Análisis de patrones de tecleo: la eterna nueva buena idea
En la contínua búsqueda de métodos de seguridad más eficaces, en ocasiones vuelven a la discusión pública viejos conocidos como el análisis de patrones de tecleo (Key-Pattern Analysis). En esta ocasión la investigación se centra en los tiempos y pausas al escribir una contraseña en un teclado de cara a aumentar la entropía de la misma, intentando aislar el hábito de cada individuo, pero manteniendo el margen de error en un valor razonable. Se intenta igualmente apoyar esta medida de microtiempos con otras como el sonido de las teclas o el ritmo global de las pulsaciones.
Aunque pueda ser algo desconocido para muchos, la autenticación por análisis de patrones de tecleo no es algo novedoso. Se rumorea que ya se utilizaba en la antigua unión soviética para determinar el estado mental de los pilotos. Se les hacía teclear un párrafo de control en condiciones normales, y luego se comparaba con la manera de escribirlo antes de cada vuelo. Más en nuestros días, hace años ya que muchos bancos incorporan este método de autenticación adicional en el acceso a su servicios web. Incluso se han hecho investigaciones para intentar definir un algoritmo que consiga determinar nuestro estado de ánimo a partir de nuestra manera de teclear, lo cual permitiría por ejemplo valorar el nerviosismo del sujeto al intentar suplantar una identidad.
Sin embargo estos métodos no acaban de tener un éxito masivo debido a problemas que quedan aún por solucionar. Por ejemplo, con la tendencia actual al uso de teclados virtuales en smartphones y tablets, se elimina la posibilidad de analizar el ruido mecánico, por no hablar de que la mayor incomodidad de su uso hace que el usuario cometa muchos más errores y en general no teclee las contraseñas siempre de la misma manera.
Otro problema que se ha detectado, por ejemplo en los citados servicios web de banca, es el uso de un mismo usuario y contraseña por parte de varias personas distintas. En este caso el sistema aprecia varias maneras distintas de teclear, acabando eligiendo sólo una de ellas, generalemnte la más lenta, resultando un problema para los demás.
Por último, como en cualquier sistema de decisión, es dificil definir el umbral. Si es mínimamente alto los usuarios legítimos tendrán que reintroducir varias veces su contraseña hasta que sean aceptados. Si por el contrario queremos evitar esta molestia eligiendo un umbral más permisivo, hay muchas posibilidades de que una persona con un patrón de escritura similar pueda tener éxito en la autenticación. Además, no es difícil que en el proceso de espionaje del usuario legítimo para conocer su contraseña, se aprenda igualmente su ritmo de escritura, ya sea de manera presencial o mediante software de keylogging. Sin embargo sí que podría ser tremendamente eficaz contra ataques masivos automatizados.
En resumen, en análisis de patrones de tecleo es una buena idea como tantas otras, cuyo éxito o fracaso depende del enfoque que se le aplique, y de que finalmente se solucionen de manera efectiva los problemas que aparecen a la hora de implementarlo en el mundo real.
Fuente: EquipoM45
Estoy involucrado en un proyecto en el cual evaluamos los patrones de tipeo y métodos para la clasificación de usuarios y sesiones.
ResponderBorrarSi les interesa el tema pueden encontrar más información en:
http://www.keasylogger.com.ar/
o escribirnos un correo electrónico a [email protected]