Un garabato, ¿tu nueva contraseña?

El mecanismo para bloquear tu tablet o teléfono inteligente es una reliquia de la era del teclado. Con la llegada de las pantallas táctiles, los populares códigos de acceso de cuatro dígitos y las rejillas de nueve puntos en los dispositivos móviles de hoy son anacrónicos. Sin embargo, subsisten, a pesar de los ojos indiscretos y las marcas reveladoras dejadas por los dedos.

Un nuevo estudio de la Universidad Rutgers sugiere que garabatear -sí, garabatear- en la pantalla de tu tablet o smartphone es un mejor mecanismo de autenticación que los patrones de desbloqueo del sistema operativo móvil Android de Google y los números de identificación personal (PIN) preferidos por iOS de Apple.

“Los actuales mecanismos de bloqueo y autenticación disponibles en el mercado para los sistemas móviles no funcionan tan bien”, señaló un profesor asistente de ingeniería eléctrica e informática en la Universidad Rutgers y autor del estudio, Janne Lindqvist. “En lugar de emplear viejos métodos o claves, dejamos que la gente generara gestos sin ningún tipo de guía visual u otro tipo de instrucciones”.

Los investigadores del estudio, en el que intervinieron colaboradores del Instituto Max-Planck para la Informática y la Universidad de Helsinki, pidieron a 63 participantes garabatear “de forma libre gestos multitáctiles”, básicamente pintar con los dedos en el lienzo en blanco de la pantalla táctil de una tablet Google Nexus 10. Sin rejilla, sin plantilla: los sujetos improvisaron un “código-doodle”, en lugar de una contraseña.

Nota relacionada: Google busca entrar a tu casa

Tras un breve descanso y un poco de distracción, los investigadores les pidieron a los usuarios recordar el garabato y volverlo a dibujar. Luego, probaron nuevamente la memoria de los usuarios después de un mínimo de 10 días. (Seis participantes no regresaron a la segunda prueba).

El truco -como en cualquier contraseña segura- era inventar un gesto lo bastante complejo para engañar a los espías y lo suficientemente sencillo para recordar.

“No tienes que hacerlo perfecto”, dijo Lindqvist sobre reproducir un gesto deslizando el dedo. “Puedes equivocarte un poco, pero no mucho. Depende de la política de seguridad que desees implementar”.

Por ejemplo, la autenticación para un dispositivo móvil podría aceptar un margen de error más alto que una que protege la bóveda de un banco.

Para verificar las semejanzas, el equipo utilizó un algoritmo “reconocedor” que comparó cada gesto con un conjunto de plantillas almacenadas. Después, el algoritmo calculó una puntuación media para cada intento de desbloqueo. Los gestos cuyos puntajes eran superiores a un cierto valor umbral pudieron ganar el acceso.

“Uno nunca puede, de cualquier forma, repetir el gesto exactamente de la misma manera”, advirtió Lindqvist, y apuntó que se necesitan al menos tres repeticiones o plantillas para que un gesto se vuelva estable. (Para una mayor precisión, el estudio utilizó 10 plantillas por participante).

Los investigadores también utilizaron un algoritmo flexible; es decir, los participantes pudieron dibujar en cualquier lugar de la pantalla del dispositivo, con el ángulo y el tamaño que desearan, siempre y cuando la forma del gesto fuera la correcta. Esta flexibilidad permite que los gestos se adapten a todas las plataformas: por ejemplo, en la pantalla más grande de una pizarra frente a la pantalla más pequeña de un smartphone.

La teoría de la información… en un garabato

Para medir el nivel de seguridad de cada gesto, los investigadores importaron un concepto de la Teoría de la información llamado “entropía diferencial”. Este indicador cuantifica el “contenido de información” o la “extrañeza” de un gesto. Por lo general, los gestos más seguros eran los más complejos (formas intrincadas). En promedio, los gestos más fáciles de recordar eran más cortos y sencillos que los mejores para la seguridad. Algunos de los más recordables eran formas simples angulares (como triángulos y firmas).

Los gestos menos seguros consistieron en suaves círculos en bucle.

Otra medida de seguridad involucró una prueba de “copiar por encima del hombro”. Seis estudiantes voluntarios observaron por separado videos de otro estudiante ejecutando tres gestos representativos. Luego se les pidió que se convirtieran en hackers y replicaran cada gesto.

Los resultados preliminares fueron prometedores. “Ninguno de los atacantes siquiera estuvo cerca de imitar el gesto”, dijo Lindqvist.

De hecho, un atacante casi replicó uno de los gestos (una "N" invertida) pero no lo hizo lo bastante bien para que el “reconocedor” lo autenticara.

“Teclear una contraseña parece ser cosa del pasado”, expuso un profesor de ciencias informáticas e ingeniería en la Universidad de Nueva York, Nasir Memon, que no participó en el estudio. “Definitivamente hay una necesidad de explorar las alternativas”.

Sin embargo, incluso con la ayuda de la memoria muscular, uno se preguntaría cuán confuso podría llegar a ser un mundo donde la seguridad dependiera de gestos.

“¿Qué pasa si tienes tres gestos diferentes para tres cuentas diferentes? ¿Cómo lidias con eso?”, se preguntó Memon.

En futuros estudios, Lindqvist planea instruir a los participantes en las mejores prácticas para la generación de gestos seguros y recordables.

“Creo que esta alternativa es mejor que el método actual, y ansío trabajar más en ello,” dijo.

Si la nueva táctica cumple su promesa, el futuro de la seguridad de las contraseñas se alejará más del teclado para acercarse al patinaje dactilar. Por ahora, sin embargo, los miles de millones de usuarios de dispositivos móviles del mundo deben seguir con sus PINs y patrones.

“Tiene potencial”, reconoce Memon. “Pero todavía estamos muy lejos de que se adopte”.