Los cambios realizados en el sistema propuestos en Autenticación de dos factores sin teléfono móvil :
- En el sistema anterior, la navegación por los hombros revelaría la imagen predeterminada del usuario. En el sistema actual, la imagen final no revela ninguna información útil. La imagen de inicio y la ruta de acceso del usuario no pueden retroceder desde la imagen final, ya que el usuario solo hace clic en la imagen final. El sistema actual no es vulnerable al surf de hombro.
- Aumentó el tamaño de la cuadrícula de 28 a 40. Se pueden mostrar 40 imágenes con el tamaño adecuado en la pantalla, sin hacer que la pantalla sea demasiado estrecha y facilita que el usuario encuentre su imagen de inicio.
- Se eliminó la vulnerabilidad de enumeración del usuario agregando una contraseña en el Paso 1.
- En el sistema anterior, el usuario tenía 3 oportunidades para escribir la contraseña correcta relacionada con su imagen. Ahora se ha reducido a solo un clic del mouse, lo que reduce las posibilidades de un pirata informático en una sola sesión.
He desarrollado un sistema de autenticación gráfica, que consiste en una autenticación de dos pasos. El primer paso es la identificación de usuario normal: autenticación de contraseña y el segundo paso es la autenticación gráfica. He tratado de mantener el equilibrio entre la seguridad y la experiencia del usuario. He aplicado una patente para este sistema. La autenticación de dos factores seguramente proporciona seguridad adicional, pero también tiene algunos problemas. Por lo tanto, traté de desarrollar un sistema de autenticación que brindara cierta seguridad adicional sin una pérdida considerable en la experiencia del usuario.
En resumen, para el segundo paso, el usuario debe recordar una imagen de inicio y una ruta. Cada vez que el usuario intente iniciar sesión, la imagen de inicio se colocará en una posición aleatoria válida, por lo que al aplicar la Ruta de acceso desde la imagen de inicio, el usuario podrá obtener una imagen de final diferente cada vez. El usuario solo tiene que hacer clic en la imagen final.
La descripción detallada es la siguiente:
Al registrarse, el usuario debe elegir un ID de usuario y una contraseña, necesarios para el primer paso de la autenticación.
Luegotienequeelegirsuimagendeinicio.
Luego, su imagen de inicio se mostrará en una cuadrícula, donde tendrá que elegir su ruta para obtener la imagen final.
Ahora, después de crear la cuenta, cuando el usuario intentará iniciar sesión, primero ingresará su nombre de usuario y contraseña.
Despuésdepasaresteprimerpaso,semostrarálapáginadelsegundopaso.
Elsegundopasoconsisteenunacuadrículade40imágenes;elnúmerodeimágenesnoesdemasiadopequeñoodemasiadogrande.Laimagendeiniciodelusuariosecolocaráenunaposiciónaleatoriaválidaenlacuadrícula,juntoconotras39imágenesqueseránlasmismasparaelusuarioencadasesióndeiniciodesesión,demodoqueelpiratainformáticonoconozcalaimagendeinicioobservandovariassesiones.Elusuariodebeencontrarsuimagendeinicioenlacuadrículayaplicarlarutadeaccesoparaobtenerlaimagenfinal.Elusuariosolotienequehacerclicenlaimagenfinal.Dependiendodelaposicióndelaimagendeinicio,laimagenfinalpuedeserdiferentecadavez.Estasegundapáginadepasossoloesválidadurante90segundosyseredirigealapáginaprincipalsielusuarionohaelegidoelfinal.imagen.
Elusuarioseautenticacorrectamentesieligelaimagenfinalcorrectaparalasesión.
Elsistemaseencargadequelaimagendeiniciosecoloqueenunaposición,demodoquedespuésdeaplicarlaruta,laposicióndelaimagenfinalestéenlacuadrícula.
Ahora,sielusuariocierralasesióneintentainiciarsesiónnuevamente,tendráquepasarelpaso1yluego,enelpaso2,lapáginapodríamostrarsecomo:
La cuadrícula se habría barajado.
Del mismo modo, para el siguiente intento de inicio de sesión, la página del paso 2 podría ser:
y así sucesivamente ...
Me gustaría tener algunos comentarios sobre la entropía del sistema. La única forma en que un hacker puede evitar esto, es adivinar aleatoriamente una imagen cada vez. ¿Hay alguna otra manera? ¿Es este sistema utilizable en tiempo real?