Administración de contraseñas utilizando hardware con Arduino

Nuestros compañeros de ESET en Latinoamérica han publicado un interesante artículo sobre una aplicación de la plataforma Arduino para gestionar contraseñas. Estos sistemas se van a volver cada vez más populares, y reproducimos aquí el artículo de Gastón Charkiewicz.

La 30° edición del Chaos Communication Congress se ha llevado a cabo hace unos días, y en ella se han presentado ideas y proyectos muy interesantes. Uno de ellos es calc.pw, un proyecto de hardware desarrollado con Arduino que presenta una nueva alternativa a la generación, administración y protección de contraseñas.

Más y mejores contraseñas, más difícil administrarlas

Mucho se ha tratado el tema de contraseñas y su administración de forma segura. De hecho, en este blog hemos hablado acerca de cómo construir una contraseña segura, y además, hemos visto que descubrir una contraseña demasiado corta puede realizarse en unos pocos segundos. También hemos considerado que ante la utilización de distintos servicios, el mejor de los casos es utilizar una contraseña distinta para cada uno de ellos. Ahora, ¿qué hacer con tantas contraseñas? La cantidad de información que el ser humano puede recordar es limitada, y tener contraseñas robustas para distintos servicios se hace una tarea muy complicada, porque recordarlas todas se hace imposible.

Una herramienta que se enfoca en simplificar esa problemática es calc.pw. Esta consta de una placa Arduino, un host USB y un circuito relativamente simple que se conecta entre el teclado y la computadora. Permite la generación bajo demanda de contraseñas y se encarga de suministrarlas en el momento de ser utilizadas. A continuación, pueden observar una foto (imagen tomada de la página del proyecto):

arduino

Imaginemos un caso de uso con un usuario que desea crear una contraseña para utilizar en una red social. Los pasos que llevará a cabo son los siguientes:

  • En caso de que el dispositivo esté apagado, el usuario deberá encenderlo e ingresar su clave maestra. Esta tiene como finalidad proteger las contraseñas ya almacenadas. Una vez terminado el proceso de autenticación, el dispositivo por defecto transmitirá todas las teclas presionadas a la computadora.
  • La combinación de teclas Control + Esc hará que la herramienta cambie al modo de generación de contraseñas. En este, el usuario deberá ingresar información como el nombre asociado a la contraseña (puede ser “cuenta de Twitter”, por ejemplo) o incluso el tamaño de la contraseña, que puede variar de 3 a 50 caracteres.
  • Una vez ingresados los datos relativos a la contraseña, ya estará disponible para su utilización junto con las otras que se encuentren almacenadas en el dispositivo. De esta forma, el usuario se desliga del conocimiento de la contraseña, y podrá solicitarla bajo demanda del dispositivo.

Si bien la herramienta se presenta de una forma muy útil para desligarse de la manipulación de contraseñas y evitar ataques de robos de estas, hay algunos aspectos negativos a tener en cuenta: las memorias flash y RAM limitadas del dispositivo utilizado para su implementación y, sobre todo, su utilización con dispositivos móviles. En este último caso, no sería posible utilizar una contraseña generada con esta herramienta en este tipo de dispositivos, ya que no habría forma de vincularla con ellos. Recordemos además que almacenar todas las contraseñas en una única herramienta podría representar un gran problema en caso de que, por ejemplo, se borrara su memoria. Estas últimas consideraciones pueden parecer excesivas, pero de todas formas la herramienta presenta una gran solución para casos específicos, como la utilización de contraseñas únicamente en computadoras de escritorio o en sistemas específicos donde proveer contraseñas personales a usuarios sería riesgoso.

Gastón N. Charkiewicz
Especialista de Awareness & Research

Pat Garratt: “los ‘jugones’ siempre serán una presa fácil para los ciberdelincuentes, pero no es nuestra culpa”.