Criptografía invulnerable: almacena una contraseña de 30 caracteres en tu subconsciente

22/07/2012 por Carlos Burges

Un equipo interdisciplinar de neurocientíficos y criptógrafos han desarrollado un sistema que elimina la parte más débil de un sistema de seguridad: el usuario. EL sistema, bastante ingenioso, requiere que el usuario introduzca una contraseña pero en ningún momento es capaz de recordarla, lo que significa que no necesita ser escrita y que además, no puede ser obtenida por métodos coercitivos o tortura.

El sistema, desarrollado por Hristo Bojinov de la Universidad de Stanford y amigos de Northwestern y el SRI se basa en elk aprendizaje implícito, un proceso por el que una persona absorbe nueva información pero no es consciente de que lo está haciendo: es algo así como aprender a montar en bicicleta. Explicado de forma sencilla, el sistema enseña al usuario la contraseña a una parte del cerebro a la que no se puede acceder de forma consciente aunque esta se mantiene en el subconsciente, esperando a ser tecleada.

El proceso de aprendizaje de esta contraseña (o llave criptográfica) requiere el uso de un ordenador que reproduce una especie de juego que recuerda extraordinariamente a Guitar Hero y el uso de 6 teclas: S, D, F, J, K, L que deben ser pulsadas cuando un círculo llega a la parte inferior de la pantalla (en un sistema de aprendizaje similar a cómo funciona el juego).

Durante una sesión de entrenamiento típica de unos 45 minutos, un usuario realiza aproximadamente unas 4.000 pulsaciones de tecla, y aquí está el quid de la cuestión: el 80% de esas pulsaciones de tecla se usan para enseñar al subconsciente una contraseña de 30 caracteres.

 

Antes de empezar el juego, el sistema crea una secuencia aleatoria de 30 letras usando S, D, F, J, K, L sin caracteres repetidos. Esto genera aproximadamente 38 bits de entropía, lo que es miles (o millones) más veces que tu contraseña media.

Una vez entrenado un usuario, los resultados del experimento sugieren que las contraseñas de 30 letras están firmemente implantadas en el inconsciente del usuario La autenticación requiere jugar "una partidita" al juego pero en esta ocasión, al autentificarse, la secuencia de 30 letras está mezclada con otras 30 secuencias de letras. Para pasar la autenticación, debes haber realizado tu contraseña de una forma mucho más fiable que el resto de secuencias de 30 letras, porque a todos los efectos, tu cerebro es capaz de ofrecer mejores resultados de forma inconsciente ante un patrón que reconoce. Incluso después de dos semanas, aparentemente el usuario es capaz de recordar inconscientemente esa secuencia.

 

El aspecto más importante de este trabajo es que establece una nueva forma primitiva de criptografía que elimina el problema de la obtención de contraseñas vía tortura o coerción. Simplemente es imposible obtenerlas ya que su introducción funciona vía un patrón cerebral inconsciente además de una "perfección" en la reproducción de la misma.

Para más información sobre la fortaleza y las debilidades de este esta aproximación a un sistema criptográfico llamado Serial Interception Sequence Learning (SISL) hay un documento de investigación publicado por el autor de la investigación, Hristo Bojinov, que presentará su investigación en el Usenix Security Symposium en agosto.

Adicionalmente en 2009, en faq-mac publicamos una técnica muy rudimentaria basada en SISL que todavía conserva todo su valor: Contraseñas, seguridad y memoria

Fuente: Extremetech

0
Comentarios
  • #1 por abaskiat el 22/07/2012
    "Elimina el problema de la obtención de contraseñas vía tortura o coerción"... Os habéis olvidado de la hipnosis
  • #2 por Mandibul el 22/07/2012
    Aquí llega el comentario del listo: ¿y no basta con ponerte la musiquita para que te salga la contraseña? Así sin tortura ni nada. Cual rata de Hamelin.
  • #3 por Jordi Floriach Clark el 23/07/2012
    #1 , regla número 1 de la hipnosis: No te pueden hipnotizar para hacer algo que no quieres hacer.
  • #4 por almarma el 24/07/2012
    Igual digo la tontería del mes, porque no he entrado a leer los detalles, solo el artículo, pero...

    ¿Y si te ponen delante de un ordenador a "jugar la partidita" con una pistola en la cabeza? :)