La API Trust de Google ya se ha probado en "varias instituciones financieras muy grandes" en junio. Aparentemente utiliza una combinación de múltiples indicadores más débiles, como los indicadores biométricos, así como algunos menos obvios: como la marcha, el estilo de escritura o la técnica de nado con pantalla. Luego, estos formarán parte de una decisión final para verificar que usted es quien dice ser. ¿Son tales medidas realmente necesarias?
Estas medidas reducirán en gran medida los impactos y / o los intentos de eludirlos. El problema con las contraseñas es que, sin importar cuánto intente educar a alguien, rara vez funciona. Las personas prefieren la comodidad sobre la seguridad, como indicativo al crear una contraseña: "P @ ssw0rd1" para cumplir con los requisitos de complejidad. Mientras haya contraseñas, la gente seguirá creando contraseñas que sean débiles, y los atacantes continuarán rompiéndolas. Además, a medida que aumenta el poder de la informática, disminuye el precio de la creación de una máquina potente para romper contraseñas.
Psicológicamente, queremos cosas ahora mismo. En el momento en que escribimos algo "El ancho de banda es demasiado lento. Esta página tardó 3 segundos en cargarse, por lo general toma 300 ms" Hemos sido preparados lentamente para recibir una gratificación instantánea y, o, para realizar tareas con la velocidad del rayo. "Tengo que iniciar sesión para cargar este informe antes de la fecha límite X." Nadie quiere pasar el tiempo adicional escribiendo algo abiertamente largo y complicado. Obligándolos a recordar: "4% 6DMoeTr, $ ^" no funcionará, ya que el usuario lo escribirá. Forzar contraseñas complejas lleva a la conformidad: "Finethisismypa $$ word1" que no ha funcionado.
Por Google y otros que usan otras variables, la superficie de ataque se vuelve más difícil de abordar desde una perspectiva de ataque. Un atacante tendría que conocer el conjunto adecuado de variables para engañar a los sistemas para que se autentiquen. El problema que puedo ver en la biometría (aprendizaje automático) al tratar con la escritura se producirá a través de lo siguiente: "¿Qué sucede si me rompo el brazo y escribo con una sola mano", "qué sucede si escribo mi contraseña con una sola mano porque Estoy en el teléfono o comiendo un sándwich ". Swipes, lo mismo se aplica. ¿Qué sucede si vuelvo de un bar y, después de unas copas, me quito el teléfono? ¿No puedo hacer una transferencia bancaria?
Todavía hay mucho camino por recorrer, incluido el hecho de que Google tenga que tener en cuenta / almacenar aún más datos sobre personas, lo que conlleva aún más posibles abusos a la privacidad. "Sabemos que él / ella es zurdo, es probable que esté borracho debido a los falsos positivos todos los viernes por la noche, ¡y es un acelerador horrible!" (intencionalmente mal escrito). Cualquier empresa que busque eliminar contraseñas está en el camino correcto, pero también en el camino de tener demasiada información sobre un individuo. ¿Es necesario? Sí lo es. La ciberdelincuencia es miles de millones de dólares en dinero perdido, a veces en sueños rotos (la cuenta de alguien desaparece). Todo lo que pueda abordar esto está en el camino correcto
Lea otras preguntas en las etiquetas passwords password-management password-cracking