Paper 2

UNIVERSIDAD NACIONAL DE INGENIERIA
FACULTAD DE INGENIERIA INDUSTRIAL Y SISTEMAS
IMPLEMENTATION OF
GRAPHICAL PASSWORDS
IN INTERNET BANKING
FOR ENHANCED
SECURITY
Seguridad Informática
Integrantes:
Arias Paredes, Fredy
2018
Author (s): Salma Abid Razvi , S.Neelima , C. Prathyusha , G.Yuvasree , C,Ganga , K.Manoj
Kumar
Títle of paper: Implementación de contraseñas gráficas en la banca por internet para una
mayor seguridad
Journal: International Conference on Intelligent Computing and Control Systems
pag – pag (year): 2017
Problema
El principal problema, es que los bancos pueden ser propensos a ataques de seguridad,
siendo la mayor preocupación de los bancos la vulnerabilidad de la información de los
clientes, transacciones, etc.
Actualmente los clientes tienen una alta actividad con las plataformas de banca por internet
y por ello se debe resguardar la seguridad de los clientes, es decir la seguridad en línea y
no en línea, como la confidencialidad, integridad, disponibilidad y precisión.
Estado del arte que hace el autor
Sector Bancario:
Este paper se desarrolla, en relación a la banca en línea, ya que los clientes buscan
practicidad y disponibilidad en todo momento , la banca en línea permite realizar
operaciones en cualquier lugar, pero con algunas restricciones de seguridad; es el banco el
que brinda la información del cliente , como la clave de acceso para sus tarjetas de crédito
o débito , además se asocia una clave de ingreso por internet ; cuando se da la operación
para acceder , entonces se verifica con el banco asociado.
Seguridad:
El paper nos habla, acerca de los fraudes debidos a la falta de seguridad, los últimos vistos
en el 2016, y en principales bancos financieros, la tasa es baja, sin embargo, la razón detrás
de esto es el malware que se dirige al sistema informático, incluyendo riesgos de seguridad;
como phishing, troyanos, software espías o destinados.
-Phishing: Incluye la utilización de mensajes falsos
-Spyware: Toma de datos, al ingresar al sistema operativo
- Caballo de Troya: Se incrustan al controlador del sistema para registrar las

pulsaciones de teclas
-Skimming: Duplicación de los datos, sin que se comprometan los originales
- Riesgo crítico: Cuando hay un acceso no autorizado entre el envío de información

secreta
HTTP
A B
Enviar contraseña Recibir contraseña

Acceso no autorizado
HACKER
La idea de elegir una contraseña para un cliente, es que sea fácil de recordar, y que para
otras personas se vuelva difícil descifrar, siendo una buena política el cambio de contraseñas
a un cierto tiempo.
Para poder resolver el riesgo critico visto en el punto anterior, se asigna un seguro al canal
de envío de información (HTTPS), en esta ocasión los datos que serán enviados, pasaran
por un proceso de encriptación, y cuando llegue al usuario, deberá usar un proceso de
desencriptacion.
HTTPS D
E
N E
A S B
C
R E
Enviar contraseña I N Recibir contraseña
P C
T R
A IP
C HACKER T
I A
O C
N I
O
N
Algoritmo Cifrado DES
El algoritmo cifrado de bloques estándar, fue la primera en considerarse como un algoritmo

sólido para claves de acceso, sin embargo, actualmente es altamente susceptible a ataques
de fuerza bruta y a ataques de criptoanálisis lineal
SHA
Se utiliza para crear hash de la información, se puede dar como: SHA-1, SHA-254, SHA-
256, SHA-384, SHA-512, una vez hasheada la información, no será posible el proceso
inverso
AES
El algoritmo de encriptación estándar avanzada, reemplaza al algoritmo DES, haciéndola
más segura y rápida.
Contraseñas:
Se utiliza diferentes formas de autenticación de las contraseñas; como, por ejemplo: texto,
imagen o biométrica.
Importancia
La importancia del paper radica en utilizar técnicas de contraseña gráfica que permitan
tener la mayor seguridad en la pantalla de inicio de una plataforma de banca móvil, se
plantea el uso de contraseñas gráficas porque es más segura que una contraseña de base
de datos, siendo más fácil de recordar para el usuario y difícil de adivinar para un intruso.
Motivación del autor (críticas del autor a otros trabajos)
Autenticación de un solo factor o autenticación tradicional:
Generalmente se utilizan, este tipo de interfaces para el acceso de a una aplicación, en

donde la información del registro se almacena en una base de datos, y en el login, se
ingresa esta data y si es correcta puede ingresar a la plataforma, sin embargo, si los datos
son incorrectos, no logrará ingresar a la plataforma.
Autenticación de dos factores:

Este tipo de autenticación, junta la autenticación anterior, en donde existe un usuario y
contraseña para ingresar, como el uso se una clave secreta generada automáticamente y
en cada cierto intervalo de tiempo, como el caso del token.
Autenticación por multifactores:

Se aplican varios niveles de autenticación, por ejemplo:
- El uso de la contraseña de seguridad
- El uso de token, que es una contraseña dinámica
- El uso de características biométricas, como la huella digital o reconocimiento digital.
OTP:
Este tipo de contraseñas es de una vida, es válida para una sola sesión, con un tiempo de
vida muy corto, la mayor dificultad que tiene, esta técnica es que es difícil de recordar
varias contraseñas que serán cambiadas automáticamente, por lo cual requieren una nueva
tecnología que trabaje con ella
Descripción del aporte del autor
El autor recomienda el uso de contraseñas gráficas, basadas en diferentes, las cuales tenemos:
Técnicas basadas en la recuperación:

Los algoritmos basados en la recuperación son algoritmos puros que se han creado con diferentes
niveles de funcionamiento y características de refugio. Esto incluye técnicas basadas en la
recuperación pura y cue.
Recuerdo de cue
Cuando se le da a un cliente una lista de elementos para memorizar y luego prueba con claves para
recordar las imágenes seleccionadas.
Blonder
Este esquema se usa para representar la imagen seleccionada durante el registro. Durante la
autenticación, la imagen se mostrará al cliente y el cliente debe hacer clic en la imagen en un orden
predefinido. Es difícil identificar las regiones pequeñas en la imagen y es relativamente más seguro.
DAS (Draw a Secret)

Donde el usuario puede dibujar su propia contraseña. Se llama al cliente para dibujar una imagen
simple en una grilla 2D. Para la autenticación, se le solicita al cliente que vuelva a dibujar la imagen.
Si la imagen [1] pasa a la misma cuadrícula en un orden de secuencia, entonces el cliente está
autenticado. Una gran parte de la población general revisa imágenes simétricas que la de imágenes
asimétricas, y se evalúa adicionalmente que las partes importantes de los clientes elegirán reflejar
contraseñas simétricas. Entonces, la seguridad del DAS podría ser bastante menor que la inicialmente
estimada. La organización de este problema finaliza creando contraseñas más largas.
Sistema de punto de paso: El esquema de punto de paso es la extensión del esquema de blonder
eliminando los límites artificiales, vamos por puntos de paso. En este método es más conveniente o
de fácil acceso que el recuerdo sin ayuda (contraseña basada en texto). En el método PassPoint el
cliente puede hacer clic en cualquier parte de la imagen (algunas áreas predefinidas) para crear una
contraseña. Para fines de autenticación, el cliente debe hacer clic dentro de las imágenes elegidas
también en orden. Se puede usar cualquier imagen y una imagen puede contener miles de puntos de
memorización donde el espacio de contraseñas concebibles es asombrosamente enorme.
Esquema de la firma: El algoritmo Syurki propone el esquema de la firma. La autenticación se logra

usando el mouse para dibujar una firma como se ve en la figura.13. Esta técnica se usa principalmente
para el registro y la confirmación. Se solicita al usuario que dibuje su marca con la asistencia del
mouse en la etapa de alistamiento. Luego, el marco separa la marca y puede expandir, desplazar o
girar las marcas si es necesario, luego se guarda en la base de datos. La etapa de afirmación se obtiene
de la entrada de los clientes donde reafirma la estandarización y libera los límites de la marca. El
sistema usa la actualización dinámica y el promedio geométrico de la base de datos para
confirmación.
Técnicas basadas en reconocimiento:

Este esquema se basa en el método de visualización hash (para mejorar esta seguridad de la realidad
actual). En esta estrategia, el cliente debe elegir un par de imágenes de un arreglo de imágenes
irregulares creadas por un programa. El cliente debe distinguir las imágenes predefinidas con un
objetivo final específico para hacer validadas. El proceso de inicio de sesión promedio es más largo
que los enfoques tradicionales.
Esquema de Dhamija y perrig

Seleccione diferentes imágenes entre varias opciones y debe recordar las fotografías seleccionadas
para probar su identidad (autenticación). La principal ventaja de este esquema es que es difícil para
ellos (los piratas) identificar o reconocer.
Plan Pass Face: En este esquema, las caras humanas se identifican para crear una contraseña. El
usuario debe elegir cuatro caras humanas de la cuadrícula (que contiene nueve imágenes) antes de
que se complete el proceso de autenticación. El principal problema de este esquema son los
usuarios principalmente selecciona las caras en función de sus características similares.
Esquema de sobrado y birget: Este esquema se propone para resolver el problema del hombro surf.
El sistema muestra varios objetos de paso (pre-elegidos por el cliente) entre muchos otros objetos,
clics del cliente dentro del cuerpo arqueado limitado por los objetos elegidos.
Espacio de contraseña: N! / K! (N-K)!

N-Es el número total de objetos de imagen.
K-Es el número de objetos preseleccionados.
Al implementar otras configuraciones geométricas especiales, es decir; triángulo y marco movible,

uno puede lograr más seguridad del hombro que practica surf.
Pseudocódigo para el sistema de autenticación de contraseña gráfica:
Paso 1: el usuario ingresa detalles

Paso 2: El cliente carga imágenes de su elección.
Paso 3: selecciona imágenes y haz clic en los puntos de la cuadrícula en secuencia.
Paso 4: Registro exitoso
Paso 5: A continuación, el usuario obtiene el esquema de inicio de sesión
Paso 6: Seleccione imágenes y haga clic en los puntos de la grilla en secuencia.
Paso 7: los datos se envían al servidor.
Paso 8: el servidor produce una contraseña encriptada al acceder a la grilla
valores de la base de datos fija.
Paso 9: si la contraseña coincide, permite navegar en el sitio web.
Paso 10: si la contraseña no coincide, pasa al paso 5.
Proceso de trabajo:
El proceso de trabajo de las contraseñas Gráficas se realiza en tres módulos:
Módulo 1: Proceso de registro de usuario
Módulo 2: proceso de selección de imágenes

El proceso de selección de imágenes se divide de nuevo en dos tipos:
Proceso definido por el usuario y proceso definido por el sistema
1. Proceso definido por el usuario:

Las imágenes se seleccionan del disco duro o de cualquier otro dispositivo compatible con
imágenes.
2. Proceso definido por el sistema:

Las imágenes son elegidas por los clientes de la base de datos del marco de referencia.
Módulo 3: proceso de inscripción
El proceso de registro final es una combinación del proceso de registro del usuario y el proceso de
selección de imágenes.
El usuario ingresa el nombre de usuario y hace clic en la imagen para establecerla como
contraseña, selecciona un punto en la imagen y hace clic en la siguiente imagen. El punto en la
última imagen actúa como el último punto para abrir el sistema deseado.
Proceso para obtener el aporte que considera el autor
Se trabaja en base a las “contraseñas gráficas" ya que son más seguras y no propensas a cualquier
ataque de pirateo. Para llegar a esto se tuvo que hacer un estudio acerca de los principales tipos de
contraseña que usan los bancos a nivel mundial. Las contraseñas gráficas, desplazan a la actualidad
a las contraseñas comunes y corrientes.
Las contraseñas son el método principal que Red Hat Enterprise Linux utiliza para verificar la
identidad de los usuarios. Por esta razón la seguridad de las contraseñas es de suma importancia
para la protección del usuario, la estación de trabajo y la red.
Para propósitos de seguridad, el programa de instalación configura el sistema para usar el Message-
Digest Algorithm (MD5) y contraseñas shadow. Se recomienda que no cambie estas
configuraciones.
Si quita la selección de MD5 durante la instalación, se utilizará el formato más viejo Data
Encryption Standard(DES). Este formato limita las contraseñas a ocho caracteres alfanuméricos
(no permite caracteres de puntuación o especiales) y proporciona un nivel encriptación modesto de
56-bits.
Si usted deselecciona las contraseñas shadow durante la instalación, todas las contraseñas son
almacenadas como hash de una sola vía en el archivo /etc/passwd, lo que hace al sistema
vulnerable a ataques de piratas fuera de línea. Si un intruso puede obtener acceso a la máquina
como un usuario regular, puede también copiar el archivo /etc/passwd a su propia máquina y
ejecutar cualquier cantidad de programas de descifrado de contraseñas contra el. Si hay una
contraseña insegura en el archivo, es sólo una cosa de tiempo antes de que el maleante informático
la descubra.
Las contraseñas shadow eliminan este tipo de ataques almacenando los hash de las contraseñas en
el archivo /etc/shadow, el cual sólo es leído por el usuario root.
doctyp
e html
html(lang='en')
head
meta(charset='utf-8')
meta(http-equiv='X-UA-Compatible', content='IE=edge')
meta(name='viewport', content='width=device-width, initial-
scale=1')
meta(name='description', content='')
meta(name='keywords', content='')
meta(name='author', content='')
title
| Home ·
link(href='http://fonts.googleapis.com/css?family=Open+Sans:400,300,600
', rel='stylesheet', type='text/css')
link(href='assets/css/toolkit.css', rel='stylesheet')
link(href='assets/css/application.css', rel='stylesheet')
style.
/* note: this is a hack for ios iframe for bootstrap themes
shopify page */
/* this chunk of css is not part of the toolkit :) */
body {
width: 1px;
min-width: 100%;
*width: 100%;
}
body.with-top-navbar
#app-growl.growl
nav.navbar.navbar-inverse.navbar-fixed-top.app-navbar
.container
.navbar-header
button.navbar-toggle.collapsed(type='button', data-
toggle='collapse', data-target='#navbar-collapse-main')
span.sr-only Toggle navigation
span.icon-bar
span.icon-bar
span.icon-bar
a.navbar-brand(href='index.html')
img(src='assets/img/brand-white.png', alt='brand')
#navbar-collapse-main.navbar-collapse.collapse
ul.nav.navbar-nav.hidden-xs
li.active
a(href='index.html') Home
li
a(href='profile/index.html') Profile
li
a(data-toggle='modal', href='#msgModal') Messages
li
a(href='docs/index.html') Docs
ul.nav.navbar-nav.navbar-right.m-r-0.hidden-xs
li
a.app-notifications(href='notifications/index.html')
span.icon.icon-bell
li
button.btn.btn-default.navbar-btn.navbar-btn-avitar(data-
toggle='popover')
img.img-circle(src='assets/img/avatar-dhg.png')
form.navbar-form.navbar-right.app-search(role='search')
.form-group
input.form-control(type='text', data-action='grow',
placeholder='Search')
ul.nav.navbar-nav.hidden-sm.hidden-md.hidden-lg
li
a(href='index.html') Home
li
a(href='profile/index.html') Profile
li
a(href='notifications/index.html') Notifications
li
a(data-toggle='modal', href='#msgModal') Messages
li
a(href='docs/index.html') Docs
li
a(href='#', data-action='growl') Growl
li
a(href='login/index.html') Logout
ul.nav.navbar-nav.hidden
li
a(href='#', data-action='growl') Growl
li
a(href='/logout') Logout
#msgModal.modal.fade(tabindex='-1', role='dialog', aria-
labelledby='msgModal', aria-hidden='true')
.modal-dialog
.modal-content
.modal-header
button.close(type='button', data-dismiss='modal', aria-
hidden='true') ×
button.btn.btn-sm.btn-primary.pull-right.app-new-msg.js-
newMsg(type='button') New message
h4.modal-title Messages
.modal-body.p-a-0.js-modalBody
.modal-body-scroller
.media-list.media-list-users.list-group.js-msgGroup
a.list-group-item(href='#')
.media
span.media-left
img.img-circle.media-
object(src='assets/img/avatar-fat.jpg')
.media-body
strong Jacob Thornton
| and
strong 1 other
.media-body-secondary
| Aenean eu leo quam. Pellentesque ornare sem
lacinia quam …
.media
span.media-left
object(src='assets/img/avatar-mdo.png')
.media-body
strong Mark Otto
| and
strong 3 others
| Brunch sustainable placeat vegan bicycle
rights yeah…
.media
span.media-left
object(src='assets/img/avatar-dhg.png')
.media-body
strong Dave Gamache
rights yeah…
.media
span.media-left
.media-body
| and
strong 1 other
lacinia quam …
.media
span.media-left
.media-body
strong Mark Otto
| and
strong 3 others
rights yeah…
.media
span.media-left
.media-body
strong Dave Gamache
rights yeah…
.media
span.media-left
.media-body
| and
strong 1 other
lacinia quam …
.media
span.media-left
.media-body
strong Mark Otto
| and
strong 3 others
rights yeah…
.media
span.media-left
.media-body
strong Dave Gamache
rights yeah…
.hide.m-a.js-conversation
ul.media-list.media-list-conversation
li.media.media-current-user.m-b-md
.media-body
.media-body-text
lacinia quam venenatis vestibulum. Nulla vitae elit libero, a pharetra
augue.
| Maecenas sed diam eget risus varius blandit
sit amet non magna. Morbi leo risus, porta ac consectetur
| ac, vestibulum at eros. Sed posuere
consectetur est at lobortis.
.media-footer
small.text-muted
a(href='#') Dave Gamache
| at 4:20PM
a.media-right(href='#')
li.media.m-b-md
a.media-left(href='#')
.media-body
.media-body-text
| Cras justo odio, dapibus ac facilisis in,
egestas eget quam. Duis mollis, est non commodo luctus, nisi erat
porttitor ligula,
| eget lacinia odio sem nec elit. Praesent
commodo cursus magna, vel scelerisque nisl consectetur et.
.media-body-text
| Vestibulum id ligula porta felis euismod
semper. Aenean lacinia bibendum nulla sed consectetur. Cras justo odio,
dapibus
| ac facilisis in, egestas eget quam. Morbi leo
risus, porta ac consectetur ac, vestibulum at eros. Praesent
| commodo cursus magna, vel scelerisque nisl
consectetur et. Nullam quis risus eget urna mollis ornare
| vel eu leo. Morbi leo risus, porta ac
consectetur ac, vestibulum at eros.
.media-body-text
| Cras mattis consectetur purus sit amet
fermentum. Donec sed odio dui. Integer posuere erat a ante venenatis
dapibus posuere
| velit aliquet. Nulla vitae elit libero, a
pharetra augue. Donec id elit non mi porta gravida at eget
| metus.
.media-footer
small.text-muted
a(href='#') Fat
| at 4:28PM
li.media.m-b-md
.media-body
.media-body-text
| Etiam porta sem malesuada magna mollis
euismod. Donec id elit non mi porta gravida at eget metus. Praesent
commodo cursus
| magna, vel scelerisque nisl consectetur et.
Etiam porta sem malesuada magna mollis euismod. Morbi leo
| risus, porta ac consectetur ac, vestibulum at
eros. Aenean lacinia bibendum nulla sed consectetur.
.media-body-text
| Curabitur blandit tempus porttitor. Integer
posuere erat a ante venenatis dapibus posuere velit aliquet. Duis
mollis, est
| non commodo luctus, nisi erat porttitor
ligula, eget lacinia odio sem nec elit.
.media-footer
small.text-muted
a(href='#') Mark Otto
| at 4:20PM
li.media.media-current-user.m-b-md
.media-body
.media-body-text
lacinia quam venenatis vestibulum. Nulla vitae elit libero, a pharetra
augue.
| Maecenas sed diam eget risus varius blandit
sit amet non magna. Morbi leo risus, porta ac consectetur
| ac, vestibulum at eros. Sed posuere
.media-footer
small.text-muted
a(href='#') Dave Gamache
| at 4:20PM
a.media-right(href='#')
li.media.m-b-md
.media-body
.media-body-text
| Cras justo odio, dapibus ac facilisis in,
egestas eget quam. Duis mollis, est non commodo luctus, nisi erat
porttitor ligula,
| eget lacinia odio sem nec elit. Praesent
commodo cursus magna, vel scelerisque nisl consectetur et.
.media-body-text
| Vestibulum id ligula porta felis euismod
semper. Aenean lacinia bibendum nulla sed consectetur. Cras justo odio,
dapibus
| ac facilisis in, egestas eget quam. Morbi leo
risus, porta ac consectetur ac, vestibulum at eros. Praesent
| commodo cursus magna, vel scelerisque nisl
consectetur et. Nullam quis risus eget urna mollis ornare
| vel eu leo. Morbi leo risus, porta ac
consectetur ac, vestibulum at eros.
.media-body-text
| Cras mattis consectetur purus sit amet
fermentum. Donec sed odio dui. Integer posuere erat a ante venenatis
dapibus posuere
| velit aliquet. Nulla vitae elit libero, a
pharetra augue. Donec id elit non mi porta gravida at eget
| metus.
.media-footer
small.text-muted
a(href='#') Fat
| at 4:28PM
li.media.m-b
.media-body
.media-body-text
| Etiam porta sem malesuada magna mollis
euismod. Donec id elit non mi porta gravida at eget metus. Praesent
commodo cursus
| magna, vel scelerisque nisl consectetur et.
Etiam porta sem malesuada magna mollis euismod. Morbi leo
| risus, porta ac consectetur ac, vestibulum at
eros. Aenean lacinia bibendum nulla sed consectetur.
.media-body-text
| Curabitur blandit tempus porttitor. Integer
posuere erat a ante venenatis dapibus posuere velit aliquet. Duis
mollis, est
| non commodo luctus, nisi erat porttitor
ligula, eget lacinia odio sem nec elit.
.media-footer
small.text-muted
a(href='#') Mark Otto
| at 4:20PM
#userModal.modal.fade(tabindex='-1', role='dialog', aria-
labelledby='userModal', aria-hidden='true')
.modal-dialog
.modal-content
.modal-header
button.close(type='button', data-dismiss='modal', aria-
hidden='true') ×
h4.modal-title Users
.modal-body.p-a-0
.modal-body-scroller
ul.media-list.media-list-users.list-group
li.list-group-item
.media
img.media-object.img-
circle(src='assets/img/avatar-fat.jpg')
.media-body
button.btn.btn-default.btn-sm.pull-right
span.glyphicon.glyphicon-user
| Follow
p @fat - San Francisco
li.list-group-item
.media
circle(src='assets/img/avatar-dhg.png')
.media-body
| Follow
strong Dave Gamache
p @dhg - Palo Alto
li.list-group-item
.media
circle(src='assets/img/avatar-mdo.png')
.media-body
| Follow
strong Mark Otto
p @mdo - San Francisco
.container.p-t-md
.row
.col-md-3
.panel.panel-default.panel-profile.m-b-md
.panel-heading(style='background-image:
url(assets/img/iceland.jpg);')
.panel-body.text-center
a(href='profile/index.html')
img.panel-profile-img(src='assets/img/avatar-dhg.png')
h5.panel-title
a.text-inherit(href='profile/index.html') Dave Gamache
p.m-b-md I wish i was a little bit taller, wish i was a
baller, wish i had a girl… also.
ul.panel-menu
li.panel-menu-item
a.text-inherit(href='#userModal', data-
toggle='modal')
| Friends
h5.m-y-0 12M
li.panel-menu-item
a.text-inherit(href='#userModal', data-
toggle='modal')
| Enemies
h5.m-y-0 1
.panel.panel-default.visible-md-block.visible-lg-block
.panel-body
h5.m-t-0
| About
small
| ·
a(href='#') Edit
ul.list-unstyled.list-spaced
li
span.text-muted.icon.icon-calendar.m-r
| Went to
a(href='#') Oh, Canada
li
span.text-muted.icon.icon-users.m-r
| Became friends with
a(href='#') Obama
li
span.text-muted.icon.icon-github.m-r
| Worked at
a(href='#') Github
li
span.text-muted.icon.icon-home.m-r
| Lives in
a(href='#') San Francisco, CA
li
span.text-muted.icon.icon-location-pin.m-r
| From
a(href='#') Seattle, WA
.panel.panel-default.visible-md-block.visible-lg-block
.panel-body
h5.m-t-0
| Photos
small
| ·
a(href='#') Edit
div(data-grid='images', data-target-height='150')
div
img(data-width='640', data-height='640', data-
action='zoom', src='assets/img/instagram_5.jpg')
div
div
div
div
div
.col-md-6
ul.list-group.media-list.media-list-stream
li.media.list-group-item.p-a
.input-group
input.form-control(type='text', placeholder='Message')
.input-group-btn
button.btn.btn-default(type='button')
span.icon.icon-camera
img.media-object.img-circle(src='assets/img/avatar-
dhg.png')
.media-body
.media-heading
small.pull-right.text-muted 4 min
h5 Dave Gamache
p
| Aenean lacinia bibendum nulla sed consectetur.
Vestibulum id ligula porta felis euismod semper. Morbi leo risus, porta
ac
| consectetur ac, vestibulum at eros. Cras justo
odio, dapibus ac facilisis in, egestas eget quam. Vestibulum
| id ligula porta felis euismod semper. Cum sociis
natoque penatibus et magnis dis parturient montes, nascetur
| ridiculus mus.
.media-body-inline-grid(data-grid='images')
div(style='display: none')
img(data-action='zoom', data-width='1050', data-
height='700', src='assets/img/unsplash_1.jpg')
height='640', src='assets/img/instagram_1.jpg')
height='640', src='assets/img/instagram_13.jpg')
height='700', src='assets/img/unsplash_2.jpg')
ul.media-list.m-b
li.media
circle(src='assets/img/avatar-fat.jpg')
.media-body
strong Jacon Thornton:
| Donec id elit non mi porta
gravida at eget metus. Vivamus sagittis lacus vel augue laoreet rutrum
faucibus dolor auctor.
| Donec ullamcorper nulla non
metus auctor fringilla. Praesent commodo cursus magna, vel scelerisque
nisl
| consectetur et. Sed posuere
li.media
circle(src='assets/img/avatar-mdo.png')
.media-body
strong Mark Otto:
| Lorem ipsum dolor sit amet,
consectetur adipiscing elit. Fusce dapibus, tellus ac cursus commodo,
tortor mauris condimentum
| nibh, ut fermentum massa
justo sit amet risus.
fat.jpg')
.media-body
.media-body-text
.media-heading
h5 Jacob Thornton
p
| Donec id elit non mi porta gravida at eget metus.
Integer posuere erat a ante venenatis dapibus posuere velit aliquet.
Cum
| sociis natoque penatibus et magnis dis parturient
montes, nascetur ridiculus mus. Morbi leo risus, porta
| ac consectetur ac, vestibulum at eros. Lorem
ipsum dolor sit amet, consectetur adipiscing elit.
mdo.png')
.media-body
.media-heading
h5 Mark Otto
p
| Donec ullamcorper nulla non metus auctor fringilla.
Vestibulum id ligula porta felis euismod semper. Aenean eu leo quam.
| Pellentesque ornare sem lacinia quam venenatis
vestibulum. Etiam porta sem malesuada magna mollis euismod.
| Donec sed odio dui.
.media-body-inline-grid(data-grid='images')
img(style='display: none', data-width='640', data-
height='640', data-action='zoom', src='assets/img/instagram_3.jpg')
ul.media-list
li.media
circle(src='assets/img/avatar-dhg.png')
.media-body
strong Dave Gamache:
| Donec id elit non mi porta
gravida at eget metus. Vivamus sagittis lacus vel augue laoreet rutrum
faucibus dolor auctor.
| Donec ullamcorper nulla non
metus auctor fringilla. Praesent commodo cursus magna, vel scelerisque
nisl
| consectetur et. Sed posuere
.col-md-3
.alert.alert-warning.alert-dismissible.hidden-
xs(role='alert')
button.close(type='button', data-dismiss='alert', aria-
label='Close')
span(aria-hidden='true') ×
a.alert-link(href='profile/index.html') Visit your profile!
| Check your self, you aren't looking too good.
.panel.panel-default.m-b-md.hidden-xs
.panel-body
h5.m-t-0 Sponsored
div(data-grid='images', data-target-height='150')
img.media-object(data-width='640', data-height='640',
data-action='zoom', src='assets/img/instagram_2.jpg')
p
strong It might be time to visit Iceland.
| Iceland is so chill, and everything looks cool here.
Also, we heard
| the people are pretty nice. What are
you waiting for?
button.btn.btn-primary-outline.btn-sm Buy a ticket
.panel.panel-default.m-b-md.hidden-xs
.panel-body
h5.m-t-0
| Likes
small
| ·
a(href='#') View All
ul.media-list.media-list-stream
li.media.m-b
fat.jpg')
.media-body
| @fat
.media-body-actions
button.btn.btn-primary-outline.btn-sm
span.icon.icon-add-user
| Follow
li.media
mdo.png')
.media-body
strong Mark Otto
| @mdo
.media-body-actions
button.btn.btn-primary-outline.btn-sm
span.icon.icon-add-user
| Follow
.panel-footer
| Dave really likes these nerds, no one knows why though.
.panel.panel-default.panel-link-list
.panel-body
| © 2015 Bootstrap
a(href='#') About
a(href='#') Help
a(href='#') Terms
a(href='#') Privacy
a(href='#') Cookies
a(href='#') Ads
a(href='#') info
a(href='#') Brand
a(href='#') Blog
a(href='#') Status
a(href='#') Apps
a(href='#') Jobs
a(href='#') Advertise
script(src='assets/js/jquery.min.js')
script(src='assets/js/chart.js')
script(src='assets/js/toolkit.js')
script(src='assets/js/application.js')
script.
// execute/clear BS loaders for docs
$(function () {
if (window.BS && window.BS.loader && window.BS.loader.length) {
while (BS.loader.length) { (BS.loader.pop())() }
}
})
Proceso para resolver el problema considerado por el autor
Mapeo e ideizacion de soluciones robustas ante los hackers informáticos en una de las
formas más difíciles. El trabajo en una experiencia agradable y sencilla para el recordatorio
de contraseñas gráficas.
block
content
section.con
.overlay
.container
.row.justify-content-center
.col-md-8.p-3.mt-5
h2.text-center.display-2 Sistema de Punto de Paso
.row.h-50.justify-content-center
img(id='imageb64', style="display: none;", src=imgb64)
canvas(id='canvas', width=500, height=400)
.col-md-8.main-con.p-3.justify-content-center
.col-md-10.mb-5
.wrapper
button.btn.btn-primary.btn-block(id='btnClean')
Limpiar
.col-md-10.mb-5
.wrapper
input(type='hidden', id='saveurl',
value='/register/step2')
button.btn.btn-primary.btn-block(id='btnSave')
Guardar
p.text-center.t Victor Cueva
block scripts
script(src="/javascripts/pps2.js")
Métricas que el autor usa y resultado que obtiene. Comentar (los resultados son
mejores respecto a otros)
No muestra muchas métricas ni números precisos del uso de la tecnología, pero

investigando enlaces y graficas relacionadas a la fuente se puede obtener lo siguiente:
Costos de descifrar una contraseña
Digamos que la base de datos comprometida tenía solo un hash de contraseña único
correspondiente al administrador del sitio. La contraseña fue hash utilizando un algoritmo
hash no adecuado para la protección con contraseña (como MD5) y el atacante tiene acceso
a una computadora muy estándar con un procesador i5 y una tarjeta gráfica ATI Radeon
7970 (que, en Amazon costaría aproximadamente $ 213 y $ 443 respectivamente)
Se muestra la naturaleza exponencial del tiempo necesario para descifrar las contraseñas.
Como se puede ver, en el escenario en el que el atacante intenta descifrar la contraseña
usando solo letras mayúsculas, usando la configuración de hardware que describí
anteriormente, el atacante no podrá cubrir (al menos en dos meses) todas las
combinaciones posibles para contraseñas que tienen más de 12 caracteres de largo.
Usando el algoritmo de hashing correcto
Para trabajar con este ejemplo, retrocedamos y regresemos al escenario inicial. Una de
nuestras suposiciones era que un desarrollador utilizara un algoritmo débil (como MD5)
para descifrar las contraseñas de los usuarios. En este ejemplo, analizaremos el efecto de
seleccionar un fuerte algoritmo hash para proteger las contraseñas almacenadas.
Para el propósito de este ejemplo, usaremos las siguientes suposiciones:
La base de datos comprometida tenía solo un hash de contraseña único, el correspondiente

al administrador del sitio.
El atacante tiene acceso a una computadora muy estándar con un procesador i5 y una
tarjeta gráfica ATI Radeon 7970.
La contraseña fue almacenada usando bcrypt
Observaciones y/o críticas suyas al artículo

El autor menciona que la contraseña gráfica es más segura que la contraseña de la base de texto, sin
embargo, a la fecha hay pocos bancos que lo vienen usando en el mundo, debería indicar los
motivos por los cuales algunos bancos no lo usan.
Del mismo modo dice que es difícil para el hacker recuperar información, sin embargo, las formas
de hacking a la fecha vienen avanzando, la India y otros países a nivel de desarrollo avanzando de
diferentes formas.
Menciona que el problema del hombro surf se puede resolver mediante contraseñas gráficas, sin
embargo, al formar parte de la ingeniería social, el hombre por su habilidad de rastreo puede
encontrar formas de mirar las imágenes, mediante otro tipo de cámara. A la fecha es común y
corriente ver una pequeña muestra de esta aplicación, cuando por ejemplo quieres desbloquear un
celular.
Así como se dice que es fácil de recordar y difícil de adivinar, con una buena ingeniería social o
cámaras ocultas, se puede recordar fácilmente, el autor debería explayarse más en esto.

Paper 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Paper 2

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERIA INDUSTRIAL Y SISTEMAS

Arias Paredes, Fredy

Estado del arte que hace el autor

-Phishing: Incluye la utilización de mensajes falsos

-Spyware: Toma de datos, al ingresar al sistema operativo

- Caballo de Troya: Se incrustan al controlador del sistema para registrar las

-Skimming: Duplicación de los datos, sin que se comprometan los originales

- Riesgo crítico: Cuando hay un acceso no autorizado entre el envío de información

Enviar contraseña Recibir contraseña

Algoritmo Cifrado DES

El algoritmo cifrado de bloques estándar, fue la primera en considerarse como un algoritmo

Motivación del autor (críticas del autor a otros trabajos)

Autenticación de un solo factor o autenticación tradicional:

Generalmente se utilizan, este tipo de interfaces para el acceso de a una aplicación, en

Autenticación de dos factores:

Autenticación por multifactores:

Descripción del aporte del autor

Técnicas basadas en la recuperación:

DAS (Draw a Secret)

Esquema de la firma: El algoritmo Syurki propone el esquema de la firma. La autenticación se logra

Técnicas basadas en reconocimiento:

Esquema de Dhamija y perrig

Espacio de contraseña: N! / K! (N-K)!

Al implementar otras configuraciones geométricas especiales, es decir; triángulo y marco movible,

Paso 1: el usuario ingresa detalles

Módulo 2: proceso de selección de imágenes

1. Proceso definido por el usuario:

2. Proceso definido por el sistema:

Módulo 3: proceso de inscripción

No muestra muchas métricas ni números precisos del uso de la tecnología, pero

Costos de descifrar una contraseña

Para el propósito de este ejemplo, usaremos las siguientes suposiciones:

La base de datos comprometida tenía solo un hash de contraseña único, el correspondiente

Observaciones y/o críticas suyas al artículo

También podría gustarte