Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada.

Un método para conceder a un usuario, de manera selectiva, acceso a datos,

que comprende:en un servidor (22, 104) de información, la recepción de un nombre de usuario y una contraseña desde unordenador (12, 102) de usuario;

si el nombre de usuario y la contraseña son válidos, de manera transparente para el ordenador (12, 102) deusuario, la transferencia de la comunicación del ordenador de usuario a un servidor (106) de autenticación;en el servidor (106) de autenticación, la determinación de si una cookie depositada previamente en elordenador (12, 102) de usuario incluye un ID de máquina que coincide con un ID de máquina de prueba yuna clave de inicio de sesión coincide con una clave de inicio de sesión de prueba y, si es así, de maneratransparente para un usuario del ordenador (12, 102) de usuario, la transferencia de la comunicación delordenador de usuario de nuevo al servidor (22, 104) de información, la concesión al ordenador (12, 102) deusuario de un acceso a los datos, y la actualización de la clave de acceso, por el contrario, la no concesiónal ordenador de usuario de acceso a los datos en ausencia de etapas de autenticación adicionales.

Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada.

I. Campo de la Invención La presente invención se refiere, en general, a la prevención de un inicio de sesión de red no autorizado usando una contraseña robada.

II. Antecedentes de la Invención Las contraseñas son una manera utilizable desde cualquier lugar para proporcionar un mínimo nivel de autenticación a un usuario de ordenador que trata de acceder a un ordenador en red, tal como un sitio Web. Por ejemplo, la banca en línea requiere que un usuario inicie sesión en un servidor Web de una institución financiera usando un nombre de usuario y una contraseña que han sido proporcionados previamente al usuario por el servidor. De esta manera, sólo un usuario (con suerte, el verdadero dueño de la cuenta) que posee tanto el nombre de usuario como la contraseña puede acceder a la cuenta del usuario.

Como otro ejemplo, algunos servidores Web proporcionan servicios de suscripción. Por ejemplo, los usuarios pueden suscribirse a un sitio Web para recibir publicaciones de noticias, títulos de música, etc. Para garantizar que sólo los usuarios que hayan pagado la cuota de suscripción puedan acceder a los contenidos, se requiere que un usuario que pretende acceder inicie sesión con un nombre de usuario y una contraseña.

En cualquier caso, es posible que una contraseña pueda ser robada y que, consecuentemente, la información destinada únicamente para el propietario legítimo de la contraseña caiga en las manos de un ladrón de contraseñas. Algunas estimaciones para el año 2003 indican que hasta dos millones de estadounidenses han sufrido un asalto de sus cuentas bancarias en línea, con una pérdida promedio de 1.200 dólares para una pérdida total de más de dos mil millones de dólares. Una forma común en la que los ladrones consiguen el acceso es enviando correos electrónicos con aspecto oficial a los clientes del banco, solicitando nombres de usuario y contraseñas de manera que, si las peticiones ilegítimas se cumplen, se usan, a continuación, para iniciar sesión en las cuentas en línea y robarles el dinero. Habiendo reconocido el problema anterior, se proporciona la solución en la presente memoria.

III. Técnica anterior El documento US 2001/044896 Al (SCHWARTZ GIL [IL] ET AL) , 22 de Noviembre de 2001, describe una técnica para autenticar una primera parte a una segunda parte que es aplicable a las transacciones electrónicas. Además de emplear contraseñas personales, y un dispositivo operativo con parámetro de huella dactilar, se emplean dos firmas, una que es característica de la primera parte, y la otra asociada con el ordenador o el dispositivo de comunicación de la primera parte. Las firmas cambian a intervalos aleatorios, en respuesta a solicitudes de cambio realizadas por el dispositivo de la primera parte al dispositivo empleado por la segunda parte. Las firmas cambiadas invalidan las firmas anteriores, y se almacenan en los dispositivos de computación o de comunicación de ambas partes. El procedimiento de cambio autentica el ordenador o el dispositivo de comunicación, y puede autenticar también el propietario de la contraseña.

El documento US 2003/005308 Al (RATHBUN PAUL L [US] ET AL) 2 de Enero de 2003, describe un método y un sistema proporcionados para restringir el acceso de clientes a un sitio Web. Un primer servidor Web recibe un inicio de sesión de cliente y, como respuesta, asigna un cookie al cliente, la cual contiene una credencial de acceso que tiene al menos un atributo basado en el papel de cliente. Un segundo servidor Web aloja el sitio Web seguro, teniendo el sitio Web un fichero de seguridad asociado que contiene al menos un privilegio de acceso basado en el papel de cliente. En respuesta a la solicitud HTTP del cliente en el segundo servidor, la cookie es recuperada, decodificada y las credenciales de acceso se comparan con el al menos un privilegio de acceso basado en el papel de cliente. Si las credenciales de acceso tienen al menos un atributo basado en papel en común con el al menos un acceso basado en el papel de cliente al segundo sitio Web asegurado. El documento US 2004/059951 Al (PINKAS BINYAMIN [US] ET AL) , 25 de Marzo de 2004 describe sistemas y métodos proporcionados para la autenticación mediante la combinación de una Prueba de Turing Inversa (Reverse Turing Test, RTT) con protocolos de autenticación de usuarios basados en contraseña para proporcionar una mayor resistencia a los ataques por fuerza bruta. Según una realización de la invención, se proporciona un método para la autenticación de usuarios, en el que el método incluye la recepción de un par nombre de usuario/contraseña asociado con un usuario; la solicitud una o más respuestas de una primera Prueba de Turing Inversa (RTT) ; y la concesión del acceso al usuario si se recibe una respuesta válida a la primera RTT y el par nombre de usuario/contraseña es válido.

El documento US 6 047 268 A (BARTOLI PAUL D [US] ET AL) , 4 de Abril de 2000, describe un método y un 2

aparato para la autenticación de transacciones realizadas en una red de datos que utiliza una “cookie” que contiene tanto información estática (información que identifica al usuario) como información dinámica (información basada en la transacción) . La parte de información dinámica orientada a la transacción comprende un número aleatorio y un número de secuencia, en el que este último realiza un seguimiento del número de transacciones de facturación realizadas por el usuario con el número de cuenta. La cookie, enviada al fichero cookie del usuario tras una transacción previa, es válida para sólo una única transacción nueva. Un servidor de facturación, tras recibir la cookie que contiene las partes de información estática y dinámica, identifica el usuario a partir del número de cuenta en la parte estática y accede desde una base de datos asociada al número aleatorio y al número de secuencia del servidor de facturación enviados por última a ese usuario en la parte dinámica orientada a la transacción. Si la parte dinámica esperada coincide con la parte dinámica recibida, el usuario es autenticado para proceder con la transacción actual.

EXPOSICIÓN DE LA INVENCIÓN Según la presente invención, en las reivindicaciones adjuntas se exponen un método y un sistema para conceder a un usuario, de manera selectiva, acceso a los datos.

SUMARIO DE LA INVENCIÓN Un método para conceder a un usuario, de manera selectiva, acceso a los datos incluye, en un servidor Web, la recepción de un nombre de usuario y una contraseña desde un ordenador de usuario. Sin limitaciones, el servidor Web puede ser un servidor de banca en línea o un servidor de suscripción de contenido. Si el nombre y la contraseña de usuario son válidos, se accede a una cookie depositada previamente en el ordenador de usuario y el servidor determina si la cookie es válida. Sólo si la cookie, el nombre de usuario y la contraseña son válidos se concede el acceso a los datos en el ordenador de usuario. De lo contrario, se inicia un procedimiento de validación de usuario.

En realizaciones no limitativas, la cookie incluye al menos una clave de inicio de sesión y un ID de máquina. Si la cookie, el nombre de usuario y la contraseña son válidos y se concede el acceso al ordenador de usuario, una nueva cookie es descargada posteriormente en el ordenador de usuario para su uso durante el siguiente intento de inicio de sesión. La nueva cookie incluye el mismo ID de máquina que la antigua cookie, pero una clave de acceso diferente.

Si se desea, los métodos no limitativos pueden incluir además, antes de iniciar un procedimiento de validación del usuario cuando no se encuentra un cookie válida en el ordenador de usuario, la determinación de si todas las N máquinas asignadas por el servidor al usuario han accedido al servidor, donde N > 1. Si no, el servidor descarga una cookie al ordenador de usuario que está intentando el acceso, en la que esta cookie tiene un ID de máquina único y una clave de inicio de sesión única. A continuación, el servidor concede el acceso al ordenador de usuario, quizás después de una validación exitosa.

Los ejemplos no limitativos del procedimiento de validación pueden incluir el envío de un correo electrónico al usuario, en el que el correo electrónico contiene al menos un hipervínculo a un sitio Web en el que puede obtenerse una nueva cookie que es válida para acceder a los datos. El acceso al sitio Web en el que se encuentra la nueva cookie puede deshabilitarse después de que el usuario hace clic en el hipervínculo. O si no, el procedimiento de validación puede incluir una solicitud al usuario para que llame a un número de teléfono... [Seguir leyendo]

1. Un método para conceder a un usuario, de manera selectiva, acceso a datos, que comprende:

en un servidor (22, 104) de información, la recepción de un nombre de usuario y una contraseña desde un ordenador (12, 102) de usuario; si el nombre de usuario y la contraseña son válidos, de manera transparente para el ordenador (12, 102) de usuario, la transferencia de la comunicación del ordenador de usuario a un servidor (106) de autenticación; en el servidor (106) de autenticación, la determinación de si una cookie depositada previamente en el

ordenador (12, 102) de usuario incluye un ID de máquina que coincide con un ID de máquina de prueba y una clave de inicio de sesión coincide con una clave de inicio de sesión de prueba y, si es así, de manera transparente para un usuario del ordenador (12, 102) de usuario, la transferencia de la comunicación del ordenador de usuario de nuevo al servidor (22, 104) de información, la concesión al ordenador (12, 102) de usuario de un acceso a los datos, y la actualización de la clave de acceso, por el contrario, la no concesión al ordenador de usuario de acceso a los datos en ausencia de etapas de autenticación adicionales.

2. Método según la reivindicación 1, en el que si el ID de máquina no coincide con el ID de máquina de prueba, se ejecutan etapas de autenticación adicionales.

3. Método según la reivindicación 1, en el que si el ID de la máquina coincide con el ID de máquina de prueba, pero la clave de inicio de sesión no coincide con la clave de inicio de sesión de prueba, no se ejecutan etapas de autenticación adicionales y una cuenta asociada con el usuario es deshabilitada.

4. Método según la reivindicación 2, en el que las etapas de autenticación adicionales incluyen el envío de un código PIN a un teléfono inalámbrico asociado con el usuario, y la recepción desde el ordenador de usuario el código PIN desde el usuario obtenido desde el teléfono inalámbrico.

5. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor de banca en línea. 30

6. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor de comercio electrónico.

7. Método según la reivindicación 1, en el que el servidor (22, 104) de información es un servidor VPN. 35

8. Sistema de autenticación para al menos un ordenador (12, 102) de usuario asociado con un usuario, que comprende un servidor (22, 104) de información y un servidor (106) de autenticación, cada uno configurado para efectuar el método de cualquiera de las reivindicaciones 1 a 7.