Una contraseña parcial es un modo de autenticación de contraseña destinado a hacer que el registro de pulsaciones de teclas y la navegación lateral sean menos efectivos. [1]
Al pedirle al usuario que ingrese solo unos pocos caracteres específicos de su contraseña, [2] en lugar de la contraseña completa, las contraseñas parciales ayudan a proteger al usuario del robo de contraseñas. Como solo se revela una parte de la contraseña a la vez, se vuelve más difícil obtener la contraseña utilizando técnicas como el registro de pulsaciones de teclas o la navegación lateral .
Un artículo de David Aspinall y Mike Just [1] describe implementaciones y ataques parciales de contraseñas en un estudio detallado.
Probado con 110.000 simulaciones utilizando contraseñas de más de 8 caracteres, Junade Ali ha señalado: [3]
- El 58% de las contraseñas se revelan en su totalidad después de 7 inicios de sesión, el 90% después del 12 y el 99% después de 19 inicios de sesión.
- Usando un conjunto de datos de 488,129 contraseñas violadas, el 58% de los segmentos de contraseña de 3 caracteres probados solo eran válidos para esa contraseña en la base de datos. Además, el 28% podría estar asociado con solo otra contraseña y el 8% con otras dos contraseñas.
Verificación de contraseñas parciales
Se considera una buena práctica no almacenar las contraseñas en texto sin cifrar . [4] En cambio, cuando se verifica una contraseña completa, es común almacenar el resultado de pasar la contraseña a una función hash criptográfica . Como el usuario no proporciona la contraseña completa, no se puede verificar con un resumen almacenado de la contraseña completa. Algunos han sugerido almacenar el resumen de cada combinación de letras que podrían solicitarse, pero señalan que esto da como resultado la generación y el almacenamiento de una gran cantidad de resúmenes. [5] [6] Una mejor solución en términos de espacio de almacenamiento y seguridad es utilizar un esquema de intercambio secreto . [6] [7]
Referencias
- ^ a b " " ¡ Dame las letras 2, 3 y 6! ": Implementaciones y ataques parciales de contraseñas" (PDF) . Consultado el 14 de octubre de 2015 .
- ^ "¿Qué es la verificación de contraseña parcial?" . El Banco Cooperativo . Archivado desde el original el 28 de junio de 2011 . Consultado el 3 de marzo de 2011 .
- ^ "Relleno de credenciales de grado bancario: la inutilidad de la validación parcial de contraseña" . El blog de Cloudflare . 20 de diciembre de 2018.
- ^ Almacenamiento de contraseñas
- ^ "Registradores de pulsaciones de teclas y contraseñas parciales" . Consultado el 3 de marzo de 2011 .
- ^ a b "Contraseñas parciales - ¿Cómo?" . Consultado el 15 de agosto de 2017 .
- ^ Actualización a contraseñas parciales