Estudio de mecanismos de autenticación basados en contraseñas visuales en dispositivos móviles Android

Abstract

Todo sistema de seguridad de la información debe cumplir con una serie de requisitos mínimos de confidencialidad, integridad y disponibilidad para que pueda considerarse realmente seguro y fiable. Ahora bien, en el estado actual de las Tecnologías de la Información y de la Comunicación también es necesario implantar sistemas de control de accesos a los recursos compartidos a través de sistemas distribuidos. En este sentido a los requerimientos básicos hemos de añadir los objetivos de autenticación y autorización. Por otro lado, una máxima fundamental en el despliegue de cualquier tecnología es el grado de aceptación por parte de sus potenciales receptores. Así, en el campo específico de los Sistemas de Gestión de Seguridad de la Información no hay cabida para esquemas que promuevan la consecución de objetivos de seguridad a costa de dificultar su implementación y/o uso. En este trabajo el foco central vendrá determinado por el estudio de sistemas de autenticación que, consecuentemente, traten de conciliar el objetivo de seguridad de validación de identidades digitales con la fácil adopción por parte de desarrolladores y usuarios finales. En efecto, los métodos de autenticación en protocolos de comunicación se pueden medir por dos factores: la usabilidad y la seguridad. En algunos casos cuando se intenta implementar un sistema de autenticación usable se vuelve poco seguro y en otros casos que se intenta implementar un sistema de autenticación seguro convirtiéndolo en poco usable. El diseño de estos sistemas de autenticación debe ser robusto ya que es un componente crítico de los sistemas de seguridad. La mayoría de los sistemas de autenticación utilizan un sistema basado en contraseñas alfanuméricas y en la mayoría de estos casos es el propio usuario quien, por usabilidad, elige su contraseña. Esta posibilidad que se da al usuario para elegir la contraseña puede ser una debilidad, ya que las contraseñas más utilizadas en estos casos son fechas de cumpleaños o nombres de familiares o amigos. Nuestra propuesta para mantener la seguridad y a la vez tener una alta usabilidad pasa por cambiar las contraseñas alfanuméricas por contraseñas visuales. Las contraseñas visuales ofrecen una serie de ventajas frente a las contraseñas alfanuméricas que las hacen más seguras y usables. A lo largo de este trabajo se pone de relieve el conjunto de ventajas, así como las limitaciones de esquemas de autenticación basados en las denominadas contraseñas visuales. Las contraseñas visuales determinan una interacción con el usuario mediada por una o varias imágenes. La autenticación del usuario viene codificada mediante la selección por parte del mismo de una serie de elementos o propiedades de una o varias imágenes. Dada la modalidad de la interacción usuario-imágenes parece recomendable trabajar con interfaces que agilicen la captura de entradas de usuario. Éste es el caso de las pantallas táctiles, la interfaz usuario-máquina cuya popularidad se ha visto favorecido por la reducción de costes de producción y cuya hegemonía en las interfaces de usuario se ha fraguado debido a su inclusión en la telefonía móvil. En este Trabajo Fin de Grado, por ello, se estudiarán los sistemas de identificación de usuarios arriba señalados tomando como marco de implementación los teléfonos inteligentes. De modo más concreto, se trabajará con dispositivos móviles con sistema operativo Android, siendo la razón fundamental de esta elección la popularidad de dichos dispositivos y la facilidad de desarrollo de nuevas aplicaciones frente a otras alternativas.Secure and reliable information systems are designed to preserve confidentiality, integrity and availability. In addition, in the current state of Information and Communication Technologies it is also necessary to develop access control systems to manage shared resources in distributed systems. Consequently, we have to enlarge the original set of requirements by means of the authentication and authorization commitments. On the other hand, a fundamental target in the deployment of any technology is the degree of acceptance by its potential users. In Information Security Management Systems there is no place for schemes obtaining security by hindering its implementation and / or use. In this work the focus will be determined by the study of authentication systems that enable an adequate tradeoff between secure digital identities management and easy-to-deploy/easy-to use implementations. In fact, the authentication methods in communication protocols can be measured by two factors: usability and security. In some case when trying to implement a usable authentication system it becomes insecure an in other cases when trying to implement a secure authentication it becomes unusable. The design of these authentication systems has to be robust, because it is a critical component of security systems. Most of the authentication systems use a system based on alphanumeric passwords and in most of these cases is the user who chooses her/his password. This user capacity to choose the password can be a weakness, as the most frequently used password in these cases are birthdays acquaintance names. Our approach to keep security while to have a high usability depends on changing the alphanumeric passwords for graphical passwords. Graphical passwords offer a number of advantages over alphanumeric passwords that make them more secure and usable. Along this work we highlight the set of advantages and limitations of authentication schemes based on the so-called graphical passwords. Graphical passwords are built upon an image-based human-machine interface. User authentication is codified by the user selection on a given set of elements or properties of one or several images. Taken into account the modality of the user-image interaction, it is necessary to choose human-machine interfaces that make easy to capture and process the related user input. This target is achieved through touch-screens and their user-machine interfaces, whose popularity sustained by the decrements of production costs, and its incorporation as main user-machine interface in mobile devices. This being the use, in this project we study in detail authentication procedures in the context of smartphones. More specifically, we will work with mobile devices with Android operating system, being the main reason for this choice the popularity of these devices and their ease of development of new applications over other alternatives