviar un correo electrónico para utilizar una dirección especial o que contenga una cadena especial.

Básicamente, cada 2º factor podría usarse como primer factor. Al igual que un token de hardware que está enchufado o genera claves sin conexión para ti.

    
respondido por el Ben 30.08.2018 - 10:33
fuente
1

En realidad, hay varias formas en que se puede usar algo que no sea una contraseña. Todos caen bajo el paraguas de los métodos de autenticación.

Los principales son algo que eres, algo que tienes, algo que sabes, algo que haces, y en algún lugar donde te encuentras. Explicaré cada uno a continuación con más detalle.

Algo que eres

Aquí es donde la biometría entra en juego, por ejemplo. Escáner de huellas dactilares, lectores de iris, reconocimiento facial, etc. etc. Básicamente, cosas que hacer con tu cuerpo.

Algo que tienes

Algo que tienes incluye cosas como tarjetas inteligentes, yubikeys, rfid chips, básicamente cualquier cosa física que tengas o tengas en tu persona.

Algo que sabes

Este es el método tradicional de autenticación, por lo que las cosas como los números de pin, las contraseñas, etc. se incluyen aquí. Estas son respuestas a una pregunta.

Algo que haces

Este es probablemente el que menos se ve (al menos en mi experiencia). Esto es lo que haces físicamente, la forma en que escribes, la forma en que caminas, etc.

En algún lugar donde estés

Esto se basa en la ubicación / tiempo, y depende de que estés en una ubicación normal a una hora razonable para iniciar sesión, es decir. no en Asia e iniciando sesión a las 4.30, cuando vives en los EE. UU.

La autenticación 2FA o multifactor utiliza dos o más de estas categorías para aumentar la seguridad, por ejemplo. Una contraseña y un escaneo de iris. Una tarjeta inteligente y una contraseña, etc. etc.

Los Yubikeys se están volviendo más comunes hoy en día, y Google los ha implementado a todos sus empleados, aunque la mayoría de los métodos de autenticación se incluyen en una de estas cinco categorías que he enumerado anteriormente. La autenticación basada en el tiempo usando tokens también se está volviendo más común en estos días.

Si tiene alguna pregunta, deje un comentario e intentaré responder lo mejor que pueda.

    
respondido por el Connor J 30.08.2018 - 11:42
fuente
1

El estado de la técnica para la autenticación remota es el uso de un certificado de cliente. Incluso tiene un valor legal en algunos países (Francia y otros países europeos) porque es resistente a la fuerza bruta, y cuando se entrega un certificado con los procedimientos correctos, la clave privada siempre está bajo el control exclusivo de su destinatario. Además, un certificado puede ser revocado si está comprometido. Es bastante fácil para el uso normal, pero tiene dos inconvenientes principales:

  • la entrega correcta del certificado es bastante compleja (*)
  • si sufre de un problema de huevo y pollo: como pocos usuarios tienen certificados de cliente, pocos servicios ofrecen autenticación de certificados, y como pocos servicios ofrecen autenticación de certificados, pocos usuarios están listos para pagar por un certificado de cliente serio

(*) el cliente debe generar un par de claves y una solicitud de firma de certificado (que contenga solo la clave pública). Luego, la Autoridad debe firmar el CSR y devolverlo al cliente de manera que se garantice que solo se puede entregar al destinatario adecuado . La forma recomendada es un procedimiento cara a cara en el que el cliente muestra una tarjeta de identificación. Idealmente para una tarjeta inteligente, el cliente debe instalar el certificado firmado en la tarjeta donde se generó el par de claves, o para un teléfono inteligente o computadora personal, el par de claves debe generarse en el dispositivo, y nuevamente, solo el cliente debe instalar el certificado firmado No es tan fácil para muchos usuarios no tecnológicos ...

    
respondido por el Serge Ballesta 17.09.2018 - 16:25
fuente
0

Métodos y ejemplos de "Sin contraseña" (no uso una contraseña que debo recordar) que he experimentado personalmente:

  1. Medio: para iniciar sesión en Medio, puedes hacerlo con tu cuenta de redes sociales o iniciar sesión con un correo electrónico. Al elegir este último, le envían un correo electrónico con un enlace OTP disponible durante 15 minutos. Básicamente, no hay una opción de contraseña (solo si lo haces a través de las redes sociales, pero esa no es una contraseña para tu cuenta de Medium).
  2. Ebay: puede acceder a su cuenta con una contraseña temporal que Ebay genera y le envía a través de un código de texto SMS. Este método aún se basa en un segundo dispositivo para validar su identidad.

En cuanto a la opción TypingDNA que mencionó, la autenticación con biometría de escritura funciona en todos los tipos de textos (idénticos: contraseña, tarjeta de crédito, etc. y cualquier texto: texto dinámico en un chat, etc.). Podrías verificar todos los usuarios basándose en un texto corto como "Estoy usando mi escritura para iniciar sesión". O tal vez mostrar un texto diferente a cada persona. Sin embargo, no es recomendable ya que este es solo un factor.

Si no tiene que proteger algo sensible, entonces esta podría ser una opción por sí sola. Cuando autenticas a las personas escribiendo biometría a través de la API TypingDNA, obtienes una puntuación de coincidencia y puedes establecer un umbral para permitir que las personas se basen en tu nivel de seguridad preferido (también es posible equilibrar FAR / FRR para tu plataforma). Divulgación: Soy parte del proyecto TypingDNA

    
respondido por el CristianDNA 17.09.2018 - 15:20
fuente

Lea otras preguntas en las etiquetas

¿Existe un máximo para el número de certificaciones en una clave pública PGP? Ocultar el secreto de la base de datos en una aplicación Java fuera de línea sin credenciales de usuario