domingo, octubre 01, 2017

Un OTP con "No Repudio" biométrico basado en voz usando Latch

Hace ya un tiempo, en ElevenPaths estuvimos evaluando meter en Latch una capacidad que al final decidimos dejar fuera del roadmap del producto principal. Se trata de la implementación de una protección del Token OTP (One-Time Password) que se entrega vía Latch para garantizar el No Repudio.

Figura 1: Un OTP con "No Repudio" biométrico basado en voz usando Latch

La idea es bastante sencilla. Cuando una aplicación envía vía Latch un código OTP como forma de firmar un transacción - en lugar de utilizar por ejemplo un SMS -, como se hace en la implementación de algunos bancos, existe la posibilidad de que una persona, que no sea la que es dueña del terminal, acceda a ese valor. Eso lo hemos visto en muchos casos en los que alguien puede acceder al contenido de un SMS utilizando las opciones de previsualización, como en el "truco de bar para robar cuentas de Gmail".
Para evitar esto empezamos a pensar en cómo sería utilizar un Tercer Factor de Autenticación para garantizar el No Repudio. Es decir, para garantizar que el el Token OTP había sido visto solo por el autentico dueño del terminal, y para eso comenzamos a trabajar en un esquema basado en biometría de voz.

Figura 3: Esquema de funcionamiento de OTP basado en biometría de voz

La idea es bastante sencilla. Se trata de enviar un desafío que debe ser leído por la persona que quiere acceder al Token OTP. Si su firma biométrica de voz coincide con la que se tiene almacenada, entonces se le entrega el valor OTP que debe utilizar para firmar la transacción que sea. Es decir, una forma de garantizar el No Repudio de una determinada operación.


Esta semana os publicaremos en el blog de ElevenPaths el vídeo de la implementación que hicimos que, como os digo, se quedó fuera del producto principal de Latch. Mientras tanto, tenéis el paper que escribimos con dicho trabajo en el SlideShare de ElevenPaths, y lo tenéis publicado aquí.

Saludos Malignos!

1 comentario:

Antonio Dominguez dijo...

Genial idea! Como usuario de Latch me encantaría esta opción. ¿Llegará a estar disponible en un futuro cercano? Saludos.

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares