Interesante, BitAuth, intentando superar el usuario y contraseña con la tecnología de Bitcoin - 03/07/2014 10:10:34
" Hace seis años, Bitcoin aparecía por primera vez en un paper de Satoshi Nakamoto. No fue hasta 2012-2013 cuando explotó entre el gran público de Internet, y desde entonces muchos se han subido al carro, ya sea porque creen que es el futuro, por el dinero o por el hype.Y entre tanta moneda, algunos han pensado en algo más que el dinero. Es el caso de BitPay, que el pasado día uno proponía BitAuth, su solución para resolver el problema del usuario y contraseña aprovechando (por decirlo de alguna forma) la tecnología de Bitcoin.
BitAuth se basa en la criptografía asimétrica. En lugar de un nombre de usuario, nuestro identificador en un sitio web es un SIN (System Identification Number o Número de Identificación en el sistema). Y en lugar de una contraseña, lo que hacemos es firmar una petición a la página web con nuestra clave privada.
Alguno ya se habrá dado cuenta de que esto no es una idea novedosa. BitAuth es muy parecido a cualquier otro método de autenticación de clientes con clave pública/privada, como pueda ser SSH o algunas redes WiFi WPA-EAP. Vamos a ver cómo funciona un poco más en detalle.
El centro de BitAuth es el par de claves pública y privada. Ambas se generan usando ECDSA con la curva secp256k1, un detalle que no es especialmente relevante para entender cómo funciona BitAuth: simplemente lo menciono porque es lo único que hay en común con Bitcoin.
A partir de la clave pública se genera el SIN, tu identificador único y personal. La clave privada se queda en tu ordenador, cifrada con una contraseña que sólo deberías saber tú.
Esquema de firma digital.
Cuando quieres registrarte o entrar en un sitio web, no tendrás que poner un usuario y contraseña. Como decíamos antes, el usuario es el SIN, y para que la web se asegure de que es tuyo y no de un impostor, el navegador firmará la petición con tu clave privada. Por si no os acordáis, en Genbeta ya explicamos en qué consistía la firma digital. El único requisito es que el servidor web tenga tu clave pública y SIN para verificar la firma, que los recibirá cuando te registres.
La principal ventaja de esto es que tu contraseña no sale en ningún momento de tu ordenador. Incluso aunque un sitio web sea hackeado, sería totalmente imposible que puedan obtener tu clave privada o contraseña y robar tu identidad (salvo que el atacante en cuestión haya roto el algoritmo de firma digital, en cuyo caso directamente podemos escondernos todos debajo de la mesa y llorar).
Los problemas de BitAuth
BitAuth parece una idea interesante, pero no está exenta de problemas. El primero es que no queda muy clara la diferencia entre BitAuth y otros sistemas ya implementados de autenticación con clave pública/privada, principalmente el de TLS, como comentaba arriba. ¿Para qué repetir fallos y adoptar otro sistema si no hay ventajas claras?
El siguiente problema es que se necesita una infraestructura de clave pública (PKI), como mínimo para gestionar revocaciones de clave e impedir que un atacante siga usando tu clave si ha sido comprometida. En el repositorio de BitAuth se comenta que también se podría usar como sistema de reputación, un sistema que verifique que el propietario de una clave, que dice ser Pepito Grillo, es realmente Pepito Grillo y no un impostor.
BitAuth propone usar un sistema descentralizado para almacenar esos datos, al estilo de la cadena de bloques de Bitcoin. Sin embargo, no se explica cómo se puede gestionar una revocación de una clave comprometida: ¿quién verifica que realmente la clave que quieres revocar era tuya? ¿Y cómo lo hace? ¿Qué hacemos si una revocación tarda media hora en entrar en la cadena de bloques?
Como podéis ver, la idea de BitAuth es interesante, sí, pero hay algunas lagunas importantes. Sea como sea, nunca viene mal tener más alternativas al usuario y contraseña para mejorar nuestra seguridad.
Vía | Bitpay
-
La noticia BitAuth, intentando superar el usuario y contraseña con la tecnología de Bitcoin fue publicada originalmente en Genbeta por Guillermo Julián.
Ver artículo...
" Fuente Artículo
Interesante, Una patente de Apple desvela los primeros detalles para asegurar su estrategia e-wallet - 25/01/2014 23:54:23
Una patente de Apple desvela los primeros detalles para asegurar su estrategia e-walletApple se muestra reticente a mostrar sus planes para asegurar la estrategia de pago e-wallet pero recientemente se ha conocido una presentación de la patente de la compañía que da algunas pistas del camino que puede tomar la empresa en este tema.
Las compañías tecnológicas como Google buscan agilizar los pagos con las soluciones de los llamados e-wallet, sistema basado en la tecnología sin contacto como NFC. Apple ha decidido mantener un lento avance en los últimos meses en lo referente a este tema pero ha estado sentando las bases sobre e-wallet en las que podría estar trabajando la compañía.
Aunque el resultado final se desconoces, una presentación de la patente puede desempeñar un papel importante en el gran diseño que prepara Apple. La Oficina de Patentes y Marcas de EEUU ha publicado la aplicación de Apple para un "Método para enviar los datos de pago a través de diversas interfaces sin comprometer los datos del usuario que además detalla un sistema digital de fácil despliegue basado en la tecnología de hardware móvil existente".
Hasta la publicación de estas informaciones la mayoría de los avances de Apple en este sentido se habían centrado en el análisis de los posibles escenarios de uso de esta tecnología y no en las infraestructuras de back-end.
La patente señala que la invención cubre un método de transacción comercial en la que un dispositivo, tales como un iPhone, encuentra y establece una conexión segura a un sistema de punto de venta a través de una primera interfaz inalámbrica. El dispositivo identifica una segunda interfaz inalámbrica, diferente para conectarse a un servidor de back-end para terminar la transacción.
¿Es seguro este sistema de pago?
Según el resumen del documento, la primera conexión segura se puede lograr a través de módulos de comunicación de campo cercano o tecnología similar y se proporciona para iniciar el proceso de venta. Aquí, la NFC se utiliza como un ejemplo y la patente señala que otros protocolos inalámbricos pueden ser utilizados según sea necesario. Además, la invención señala que un "golpe" se puede utilizar para iniciar la secuencia de conexión.
Cabe señalar que Apple ha mostrado mayor interés en el Bluetooth NFC, especialmente teniendo en cuenta la introducción de la tecnología iBeacon que se puso en marcha en las tiendas de Apple en EEUU en diciembre.
Basado en el protocolo Bluetooth de baja energía, iBeacon tiene el potencial de combinar los beneficios de la operación limitada por proximidad de la NFC con un mayor rango si es necesario. El ancho de banda es también mayor que la NFC, permitiendo implementaciones más complejas de seguridad y transferencia de datos.
Debido a que el hecho de colocar un teléfono al lado de una caja registradora puede ser incómodo, una segunda interfaz inalámbrica más robusta se usa para completar la transacción. Esta conexión secundaria hace el trabajo pesado incluyendo el manejo de la tarjeta de crédito, transferencia de datos cryptographical y verificación del usuario.
La principal preocupación de los usuarios ante este tipo de sistemas de pago reside en la posibilidad de los delincuentes puedan robar los datos bancarios. La patente hace referencia a un elemento de seguridad que se encuentra en el dispositivo que nos permite generar un alias para nuestras cuentas que s envía al servidor acompañado de un código secreto y cifrado. Una vez que el alias se recibe en el servidor backend, es verificado por los datos de cifrado.
Entre las posibles soluciones a los problemas de seguridad se barajan otras opciones como establecer una especia de firma digital junto a los alias, números aleatorios, identificadores comerciales u otros valores.
Compartir Fuente Artículo
Consulte Información El uso de la tecnología y Las nuevas tecnologías
Consulte la Fuente de este Artículo
No hay comentarios:
Publicar un comentario