¿Los códigos de autorización en Star Trek serían seguros en la vida real?

1

Estoy viendo Deep Space 9 y he notado que usan códigos de autorización hablados cuando ordenan a otros barcos, computadoras, ... En el programa, se parece a "Authorization Some-Name 5 7 3 5 blue", luego la otra persona lo escribe en la computadora (y mira con miedo, dice "No sabía" y los archivos se van).

El uso de un solo código obviamente no es lo suficientemente bueno, ya que todos los que lo rodean pueden escucharlo, así que pensé que tal vez todos puedan tener una lista pre-generada de estas contraseñas tanto memorizadas como almacenadas en una computadora central y al verificar la última el código usado sería invalidado.

¿Sería este sistema viable en la vida real? ¿Qué tan fuerte sería?

Estoy pensando en implementar un esquema como este para mi servidor doméstico cuando accedo desde internet (aunque principalmente por el valor de pirateo), así que también estoy interesado en los detalles de la implementación, por ejemplo, cómo almacenar esto. tipo de contraseñas en la computadora (probablemente hash de todas ellas, ¿verdad?).

    
pregunta cube 28.08.2016 - 11:49
fuente

4 respuestas

2

No, no es seguro.

Otras personas pueden escuchar al usuario decir la contraseña. Esto los compromete fácilmente. Además, las contraseñas suelen ser demasiado triviales ( con excepciones ).

Una lista de contraseñas de un solo uso tampoco es una solución. Este sistema se utiliza realmente en el mundo real. Se llama una lista TAN . Pero no se espera que los usuarios los memoricen. Las personas tienen impresiones físicas de listas generadas aleatoriamente almacenadas en un lugar seguro que buscan si es necesario. Cuando esperas que los usuarios escriban sus propias listas de TAN y las memoricen, terminas con códigos de acceso demasiado triviales (Autorización Picard-Alpha-1 ... Picard-Alpha-2 ... Picard-Alpha-3 ... ah, éste funciona).

Es probable que las computadoras de la Flota Estelar también combinen las contraseñas con el reconocimiento de voz biométrico, por lo que no se aceptará la contraseña correcta pronunciada por la voz incorrecta (es posible que desee consultar en scifi stackexchange para confirmación o contra ejemplos. Solo sé lo suficiente acerca de Star Trek para que no se revoque mi tarjeta de empollón). Pero como la mayoría de las tecnologías biométricas, esto puede ser fácilmente evitado. En este caso, a través de un software de síntesis de voz igualmente avanzado.

Es mucho más probable que los códigos de autorización de la Flota Estelar no sean tanto un mecanismo de autenticación como una característica de usabilidad. Incluso el software de reconocimiento de voz más avanzado puede obtener falsos positivos de vez en cuando, por lo que las acciones más críticas requieren un código de acceso para evitar la ejecución accidental. También obliga al usuario a pensar dos veces antes de dar una orden de la que podrían arrepentirse más tarde. "Computadora: ¡Activa la secuencia de autodestrucción!" se dice con bastante facilidad, pero cuando el usuario también necesita recordar su código de autorización, tiene más tiempo para considerar si realmente quiere hacerlo. Tipo de la flota estelar equivalente a sudo .

    
respondido por el Philipp 28.08.2016 - 12:10
fuente
2

Puede configurar el Autenticador de Google y usar la aplicación de Google para permitir el acceso. Esto es lo más cercano a tu idea OTP sin construir nada por ti mismo. Si quieres algo más sofisticado, deberías mirar los pequeños tokens RSA, del tipo que se usa para SecureID.

    
respondido por el Yorick de Wid 28.08.2016 - 12:04
fuente
1

No he visto la (s) película (s) de la que están hablando, pero, especialmente en un contexto de ciencia ficción, podría haber más en el fondo para autenticar a las personas de lo que cree.

La autenticación implícita se ha propuesto en la última década o así como un método para superar algunos límites de usabilidad de los sistemas de autenticación y proporcionar factores de autenticación adicionales sin costo para el usuario. Puede incluir voz, pronunciación y entonación. Pero también puede imaginar la presencia de CCTV HD con sensores de reconocimiento facial, peso y movimiento que verifican si el cuerpo del actor es consistente con las interacciones pasadas (altura, forma de caminar, lenguaje corporal habitual), etc. Otros métodos pueden incluir RFID. tokens usados por individuos, la proximidad y ubicación de los cuales autentican sus cuerpos.

En última instancia, un código corto sobre un canal de audio (posiblemente con observadores adversarios) no es seguro en absoluto, pero la configuración en la que se produce proporciona factores adicionales que pueden hacer que los ataques sean algo más fáciles de detectar.

Como todos estos métodos vienen con cierto grado de falla, uno necesitará un esquema de autenticación de múltiples factores explícito más sólido para cuando el usuario legítimo no pueda ser reconocido. Por supuesto, sacar un poco de tarjeta magnética de su bolsillo, hacer una exploración del iris y escribir una contraseña de 14 caracteres no es muy sexy en la TV (y no es muy rápido en la vida real), por lo que no se mostrará en la pantalla cinco. veces por episodio de su serie / película.

    
respondido por el Steve DL 28.08.2016 - 12:41
fuente
1

Depende de para qué es la autenticación.

En algunos lugares, los agentes del orden público tienen códigos de identificación para que cuando llamen a una línea de emergencia (como el 911) no tengan que revisar todo el guión de evaluación de la situación.

En el peor de los casos, alguien escucha el código y puede usarlo para informar una emergencia o hacer una broma.

También puede funcionar en una situación donde realmente no hay autenticación. Cuando llamo a nuestro ISP al trabajo, digo "Soy de TI en el cliente NNN" y me conectan con su soporte técnico "avanzado". Dependiendo de la situación, es posible que luego tomen medidas para verificar mi reclamo, pero no para parchearme.

  

En el programa se ve como "Autorización Some-Name 5 7 3 5 blue", luego   la otra persona lo escribe en la computadora (y mira con miedo,   dice "No lo sabía" y los archivos de distancia).

Esto suena exactamente correcto. "A" afirma ser Some-Name, pero como hay muchas personas en este universo, no hacen búsquedas de nombres, de ahí el número.

"B" consulta el número en la base de datos y aparece un perfil. Hay una imagen que coincide con la persona que está frente a él, el nombre también coincide, y también dice que Some-Name lo supera por un margen considerable. De ahí el miedo.

Por supuesto, este esquema no funcionaría para la secuencia de lanzamiento de misiles, pero es lo suficientemente bueno en muchas situaciones.

    
respondido por el GnP 28.08.2016 - 16:55
fuente

Lea otras preguntas en las etiquetas