Mi banco emplea un paso en su proceso de autenticación además de [la propia tarjeta y] la contraseña normal, donde el usuario tiene una contraseña secundaria (3 pequeñas secuencias de letras, como Hy X Ba ) que le dieron anteriormente (no elegida a voluntad). Al autenticarse, se le presentan 8 opciones tales como:
1) Vi - A - Ha - Re - K - Po Me - Ni - C - Da - X - Xo (5
2) F - V - Ce - Xi - Go - Ka Je - Va - Ko - Z - Qi - M (6
3) Sa - N - Bo - Pe - J - Wi Mi - Vo - Hy - Ta - Q - G (7
4) Lo - Ti - Y - Xa - Ne - D L - Mo - Ba - B - Zi - Le (8
Y debe elegir el grupo que contiene la primera secuencia (en este caso, el grupo 7 contiene Hy ). Luego aparece un nuevo grupo de grupos para que encuentre la segunda secuencia y otro para la tercera secuencia. La próxima vez que el usuario intente autenticarse, el proceso se repite, pero con diferentes grupos cada vez. Esto suele ocurrir en los cajeros automáticos.
Estoy intrigado por esta técnica y quiero aprender más, pero ni siquiera sé por dónde empezar. ¿Alguien ha visto algo como esto antes, tiene un nombre que pueda buscar? O si alguien lo sabe bien, ¿podría comentarlo?
No sé cómo funciona precisamente, pero mis primeras impresiones al respecto (que podrían ser totalmente incorrectas) son:
- Cada vez que el usuario elige un grupo, comprueba que conoce la contraseña, pero no la revela. Si alguien se asoma mientras se autentica, el atacante solo puede restringirla a los símbolos del grupo elegido (el ejemplo creado anteriormente tiene 6 símbolos en cada grupo, pero en la práctica hay más, no puedo recordar exactamente cuántos).
- Para aprender correctamente el símbolo, un atacante debería observar varios intentos de autenticación. Cuántos exactamente, dependería de cómo se formen los grupos cada vez, de si dependen o no de los intentos anteriores, etc.
(Esto es solo una conjetura, ni siquiera estoy seguro de que el propósito de esta técnica sea lo que creo que es ...)