Mecanismo de autenticación de respuesta de desafío (CRAM)

Posted on by Rudeus Greyrat

El mecanismo de autenticación de respuesta de desafío (CRAM) es la forma más utilizada para autenticar acciones. Son un grupo de protocolos en los que un lado presenta un desafío (para ser respondido) y el otro lado debe presentar una respuesta correcta (para ser verificada/validada) al desafío para poder autenticarse. 

Figura – Diagrama de flujo de actividad de CRAM 

Dos tipos de preguntas (Desafío) – 
 

  • Las preguntas estáticas , como sugiere su nombre, implican un enfoque estático para la selección del desafío. El usuario puede seleccionar su desafío y autenticarse. Por ejemplo, tome el caso de uso de OLVIDAR CONTRASEÑA en servicios de correo electrónico. Un desafío estático es la ‘pregunta de seguridad’ que ha guardado como parte de la configuración de su cuenta. No se espera que la respuesta correcta a esas preguntas cambie con el tiempo.
  • Las preguntas dinámicas implican un enfoque dinámico para la selección y autenticación del Desafío. Los desafíos se seleccionan al azar asumiendo que el usuario sabrá la respuesta válida al desafío considerando que el usuario es el verdadero.

Formas en que se ejecuta CRAM: 
 

  • CAPTCHA: 
    La prueba pública de Turing completamente automatizada para diferenciar a las computadoras de los humanos. CAPTCHA se utiliza para evitar el spam y el registro automático de nuevas cuentas de correo electrónico o sitios web.
  • SSH (Secure Shell): 
    SSH es un protocolo de red criptográfico para operar servicios de red de forma segura en una red no segura.
  • Contraseña: 
    la contraseña se envía al servidor para su validación al hacer coincidir con la contraseña correcta.
  • Mecanismo de autenticación de respuesta de desafío salado (SCRAM, una variante de CRAM): 
    el desafío se salta con un hash para asegurarse de que la contraseña se use solo una vez. El hash se envía al servidor para que coincida con el hash de la contraseña correcta para la coincidencia y no con la coincidencia de la contraseña de texto sin formato en sí. Por lo tanto, la contraseña no se revela para evitar el ataque Man-in-the-Middle y los ataques de repetición porque la contraseña solo se puede usar una vez.
  • Biometría: 
    los detalles biométricos (escaneo de retina, escaneo de huellas dactilares) que son únicos se registran y cada vez que un usuario desea autenticarse, debe presentar sus credenciales biométricas al sistema de autenticación para su validación.

Casos de uso – 
 

  • Para diferenciar entre una computadora y un ser humano: 
    se presenta al usuario una imagen (generalmente difícil de leer a simple vista) y se le pedirá que ingrese leyendo los caracteres de la imagen. Luego, la entrada se compara con los caracteres reales para evitar que los bots ingresen al sistema.
  • En el entrenamiento de modelos de aprendizaje automático: 
    una imagen se reconstruye y se mezcla y se presenta al usuario para algún tipo de verificación que un usuario humano real puede hacer. La entrada se utiliza para la validación del usuario. La respuesta dada por el usuario se compara con la respuesta dada por el modelo ML. La imagen desordenada es el ‘desafío’ y seleccionar las piezas correctas es el ejemplo. Comúnmente visto en la autenticación CAPTCHA de Google.
  • Para fines de inicio de sesión (autenticación): 
    la contraseña ingresada se compara (directa o indirectamente) con la contraseña correcta (ya almacenada en el servidor al que intenta acceder) para la coincidencia.

Ataques comunes a las CRAM: 
 

  • escuchar a escondidas
  • Ataques de phishing
  • Ataques farmacológicos
  • Ataques de intermediario
  • Ataques de envenenamiento de caché de DNS
  • Ataques de troyanos
  • Ataques de hombre en el teléfono
  • Ataques de envenenamiento del navegador
  • Ataques de diccionario
  • Ataques de fuerza bruta
  • prueba de contraseña de conocimiento cero
  • Ataques de contraseñas reutilizables

Limitaciones: 
un problema fundamental con las contraseñas es que se usan repetidamente. Cuando el servidor recibe una contraseña, el servidor no puede determinar si el usuario real está ingresando la contraseña o no. 

Los CRAM más nuevos también emplean criptografía para que coincida el hash de las contraseñas y no las contraseñas simples. 
Algunos ejemplos de CRAM criptográficos: 
 

  • SCRAM: mecanismo de autenticación de respuesta de desafío salado
  • CRAM-MD5

Publicación traducida automáticamente

Artículo escrito por Parikshit Hooda y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *