Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada.
Un método para conceder a un usuario, de manera selectiva, acceso a datos,
que comprende:en un servidor (22, 104) de información, la recepción de un nombre de usuario y una contraseña desde unordenador (12, 102) de usuario;
si el nombre de usuario y la contraseña son válidos, de manera transparente para el ordenador (12, 102) deusuario, la transferencia de la comunicación del ordenador de usuario a un servidor (106) de autenticación;en el servidor (106) de autenticación, la determinación de si una cookie depositada previamente en elordenador (12, 102) de usuario incluye un ID de máquina que coincide con un ID de máquina de prueba yuna clave de inicio de sesión coincide con una clave de inicio de sesión de prueba y, si es así, de maneratransparente para un usuario del ordenador (12, 102) de usuario, la transferencia de la comunicación delordenador de usuario de nuevo al servidor (22, 104) de información, la concesión al ordenador (12, 102) deusuario de un acceso a los datos, y la actualización de la clave de acceso, por el contrario, la no concesiónal ordenador de usuario de acceso a los datos en ausencia de etapas de autenticación adicionales.
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2005/017093.
Solicitante: Anakam, Inc.
Nacionalidad solicitante: Estados Unidos de América.
Dirección: 9171 Town Centre Drive Suite 460 San Diego, CA 92122 ESTADOS UNIDOS DE AMERICA.
Inventor/es: CAMAISA,ALLAN, SAMUELSSON,JONAS.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L9/00 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › Disposiciones para las comunicaciones secretas o protegidas.
PDF original: ES-2420158_T3.pdf
Fragmento de la descripción:
Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada.
I. Campo de la Invención La presente invención se refiere, en general, a la prevención de un inicio de sesión de red no autorizado usando una contraseña robada.
II. Antecedentes de la Invención Las contraseñas son una manera utilizable desde cualquier lugar para proporcionar un mínimo nivel de autenticación a un usuario de ordenador que trata de acceder a un ordenador en red, tal como un sitio Web. Por ejemplo, la banca en línea requiere que un usuario inicie sesión en un servidor Web de una institución financiera usando un nombre de usuario y una contraseña que han sido proporcionados previamente al usuario por el servidor. De esta manera, sólo un usuario (con suerte, el verdadero dueño de la cuenta) que posee tanto el nombre de usuario como la contraseña puede acceder a la cuenta del usuario.
Como otro ejemplo, algunos servidores Web proporcionan servicios de suscripción. Por ejemplo, los usuarios pueden suscribirse a un sitio Web para recibir publicaciones de noticias, títulos de música, etc. Para garantizar que sólo los usuarios que hayan pagado la cuota de suscripción puedan acceder a los contenidos, se requiere que un usuario que pretende acceder inicie sesión con un nombre de usuario y una contraseña.
En cualquier caso, es posible que una contraseña pueda ser robada y que, consecuentemente, la información destinada únicamente para el propietario legítimo de la contraseña caiga en las manos de un ladrón de contraseñas. Algunas estimaciones para el año 2003 indican que hasta dos millones de estadounidenses han sufrido un asalto de sus cuentas bancarias en línea, con una pérdida promedio de 1.200 dólares para una pérdida total de más de dos mil millones de dólares. Una forma común en la que los ladrones consiguen el acceso es enviando correos electrónicos con aspecto oficial a los clientes del banco, solicitando nombres de usuario y contraseñas de manera que, si las peticiones ilegítimas se cumplen, se usan, a continuación, para iniciar sesión en las cuentas en línea y robarles el dinero. Habiendo reconocido el problema anterior, se proporciona la solución en la presente memoria.
III. Técnica anterior El documento US 2001/044896 Al (SCHWARTZ GIL [IL] ET AL) , 22 de Noviembre de 2001, describe una técnica para autenticar una primera parte a una segunda parte que es aplicable a las transacciones electrónicas. Además de emplear contraseñas personales, y un dispositivo operativo con parámetro de huella dactilar, se emplean dos firmas, una que es característica de la primera parte, y la otra asociada con el ordenador o el dispositivo de comunicación de la primera parte. Las firmas cambian a intervalos aleatorios, en respuesta a solicitudes de cambio realizadas por el dispositivo de la primera parte al dispositivo empleado por la segunda parte. Las firmas cambiadas invalidan las firmas anteriores, y se almacenan en los dispositivos de computación o de comunicación de ambas partes. El procedimiento de cambio autentica el ordenador o el dispositivo de comunicación, y puede autenticar también el propietario de la contraseña.
El documento US 2003/005308 Al (RATHBUN PAUL L [US] ET AL) 2 de Enero de 2003, describe un método y un sistema proporcionados para restringir el acceso de clientes a un sitio Web. Un primer servidor Web recibe un inicio de sesión de cliente y, como respuesta, asigna un cookie al cliente, la cual contiene una credencial de acceso que tiene al menos un atributo basado en el papel de cliente. Un segundo servidor Web aloja el sitio Web seguro, teniendo el sitio Web un fichero de seguridad asociado que contiene al menos un privilegio de acceso basado en el papel de cliente. En respuesta a la solicitud HTTP del cliente en el segundo servidor, la cookie es recuperada, decodificada y las credenciales de acceso se comparan con el al menos un privilegio de acceso basado en el papel de cliente. Si las credenciales de acceso tienen al menos un atributo basado en papel en común con el al menos un acceso basado en el papel de cliente al segundo sitio Web asegurado. El documento US 2004/059951 Al (PINKAS BINYAMIN [US] ET AL) , 25 de Marzo de 2004 describe sistemas y métodos proporcionados para la autenticación mediante la combinación de una Prueba de Turing Inversa (Reverse Turing Test, RTT) con protocolos de autenticación de usuarios basados en contraseña para proporcionar una mayor resistencia a los ataques por fuerza bruta. Según una realización de la invención, se proporciona un método para la autenticación de usuarios, en el que el método incluye la recepción de un par nombre de usuario/contraseña asociado con un usuario; la solicitud una o más respuestas de una primera Prueba de Turing Inversa (RTT) ; y la concesión del acceso al usuario si se recibe una respuesta válida a la primera RTT y el par nombre de usuario/contraseña es válido.
El documento US 6 047 268 A (BARTOLI PAUL D [US] ET AL) , 4 de Abril de 2000, describe un método y un 2
aparato para la autenticación de transacciones realizadas en una red de datos que utiliza una “cookie” que contiene tanto información estática (información que identifica al usuario) como información dinámica (información basada en la transacción) . La parte de información dinámica orientada a la transacción comprende un número aleatorio y un número de secuencia, en el que este último realiza un seguimiento del número de transacciones de facturación realizadas por el usuario con el número de cuenta. La cookie, enviada al fichero cookie del usuario tras una transacción previa, es válida para sólo una única transacción nueva. Un servidor de facturación, tras recibir la cookie que contiene las partes de información estática y dinámica, identifica el usuario a partir del número de cuenta en la parte estática y accede desde una base de datos asociada al número aleatorio y al número de secuencia del servidor de facturación enviados por última a ese usuario en la parte dinámica orientada a la transacción. Si la parte dinámica esperada coincide con la parte dinámica recibida, el usuario es autenticado para proceder con la transacción actual.
EXPOSICIÓN DE LA INVENCIÓN Según la presente invención, en las reivindicaciones adjuntas se exponen un método y un sistema para conceder a un usuario, de manera selectiva, acceso a los datos.
SUMARIO DE LA INVENCIÓN Un método para conceder a un usuario, de manera selectiva, acceso a los datos incluye, en un servidor Web, la recepción de un nombre de usuario y una contraseña desde un ordenador de usuario. Sin limitaciones, el servidor Web puede ser un servidor de banca en línea o un servidor de suscripción de contenido. Si el nombre y la contraseña de usuario son válidos, se accede a una cookie depositada previamente en el ordenador de usuario y el servidor determina si la cookie es válida. Sólo si la cookie, el nombre de usuario y la contraseña son válidos se concede el acceso a los datos en el ordenador de usuario. De lo contrario, se inicia un procedimiento de validación de usuario.
En realizaciones no limitativas, la cookie incluye al menos una clave de inicio de sesión y un ID de máquina. Si la cookie, el nombre de usuario y la contraseña son válidos y se concede el acceso al ordenador de usuario, una nueva cookie es descargada posteriormente en el ordenador de usuario para su uso durante el siguiente intento de inicio de sesión. La nueva cookie incluye el mismo ID de máquina que la antigua cookie, pero una clave de acceso diferente.
Si se desea, los métodos no limitativos pueden incluir además, antes de iniciar un procedimiento de validación del usuario cuando no se encuentra un cookie válida en el ordenador de usuario, la determinación de si todas las N máquinas asignadas por el servidor al usuario han accedido al servidor, donde N > 1. Si no, el servidor descarga una cookie al ordenador de usuario que está intentando el acceso, en la que esta cookie tiene un ID de máquina único y una clave de inicio de sesión única. A continuación, el servidor concede el acceso al ordenador de usuario, quizás después de una validación exitosa.
Los ejemplos no limitativos del procedimiento de validación pueden incluir el envío de un correo electrónico al usuario, en el que el correo electrónico contiene al menos un hipervínculo a un sitio Web en el que puede obtenerse una nueva cookie que es válida para acceder a los datos. El acceso al sitio Web en el que se encuentra la nueva cookie puede deshabilitarse después de que el usuario hace clic en el hipervínculo. O si no, el procedimiento de validación puede incluir una solicitud al usuario para que llame a un número de teléfono... [Seguir leyendo]
Reivindicaciones:
1. Un método para conceder a un usuario, de manera selectiva, acceso a datos, que comprende:
en un servidor (22, 104) de información, la recepción de un nombre de usuario y una contraseña desde un ordenador (12, 102) de usuario; si el nombre de usuario y la contraseña son válidos, de manera transparente para el ordenador (12, 102) de usuario, la transferencia de la comunicación del ordenador de usuario a un servidor (106) de autenticación; en el servidor (106) de autenticación, la determinación de si una cookie depositada previamente en el
ordenador (12, 102) de usuario incluye un ID de máquina que coincide con un ID de máquina de prueba y una clave de inicio de sesión coincide con una clave de inicio de sesión de prueba y, si es así, de manera transparente para un usuario del ordenador (12, 102) de usuario, la transferencia de la comunicación del ordenador de usuario de nuevo al servidor (22, 104) de información, la concesión al ordenador (12, 102) de usuario de un acceso a los datos, y la actualización de la clave de acceso, por el contrario, la no concesión al ordenador de usuario de acceso a los datos en ausencia de etapas de autenticación adicionales.
2. Método según la reivindicación 1, en el que si el ID de máquina no coincide con el ID de máquina de prueba, se ejecutan etapas de autenticación adicionales.
3. Método según la reivindicación 1, en el que si el ID de la máquina coincide con el ID de máquina de prueba, pero la clave de inicio de sesión no coincide con la clave de inicio de sesión de prueba, no se ejecutan etapas de autenticación adicionales y una cuenta asociada con el usuario es deshabilitada.
4. Método según la reivindicación 2, en el que las etapas de autenticación adicionales incluyen el envío de un código PIN a un teléfono inalámbrico asociado con el usuario, y la recepción desde el ordenador de usuario el código PIN desde el usuario obtenido desde el teléfono inalámbrico.
5. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor de banca en línea. 30
6. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor de comercio electrónico.
7. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor VPN. 35
8. Sistema de autenticación para al menos un ordenador (12, 102) de usuario asociado con un usuario, que comprende un servidor (22, 104) de información y un servidor (106) de autenticación, cada uno configurado para efectuar el método de cualquiera de las reivindicaciones 1 a 7.
Patentes similares o relacionadas:
Procedimiento de protección de circuitos electrónicos contra interceptación por análisis de potencia y circuito electrónico que usa el mismo, del 3 de Junio de 2020, de Winbond Electronics Corp: Un circuito electrónico con protección contra interceptación por análisis de potencia, que comprende: un elemento de almacenamiento […]
Método de codificación por señales acústicas aleatorias y método de transmisión asociado, del 27 de Mayo de 2020, de CopSonic: Método de codificación de símbolos de información que pertenecen a un alfabeto (A) por medio de señales acústicas, que comprende las siguientes etapas: (a) se adquieren […]
METODO PARA LA CREACION DE UNA IDENTIDAD DIGITAL EN BLOCKCHAIN BASADO EN LA FIRMA ELECTRONICA, del 19 de Marzo de 2020, de SIGNE, S.A.: Método para la creación de una identidad digital en blockchain basado en la firma electrónica que contempla la generación de la identidad digital en la que se crea […]
Método de consulta confidencial de una base de datos cifrada, del 18 de Marzo de 2020, de COMMISSARIAT A L'ENERGIE ATOMIQUE ET AUX ENERGIES ALTERNATIVES: Método de consulta confidencial de una base de datos alojada por un servidor, conteniendo la base de datos una tabla de registros, obteniéndose cada registro por medio de un […]
Algoritmo criptográfico con etapa de cálculo enmascarada dependiente de clave (llamada de SBOX), del 12 de Febrero de 2020, de Giesecke+Devrient Mobile Security GmbH: Unidad de procesador con una implementación ejecutable implementada en la misma de un algoritmo criptográfico (AES, DES), que está configurado para, […]
Procedimiento de securización y de autentificación de una telecomunicación, del 1 de Enero de 2020, de Airbus CyberSecurity SAS: Procedimiento de comunicación entre dos entidades comunicantes, generando una primera entidad comunicante un mensaje de datos que comprende datos útiles […]
Procedimiento y dispositivo de autenticación de entidad, del 20 de Noviembre de 2019, de CHINA IWNCOMM CO., LTD: Un procedimiento para autenticar una entidad, comprendiendo el procedimiento: la operación 1 de transmitir, por una entidad A, un primer mensaje […]
Generación de firma digital, del 6 de Noviembre de 2019, de NAGRAVISION S.A.: Metodo para firmar digitalmente un mensaje, donde el metodo comprende: a) obtener parametros de dominio que definen un grupo asociado a una operacion de grupo […]