211service.com
¿Los GOTCHA reemplazarán a los CAPTCHA?
La mayoría de las personas que usan Internet estarán familiarizadas con la prueba de Turing pública completamente automatizada para diferenciar las computadoras y los humanos, también conocida como CAPTCHA. Estos son fragmentos de textos distorsionados que normalmente se le pide que identifique para demostrar que es un ser humano. Su objetivo es evitar que los bots accedan a los sitios web, para evitar que dejen spam, por ejemplo.
Los CAPTCHA han tenido un gran éxito desde que Luis von Ahn y sus amigos los introdujeron en 2000 en la Universidad Carnegie Mellon en Pittsburgh. Pero en el juego del gato y el ratón de la seguridad informática, siempre era inevitable que los malos gastaran recursos importantes para intentar romper el sistema.
Y de hecho exactamente eso ha sucedido. Dado que solo puede haber un número limitado de textos distorsionados almacenados en un disco duro dado, es posible emplear personas para descifrarlos en condiciones de explotación. Otra posibilidad es volver a publicar los CAPTCHA en otro sitio web para visitantes desprevenidos que los completen pensando que están accediendo a un sitio legítimo. En cambio, las soluciones se utilizan en tiempo real para ingresar a otro sitio de forma ilegítima.
Por eso, los informáticos han estado pensando mucho en cómo mejorar este mecanismo para frustrar una vez más a los piratas informáticos. Hoy, Jeremiah Blocki y sus amigos de la Universidad Carnegie Mellon dicen que han encontrado una forma de hacerlo basada en patrones de manchas de tinta.
El nuevo enfoque es sencillo y se basa en que el usuario responda una serie de preguntas cuando se registra por primera vez para acceder a un sitio web. Comienza generando un conjunto de imágenes simples de manchas de tinta colocando al azar manchas de tinta de diferentes colores en un área pequeña de la pantalla.
Como parte del proceso de registro, se le pide al usuario que escriba una frase corta que describa cada una de estas imágenes.
Cuando los usuarios regresan para acceder al sitio con una contraseña, también se les muestran los patrones de las manchas de tinta y las frases que los describen. Su tarea es entonces asignar la frase correcta a cada patrón.
Llaman a su nueva prueba GOTCHA (Generación de pruebas panópticas de Turing para diferenciar las computadoras y los humanos).
Blocki y sus amigos dicen que esto debería frustrar un ataque automatizado. Argumentamos que el adversario que desea montar un ataque o ffl ine rentable necesita obtener retroalimentación constante de un humano, dicen.
Eso se debe a que solo un humano puede reconocer constantemente los patrones y los enlaces a las frases que se muestran, al menos esa es su hipótesis.
Esa es una idea interesante. La capacidad humana para reconocer patrones supera con creces cualquier cosa que puedan hacer las computadoras y hacer coincidir esto con la interpretación del usuario de patrones aleatorios es inteligente. Existe mucha evidencia de que el reconocimiento de patrones es más fácil que recordar contraseñas.
Pero sí plantea la cuestión de qué tan bien recordará la gente su interpretación original de una mancha de tinta. Esto bien puede depender en gran medida de su estado de ánimo en el momento que, a su vez, podría verse influenciado por todo tipo de variables locales y temporales.
Para probar esto, Blocki y sus colegas probaron la idea utilizando Mechanical Turk de Amazon. Invitaron a 70 Turkers a ver una serie de patrones de manchas de tinta y escribir frases de identificación, pagándoles $ 1 para completar la tarea. Luego, 10 días después, pidieron a los mismos Turkers que volvieran a asociar sus frases con los patrones de las manchas de tinta, nuevamente por un pago de $ 1.
Los resultados no son del todo reconfortantes. Diecisiete de nuestros participantes coincidieron correctamente con las diez etiquetas, y el 69% de los participantes coincidieron correctamente con al menos 5 de las diez etiquetas, dicen.
Blocki y compañía dicen que los datos indican que una fracción significativa de la población podría usar GOTCHA. También significa que el uso de nuestra GOTCHA tendría que ser voluntario para que los usuarios que tienen dificultades no se bloqueen de sus cuentas, añaden tímidamente.
Es posible que las pruebas con Turkers no fueran representativas de la forma en que la gente común usaría GOTCHA. Por ejemplo, los Turkers pueden haberse apresurado a pasar por la primera fase de las pruebas para conocer su dinero más rápidamente.
Y también puede ser posible mejorar la tasa de reconocimiento, quizás permitiendo a los usuarios rechazar imágenes que les resulten confusas.
Eso parece ser una mejora clara y necesaria para que GOTCHA se convierta en una característica común de la seguridad de Internet.
Ref: arxiv.org/abs/1310.1137 : ¡Hackers de contraseñas de GOTCHA!