¿Ventajas con la autenticación del código PIN donde los dígitos se colocan en posiciones aleatorias?

Navega tus respuestas
1

Me di cuenta de que muchos sitios web de alto riesgo, como las plataformas bancarias y de pago, no usan contraseñas para la autenticación (como de costumbre), sino que usan un código PIN donde los números se colocan en posiciones aleatorias cada vez, como en este:

¿Cuál es el punto con este método de autenticación? ¿Alguna ventaja o desventaja en comparación con las contraseñas tradicionales?

Mis conjeturas son:

  • El ataque por keylogger no es posible.
  • Los ataques de fuerza bruta / tablas de arco iris / ingeniería social son más difíciles.
pregunta Mxsky 06.05.2016 - 13:26
fuente

2 respuestas

2

Este tipo de cosas tiene mucho más sentido en una pantalla táctil de algún tipo, o en una interfaz física. He visto fotos de almohadillas de PIN en puertas que se mezclan de forma similar al usar números iluminados debajo de cada tecla en lugar de letras pintadas o moldeadas físicamente. Sin embargo, no estoy en una posición en mi vida donde haya encontrado ese nivel de seguridad fuera de las imágenes.

De todos modos, en esos lugares, puede evitar que las huellas dactilares o las manchas de la pantalla den el código de acceso, ya que no hay forma de saber qué números estaban debajo de las huellas dactilares o las manchas cuando se presionaron las "teclas" definidas por el software. Sin embargo, es menos útil en una PC con un mouse, ya que el mundo de Internet se está "moviendo", y con las tabletas o dispositivos híbridos cada vez más populares, las posibilidades de que su sitio se cargue en una pantalla táctil son cada vez mejores.

    
respondido por el Ben 06.05.2016 - 16:46
fuente
5

Esto es, en gran medida, solo teatro de seguridad. Obliga a los usuarios a saltar a través de un par de aros en nombre de la seguridad y, por lo tanto, hacer que se sientan seguros ya que gastaron su esfuerzo en nombre de la seguridad.

Dicho esto, de hecho anula un simple registrador de teclas (ya que no se presiona ninguna tecla) o un registrador de clics del mouse (ya que conocer las coordenadas de un clic del mouse no le brindará ninguna información sobre en qué número se hizo clic). / p>

Sin embargo, no protege contra ataques más sofisticados. Si alguien ha logrado instalar un keylogger en tu computadora, es un juego efectivo. Ya no es tu computadora. Si alguien puede instalar un keylogger, también puede instalar un programa que se enganche en su navegador y registre todo lo que se ingresa en un campo de texto o contraseña, o todas las solicitudes HTTP y HTTPS salientes antes de que se cifren con TLS. Al igual que un keylogger, el malware como este no necesita ser dirigido contra un sitio específico para que funcione.

Además, vienen con una serie de desventajas de seguridad (aparte de la facilidad de uso):

  • Son más vulnerables a la "navegación por los hombros", ya que la pantalla es más difícil de ocultar que el teclado.
  • Como solo se permiten números en este caso, limita el número de contraseñas posibles y, por lo tanto, facilita los ataques de fuerza bruta. Hay alrededor de 2000 millones de contraseñas diferentes con seis caracteres alfanuméricos. Hay 10 millones de contraseñas diferentes con seis caracteres numéricos.

Un aspecto positivo, como mencionó el técnico en los comentarios, es que evita revelar marcas de manchas en los dispositivos táctiles.

    
respondido por el Anders 06.05.2016 - 13:59
fuente

Lea otras preguntas en las etiquetas

¿Se debe permitir que un sitio web utilice un servicio web de terceros directamente? ¿Debería cada servicio que se ejecuta en un dominio tener un certificado separado?