banner

Bidikey: Sistema de acreditación personal fácil y ¿seguro?

¿Qué es Bidikey?

Según sus desarrolladores se define como:
"BidiKey es un sistema de acreditación personal seguro, fácil de usar e implementar ...."
Lo primero que me llama la atención es la palabra "Acreditación", si buscamos su significado en el diccionario de la Real Academia:
1. Acción y efecto de acreditar.
2. f. Documento que acredita la condición de una persona y su facultad para desempeñar determinada actividad o cargo.
y la acción de acreditar significa:
3. tr. Dar seguridad de que alguien o algo es lo que representa o parece.
Según sus creadores, Bidikey es un sistema que permite y/o garantiza que la persona que utiliza la herramienta es quién dice ser, además permite que esta acción sea de forma segura y fácil. Es por tanto un sistema que unifica dos conceptos: Autenticidad y Autenticación, es decir, por un lado "4. f. Certificación con que se testifica la identidad y verdad de algo." y por el otro "Autoriza el acceso al servicio que protege".
 
 En definitiva:
<<BidiKey emplea códigos bidimensionales cifrados que son capturados y descifrados por el usuario mediante su teléfono móvil, una vez que ha activado la aplicación bidiapp correspondiente al servicio que vaya a emplear>>.
¿Cómo funciona?
El usuario se identifica en el servicio con su nombre de usuario. En la pantalla aparece un código bidimensional firmado y cifrado (similar a un código QR). El código bidimensional solamente lo puede descifrar el teléfono móvil que disponga de la clave del usuario.
La página web proporciona un vídeo al respecto:


Análisis


Visto así, parece un sistema orientado a facilitar el acceso a los servicios "On-line", de forma segura mediante una gestión de "claves" dinámica e innovadora. Se podría decir que el sistema podría indicar un cambio en el paradigma del "control de acceso" unificando y proporcionando un sistema ágil, seguro y fácil de utilizar para "Todos los Públicos".




Uno de los principales problemas, que se encuentra en la utilización de servicios web es la complicada gestión de las credenciales de uso, es decir, la cantidad de usuarios y password que debemos de manejar para acceder a los diferentes servicios contratados. Una de las quejas generalizadas, es la gran cantidad de password que debemos de gestionar para garantizar la seguridad de los servicios. Esto provoca en muchos casos, que personas "mayores" (y no tan mayores) tiendan a utilizar la misma contraseña para todos los servicios, ya sea el banco o su cuenta de facebook, con el consiguiente riesgo en seguridad que eso supone.

En relación a este tema, "bidikey" parece haber dado con la clave, y según sus creadores permitirá olvidarte de las password tradicionales, será el sistema quien la proporcione en cada momento. Es decir, serán password de un solo uso y con una duración determinada. 
La generación dinámica de contraseñas OTP (one time password), es decir, de contraseña de un solo uso y por lo general con un período de validez muy limitado en el tiempo (de unos segundos a unos pocos minutos, según el tipo de servicio del que se trate).
Para generar esas password utilizan los códigos QR, cuyo contenido a sido cifrado utilizando un sistema de (PKI) de clave pública / privada. Para descrifrar el código han creado una herramienta especifica para leer códigos QR en el móvil, que utiliza unos certificados personales para descifrar el contenido.

Hasta aquí la teoría, pero, existe la posibilidad realizar ciertos ataques con los códigos QR, cómo ya comente en otra ocasión, por lo que se podría pensar, ¿Qué ocurre si un atacante consigue acceso al terminal móvil que contiene las claves (PKI) aprovechando como vector de ataque un código QR manipulado?

En principio, tendría la capacidad de suplantar al usuario? y tener acceso a las contraseñas de un solo uso que se generan para dicho usuario ¿no? ¿En este caso sería igualmente util y/o seguro utilizar este sistema para todos los servicios?

En relación a esto, la empresa asegura que el sistema puede ser utilizado en un entorno "troyanizado" incluso en el terminal móvil donde se guardar los certificados de seguridad para "descifrar" los códigos QR. 

Quizás sea mi desconocimiento del suficiente detalle técnico del sistema lo que me hace desconfiar "en parte" de tales afirmaciones. Pues, si tienes el sistema troyanizado en el móvil, tienes altas probabilidades y/o es cuestión de tiempo que el troyano se actualice para ser capaz de acceder a la información de las claves de cifrado!.

Es probable, que los creadores del sistema, piensen en un sistema troyanizado básico donde el malware solamente es capaz de capturar la pantalla, modificar ciertos campos en la navegación web (troyanos bancarios), o capturar las teclas pulsadas. En ese "exclusivo" caso, esta en lo cierto, que capturar el código QR no le proporciona información de ningún tipo, y en el peor de los casos, capturar el OTP (Password de una sola vez) tampoco.

Conclusiones

Bidikey es un sistema innovador, flexible y fácil de utilizar, que proporciona y dota a los sistema de una protección adicional, y que es muy seguro que tenga una gran aceptación. No obstante, en mi humilde opinión, la seguridad "completa" del sistema pasa por la protección exhaustiva del contenedor de los certificados de la PKI que son utilizados para descifrar los códigos QR.

Y trataría de "matizar" y especificar los casos en los que el sistema es capaz de mantener la seguridad en un entorno cuya seguridad esta comprometida.

Un Saludo.

No hay comentarios :

Publicar un comentario