Día de la ciberseguridad: la criptografía puede cuidar tus contraseñas

Otra forma de cuidar la privacidad al ingresar una contraseña en un sitio web es por medio de crear un “hash” que cifra el texto para protegerlo en cierto grado y lo almacena junto con el nombre del usuario en una base de datos. Pero, cuando los atacantes entran en esa base de datos, a menudo pueden averiguar la contraseña de texto sin cifrar a partir del hash.

Ante este contexto, investigadores de IBM han generado nuevas técnicas a partir de criptografía para aumentar la privacidad. Un ejemplo de esto son los nuevos protocolos que utilizan Oblivious Pseudo-Random Functions (OPRF), es decir, técnicas matemáticas que permiten una forma más segura de verificar que una contraseña coincide con su codificación en la base de datos.

Con dicha herramienta, a diferencia de TLS, el cálculo de la codificación se realiza sin revelar la contraseña al proveedor de servicios de internet, por lo que se puede garantizar un mayor rango de seguridad.

Por otra parte, la autenticación de inicio de sesión único (SSO, por sus siglas en inglés), es una forma muy popular para ingresar a sitios web y muchos de ellos confían en este estándar, pues ofrecen la posibilidad de iniciar sesión a través de una cuenta personal de redes sociales.

En resumen, la SSO elimina la necesidad de crear una contraseña adicional para cada nuevo servicio web, ya que usa una misma para todos los sitios. Esto reduce el riesgo, pero existe un peligro latente de que, cuando un atacante obtenga la información, ingrese a cualquier sitio web visitado anteriormente sin el conocimiento o autorización del titular.

Para ello, los investigadores crearon un protocolo SSO distribuido que usa al menos dos proveedores de redes sociales para la autenticación. Con este nuevo método, los usuarios nunca necesitan entregar su contraseña a un “guardián”.

En cambio, ellos mismos calculan codificaciones de contraseñas utilizando un protocolo OPRF con la ayuda de los proveedores de redes sociales, los cuales nunca aprenden la contraseña en el proceso. Luego, las codificaciones se fragmentan en piezas ininteligibles y cada una se almacena en el servidor de un proveedor.

Según la explicación de los expertos, dado que ninguno de los proveedores de servicios tiene la codificación completa, no pueden averiguar la contraseña y, por lo tanto, no es posible hacerse pasar por el usuario.

La única forma en que estos guardianes distribuidos podrían robar la identidad de un usuario, detallan, es si todos conspiraran para hacerlo juntos, pero mientras solo uno de ellos sea honesto, las contraseñas y las identidades digitales están seguras.