Un equipo de investigación ha creado un protocolo basado en imágenes, bautizado como GOTCHA, que podría sustituir a los CAPTCHA, esos trozos de texto distorsionados que impiden el acceso sin autorización a un ordenadorLa mayoría de usuarios de internet estarán familiarizados con el test Turing, completamente automatizado para distinguir humanos de ordenadores (más conocido como CAPTCHA, por sus siglas en inglés). Este test consiste en trozos de textos distorsionados que hay sólo un humano es capaz de identificar. Su objetivo es impedir que los robots accedan a los sitios web y dejen spam, por ejemplo.
Los CAPTCHA han tenido un éxito tremendo desde que el investigador de la Universidad Carnegie Mellon (EEUU) Luis von Ahn y sus colegas los introdujeran en el año 2000. Pero en el juego del gato y el ratón de la seguridad informática, resultaba inevitable que los malos invirtieran importantes recursos en intentar romper el sistema.
Eso es justo lo que ha pasado. Puesto que sólo puede haber un número limitado de textos distorsionados almacenados en un disco duro determinado, se puede emplear a personas, en condiciones de esclavitud, para resolverlos . Otra posibilidad es subir los CAPTCHA en otro sitio web para inocentes visitantes que los completan creyendo que están accediendo a un sitio legítimo cuando, en realidad, las respuestas se usan en tiempo real para entrar de forma ilegítima en otro sitio.
Así que los investigadores informáticos han estado pensando mucho en cómo mejorar este mecanismo para burlar de nuevo a los hackers. Ayer, el investigador de la Universidad Carnegie Mellon Jeremiah Blocki y sus compañeros afirmaron haber creado una forma de hacerlo basada en los dibujos con machas de tinta.
El nuevo método es directo y depende de que el usuario responda a una serie de preguntas cuando se registra por primera vez para acceder a una web. El método empieza por generar una serie de imágenes de manchas de tinta sencillas y coloca, de forma aleatoria, manchas de distintos colores en una pequeña zona de la pantalla.
Como parte del proceso de registro, al usuario se le pide que escriba una pequeña frase que describa cada una de estas imágenes.
Cuando los usuarios regresan para acceder al sitio con su contraseña, también se le muestran las imágenes de las manchas de tinta junto con las frases establecidas que las describen. Su tarea consiste en adjudicar la frase correcta a cada patrón.
Han bautizado su nuevo test como GOTCHA (siglas en inglés de: generación de tests Turing panópticos para distinguir a ordenadores de humanos).
Blocki y sus compañeros afirman que así se deberían poder impedir los ataques automatizados.El investigador detalla: "Nuestra tesis es que el adversario que desee montar un ataque eficaz fuera de línea necesita obtener feedback constante de un humano".
Eso es porque solo un humano es capaz de reconocer las imágenes y su relación con las frases que se muestran de forma consistente. O, al menos, esa es su hipótesis.
Es una idea interesante. La capacidad humana de reconocer imágenes está muy por encima de cualquier cosa que puedan hacer los ordenadores, y la idea de emparejarla con la interpretación que ha hecho el usuario de las imágenes creadas al azar es ingeniosa. Hay muchas pruebas de que el reconocimiento de imágenes es más fácil que recordar contraseñas.
La duda estriba en cómo de bien conseguirá la gente recordar su interpretación original de una mancha de tinta. Es posible que dependa, en gran medida, de su estado mental en ese momento dado, que a su vez se puede ver influido por todo tipo de variables locales y temporales.
Para probarlo, el equipo probó la idea a través de Mechanical Turk de Amazon. Invitaron a 70 trabajadores de la plataforma a ver una serie de imágenes hechas con manchas de tinta y a escribir frases que las identificaran. Diez días después le pidieron a los mismos trabajadores que volvieran a asociar sus frases con las imágenes.
Los resultados no son demasiado reconfortantes. Blocki explica: "Diecisiete de nuestros participantes emparejaron sus diez etiquetas correctamente, y un 69% de los participantes emparejaron al menos cinco de diez etiquetas correctamente", explican.
Los investigadores afirman que los datos indican que una parte significativa de la población podría usar los GOTCHA, y añaden, con cierta vergüenza: "También significa que el uso de nuestro GOTCHA tendría que ser voluntario, para que los usuarios que tienen dificultades no se queden sin acceso a sus cuentas".
Además, es posible que las pruebas llevadas a cabo con los trabajadores de Mechanical Turk no representen a la población general en el uso de los GOTCHA.
Y quizá también se podría aumentar la tasa de reconocimiento permitiendo a los usuarios rechazar las imágenes que les parecen confusas.
Esa parece una mejora evidente y necesaria si quieren que los GOTCHA se conviertan en una característica común de la seguridad en internet. EMERGING TECHNOLOGY FROM THE ARXIV
Ref: arxiv.org/abs/1310.1137 : ¡Hackers de Contraseñas GOTCHA!
No hay comentarios :
Publicar un comentario