[go: up one dir, main page]

ES2279933T3 - Sistema y procedimiento de autenticacion en base al reconocimiento de modelos parciales aleatorios. - Google Patents

Sistema y procedimiento de autenticacion en base al reconocimiento de modelos parciales aleatorios. Download PDF

Info

Publication number
ES2279933T3
ES2279933T3 ES03258077T ES03258077T ES2279933T3 ES 2279933 T3 ES2279933 T3 ES 2279933T3 ES 03258077 T ES03258077 T ES 03258077T ES 03258077 T ES03258077 T ES 03258077T ES 2279933 T3 ES2279933 T3 ES 2279933T3
Authority
ES
Spain
Prior art keywords
data
fields
construction
input
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03258077T
Other languages
English (en)
Inventor
Len L. Mizrah
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Authernative Inc
Original Assignee
Authernative Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Authernative Inc filed Critical Authernative Inc
Application granted granted Critical
Publication of ES2279933T3 publication Critical patent/ES2279933T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)
  • Collating Specific Patterns (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Un procedimiento interactivo para la autenticación de un cliente, que comprende: almacenar un conjunto ordenado de campos de datos en una memoria, incluyendo los campos de datos de dicho conjunto ordenado unos respectivos contenidos de campos, incluyendo los contenidos de campos de los campos de datos dentro de un conjunto ordenado al menos un objeto de datos; identificar (1100) al cliente, a través de un medio (1020) de comunicación de datos, las posiciones dentro de un conjunto ordenado de un subconjunto aleatorio de campos de datos entre dicho conjunto ordenado almacenado; aceptar (1110) los datos de entrada (2130, 2150) provinentes del cliente a través de un medio (1020) de comunicación, identificando los datos de entrada los objetos de datos correspondientes a los contenidos de campos para los campos de datos correspondientes dentro del subconjunto aleatorio del conjunto ordenado almacenado; determinar (1120) si los datos de entrada (2130, 2150) coinciden con los contenidos de campos de los correspondientes campos de datos dentro del subconjunto aleatorio; y caracterizado porque los contenidos de campos de al menos uno de los campos de datos entre el conjunto ordenado incluyen más de un objeto de datos.

Description

Sistema y procedimiento de autenticación en base al reconocimiento de modelos parciales aleatorios.
Antecedentes de la invención Campo de la invención
La invención se refiere, en general, al campo de los sistemas de control de acceso de seguridad a la red y a la computadora y, más concretamente, al campo de los sistemas de autenticación en arquitecturas de red cliente
- servidor, en arquitecturas de par a par de hardwarde y otras arquitecturas.
Descripción de la técnica relacionada
El procedimiento de autenticación de usuario más ampliamente utilizado se designa en la presente memoria como algoritmo de Reconocimiento de Contraseñas Estáticas Estándar (SSPR). El algoritmo SSPR simplemente requiere que un usuario introduzca un nombre de usuario y una contraseña de autenticación.
Los usuarios típicos seleccionan las contraseñas para el SSPR dentro de un "nivel de comodidad" de complejidad con fines de memorización, generalmente dentro de un margen de longitud de caracteres de uno a siete (u ocho) caracteres alfanuméricos. A menudo, la contraseña es una simple palabra o un número entero (como "patriota", "Londres", 11223344, etc.). El avance tecnológico y las exigencias de seguridad de la sociedad industrial contemporánea, conducen, al menos, a dos cuestiones serias relacionadas con la seguridad de las contraseñas típicas del SSPR, incluyendo:
1.
Un intruso puede emplear una técnica de fuerza bruta, conocida como ataque del Diccionario, consistente en probar sucesivamente todas las palabras de una lista exhaustiva contra un fichero de contraseñas. Cada palabra intentada consecutiva resulta encriptada utilizando el mismo algoritmo que está utilizando el programa de inicio de sesión objeto de ataque. Los ataques del Diccionario, aplicados ya sea a contraseñas resumidas, interceptadas en las líneas de comunicación, o directamente en los dispositivos de entrada de las contraseñas, permiten una remodificación técnica de las contraseñas bastante fácil.
2.
Otra cuestión está relacionada con las capacidades combinatorias de las contraseñas de las contraseñas típicas que están dentro de un "nivel de comodidad" de complejidad para la mayoría de los usuarios.
Para grandes organizaciones, puede no ser suficiente un margen de contraseñas dentro de dicho nivel de comodidad.
Las soluciones típicas a nivel de empresa (políticas de departamento de TI de grandes empresas) al dar respuesta a las cuestiones 1 y 2 anteriores, requieren que los usuarios tengan al menos de 4 a 5 (o más) contraseñas alfanuméricas con caracteres de caja sensible, que no deben ser simples palabras (sino algo como: 1patRIOTA, Lon7DRES, etc.). Este método conduce a múltiples reposiciones de las contraseñas por parte de los usuarios que olvidan o pierden sus contraseñas, reposiciones que se han convertido en obstáculos bastante costosos y engorrosos para organizaciones y empresas (o compañías de servicios) que aspiran a niveles de seguridad más elevados.
Una consideración objetiva muestra que el número mínimo de caracteres de una contraseña está limitado como poco por dos factores: las necesarias capacidades combinatorias y la elevada susceptibilidad a ataques combinatorios. El máximo número de caracteres en contraseñas estáticas está limitado por el "nivel de comodidad" de menorización por parte de los usuarios. Tarde o temprano, se termina con un margen de 4 a 8 caracteres alfanuméricos (sin sensibilidad de caja de los caracteres) o de 3 a 7 caracteres alfanuméricos (con sensibilidad de caja de los caracteres). Hasta hace poco, las organizaciones y las empresas (o compañías de servicios) han tolerado estas deficiencias bien conocidas debido a la sencillez relativa, bajo coste, y a la amplia adopción de la tecnología de autenticación de usuario SSPR.
Mientras tanto, nuevas necesidades están obligando a los programas de la industria de seguridad (Autenticación - Autorización - Cuenta) (Authentication - Authorization - Accounting (AAA o 3A), programas Encryption, Enterprise Software, Financial Service Providers, etc.) a reconsiderar la tecnología de autenticación de usuario en base al SSPR:
1.
La primera cuestión es el avance de la potencia de procesamiento de datos de chips CIAE (ASIC) que hace que sean mucho más eficaces los ataques combinatorios que fuerzan la entrada de las contraseñas estáticas. La línea obvia de defensa sería incrementar las longitudes de las contraseñas estáticas. Desgraciadamente, como hemos ya expuesto, esta capacidad está ya bastante limitada por el "nivel de comodidad" de los usuarios. En consecuencia, los sistemas de seguridad en base al SSPR parecen estar entre Escila y Caribdis, en cuanto que la longitud mínima de las contraseñas (3 a 4 caracteres alfanuméricos) debe incrementarse para soportar ataques combinatorios cada vez más eficaces, pero al mismo tiempo la total longitud de las contraseñas estáticas debe permanecer sin modificaciones y limitada a un margen de 6 a 7 caracteres alfanuméricos, debido a las limitaciones de memoria de los seres humanos.
2.
Por otro lado, una serie de problemas de seguridad que surgen en sistemas a gran escala, como deficiencias en los sistemas de votación de los estados/países, fraude de las tarjetas de crédito, violaciones de la privacidad y seguridad de los bancos de datos sanitarios y de organizaciones de servicios financieros, las vulnerabilidades de los sistemas operativos, Microsoft 2000 y XP, etc., han llevado a la necesidad de mejorar o reconstruir los sistemas de seguridad a gran escala. La evolución de estos sistemas requerirá a no mucho tardar una capacidad combinatoria de las contraseñas estáticas mucho más elevada de lo que pueda requerirse a nivel de organización/empresa. Suponiendo que existan aproximadamente 10 millones de usuarios a nivel de estado (federado) y aproximadamente 100 millones de usuarios en toda la nación, se necesitan unas contraseñas que tenga al menos 5 caracteres para un sistema de extensión estatal, y unas contraseñas que tengan al menos 6 caracteres para sistemas de seguridad basados en contraseñas de amplitud nacional (suponiendo que no hay sensibilidad de caja de los caracteres, o 4 o 5 caracteres, respectivamente, en el caso de que exista sensibilidad de caja de los caracteres). A medida que avanza la potencia de procesamiento en manos de los piratas informáticos, el tamaño mínimo de las contraseñas para un sistema de seguridad se aproxima o supera el "nivel de comodidad".
3.
Una vez que los sistemas de seguridad nacionales, las bases de datos y los diversos mercados resulten integrados internacionalmente (por ejemplo los EE.UU y la UE), el número de usuarios que requiera contraseñas específicas se incrementa hasta el punto de que la capacidad combinatoria de dichos sistemas requeriría al menos 6 caracteres alfanuméricos (contraseñas con sensibilidad de caja) o 7 para sistemas sin sensibilidad de caja de los caracteres.
De acuerdo con ello, el SSPR está alcanzado los límites de su aplicación práctica en relación con los sistemas de seguridad a gran escala en base a contraseñas estáticas. Eso explica la seria atención recientemente prestada a los procedimientos alternativos de autenticación de usuario de alta seguridad, como la biométrica, los testigos, y las tarjetas inteligentes. De estas técnicas, la biométrica es el único verdadero procedimiento de autenticación de usuario. Los demás pueden ser una parte de los sistemas de autenticación de usuario, pero son insuficientes por sí mismos.
Desgraciadamente, la biométrica es mucho más costosa y difícil de desarrollar, que los sistemas basados en el SSPR. Así mismo, existe un rechazo generalizado considerable contra los procedimientos de autenticación biométricos debido a consideraciones religiosas y culturales. Otra preocupación seria, en el caso de utilización de la biométrica, es la seguridad de los datos biométricos privados. Una vez sustraídos, los datos biométricos pueden ser utilizados siempre para suplantar a la persona de la que se han tomado los datos.
B. Ataques contra los Sistemas basados en el SSPR
Además de los diversos problemas anteriormente enumerados, la tecnología de las contraseñas estáticas es totalmente vulnerable a una serie de ataques, y la defensa contra dichos ataques tiene un alcance limitado. Algunos de los posibles ataques y defensas contra los ataques incluyen los siguientes:
1. Adivinación de Contraseña
\bullet
Un intruso intenta iniciar la sesión con un nombre de usuario real efectuando al tiempo adivinaciones de contraseña en base al conocimiento personal del usuario.
\bullet
Defensa - cierre automático de la sesión después de varios intentos fallidos; posible revocación de cuenta o reposición forzada de contraseña
2. Grabación en Vídeo del Inicio de Sesión
\bullet
Determinados microsensores de audio y vídeo ampliamente disponibles, y otras herramientas, facilitan las observaciones ocultas. El vídeo -y/o audio- registro es posible desde una distancia considerable en cualquier momento del día, poniendo en peligro las contraseñas o PINS secretas introducidas por los usuarios en línea de una red o computadora en emplazamientos públicos (máquinas CJA [ATM]; clientes en Punto - De - Ventas; terminales de Internet ofrecidos en diversas conferencias, cafés, bibliotecas; empleados que comparten grandes oficinas con terminales de computadora de escritorio al alcance visual de todo el mundo, y otros lugares)
\bullet
Defensa - no existe tecnología de protección estándar, excepto ser vigilante.
3."Mirada por Encima del Hombro"
\bullet
Un intruso en las proximidades observa al usuario legítimo introducir la contraseña.
\bullet
Defensa - no existe tecnología de protección estándar excepto la presentación en pantalla de caracteres ficticios de eco y diferentes series de ellos.
4. Ingeniería Social
\bullet
Un intruso pretende ser un administrador o un usuario real que solicita la divulgación/reposición de la contraseña.
\bullet
Defensa - política de no divulgación/reposición.
5. Caballo de Troya
\bullet
Software bajado oculto aparentando un inicio de sesión estándar pero recogiendo en su lugar nombres de usuarios y contraseñas.
\bullet
Defensa - es posible alguna protección por parte de usuarios vigilantes y administradores con protección antivirus y software de detección de intrusiones.
6. Control de Pulsaciones
\bullet
Software bajado de forma secreta que guarda un registro de todas las pulsaciones
\bullet
Defensa - los empleados están indefensos, si el empleador es el que origina el ataque; la protección legal es una posible alternativa.
7. Artistas del Engaño
\bullet
Pueden entender la contraseña aunque estén bastante lejos del usuario real y tengan especiales dotes/ entrenamiento de observación/audición.
\bullet
Defensa - no existe tecnología de protección estándar excepto ser vigilante.
8. Husmeo de Red
\bullet
Un intruso registra nombres y contraseñas de usuario mientras está en tránsito sobre las líneas de comunicación.
\bullet
Defensa - protocolos de encriptación: Kerberos, SSL, IPsec; respuesta de desafío, contraseñas de un solo uso con testigos o tarjetas inteligentes; biométricas en lugar de contraseñas.
9. Husmeo de Memoria de Báfer de Teclado
\bullet
Algunos sistemas operativos de escritorio no tienen protección de hardware contra contraseñas que copian el software de los intrusos a partir de un báfer de teclado.
\bullet
Defensa - no existe protección estándar excepto fabricar una protección de hardware a nivel de microprocesador.
10. Robo de Ficheros de Contraseñas
\bullet
Cada nombre de usuario tiene una entrada de contraseña en una forma resumida que puede ser leída.
\bullet
Defensa - se utiliza el algoritmo Needham-Guy: cada contraseña es una clave de encriptación para que ella misma sea encriptada por resumen.
Todos los ataques relacionados pueden dividirse en tres diferentes categorías:
ataques a las líneas de comunicación (8, ataque del diccionario), ataques a los dispositivos de entrada/salida (1, 2, 3, 4, 5, 6, 7, 9) y ataques a las bases de datos (10).
C. Necesidades de Seguridad Incrementada
Como se ha puesto en evidencia mediante la lista de los ataques relacionados, la tecnología de seguridad SSPR es vulnerable a determinadas violaciones de seguridad bien conocidas. El SSPR se basa en "lo que el usuario sabe", por oposición a otros factores de autenticación basados en "lo que el usuario tiene" (por ejemplo, testigos de hardware), o "lo que el usuario es" (como por ejemplo rasgos biométricos, como huellas dactilares, cara, ojo, y reconocimiento de voz). Es bien conocido que los sistemas de autenticación basados en "lo que el usuario sabe" son los más atractivos debido a que son baratos, fáciles de manejar, fácilmente desplegables electrónicamente, y no requieren hardware adicional, por oposición a otros factores de autenticación. Por eso es por lo que se han hecho numerosas tentativas para mejorar la tecnología SSPR y satisfacer las necesidades de la transacción en masa en Internet y de la comunidad del comercio electrónico. Varias exigencias para la seguridad de autenticación de usuario potenciada incluyen las siguientes:
1.
Incluso sin encriptación, los secretos de autenticación (como contraseñas o PINS) compartidos entre un cliente y un servidor no deben ser revelados. Si los datos son interceptados por un intruso, mientras está en tránsito en las líneas de comunicación.
2.
Un sistema de autenticación debe demostrar una resistencia considerable contra los ataques a los dispositivos de entrada/salida (véase, por ejemplo, B1 a B7, B9).
3.
El sistema de autenticación basado en "lo que el usuario sabe" debe emplear un conocimiento secreto compartido con un servidor, lo que es más fácil, o de dificultad comparable, para que un ser humano lo recuerde, en comparación con las contraseñas estáticas. En otro caso el sistema no tiene posibilidades de ser ampliamente adoptado.
4.
Cliente y servidor tienen que llevar a cabo una autenticación mutua entre sí.
5.
El cliente debe ser capaz de resultar autenticado por el servidor y acceder a los recursos protegidos procedentes de cualquier plataforma de computadora en Internet.
6.
El sistema de autenticación debe tener un software bajado de contorno cero en la plataforma de la computadora del cliente.
7.
Que no haya hardware adicional en comparación con la tecnología SSPR.
8.
Que sea fácil y barato de ajustar con cualquier otro factor de autenticación en la construcción de sistemas de seguridad de "autenticación fuerte" (que tengan dos o más factores de autenticación).
9.
Que sea compatible con la seguridad de las tecnologías de los Servicios Web orientadas a mensajes (como SOAP, XML, WSDL, etc.).
\vskip1.000000\baselineskip
Tecnologías de autenticación representativas de la técnica anterior representativas se describen en Juels, documento US 2002/0029341; Boroditsky, Patente estadounidense No. 6,332,192; Azuma, documento US 2001/0039618; Jalili, Patente estadounidense No. 6,209,104; Ozzie, Patente estadounidense No. 5,664,099; Davies, Patente estadounidense No. 5,608,387; Blonder, Patente estadounidense No. 5,559,961; Baker, Patente estadounidense No. 5,428,349; Cottrell, Patente estadounidense No. 5,465,084; y Martino Patente estadounidense No. 5,276,314. Ejemplos adicionales pueden encontrarse en Ogawa, Patente estadounidense No. 6,141,751; Jaloveczki, documento WO02/073377; Keller, Patente estadounidense No. 5,821,933; Covert, Patente estadounidense No. 5,177,789; y Authenture Inc., documento EP-A-1 223 521.
Muchas propuestas prometen determinadas mejoras tendentes a cumplir alguno de los requisitos (1 a 9) anteriormente enumerados. Sin embargo, ninguna propuesta conocida (excepto el SSPR) ha obtenido una amplia aceptación por parte del público y la industria. Así mismo, ninguna permite un sistema y un procedimiento de autenticación de usuario que sean seguros globalmente, que abarquen la entera lista de requisitos anteriormente expresada. Por tanto, lo que se necesita es un sistema y un procedimiento de autenticación que permita una muy elevada seguridad práctica contra la mayoría de los ataques conocidos a las líneas de comunicación y a los dispositivos de entrada de datos y que asegure al mismo tiempo una suficiente capacidad combinatoria.
Sumario de la invención
La presente invención proporciona un nuevo algoritmo de reconocimiento de modelos parciales aleatorios, y unos sistemas y procedimientos de autenticación basados en el algoritmo. La tecnología de autenticación del RPPR tiene las características positivas de los sistemas de seguridad basados en el SSPR, pero al mismo tiempo, es mucho más fuerte en términos de seguridad. La tecnología del RPPR es extremadamente eficaz contra los ataques al procesamiento de datos de computadora mediante los procedimientos de la fuerza bruta o del diccionario, de adivinación de contraseñas, robos de ficheros de contraseñas, miradas por encima del hombro, escuchas, grabaciones de vídeo, ataque del Caballo de Troya, ataques de husmeo de memoria, de control de teclado y de husmeo de redes. Al mismo tiempo, el RPPR proporciona un procedimiento de autenticación "lo que el usuario sabe" con una enorme capacidad combinatoria, permaneciendo al tiempo dentro de un "nivel de comodidad" del usuario con fines de memoriza-
ción.
La presente invención está constituida por un procedimiento interactivo de autenticación de un cliente. El procedimiento es interactivo en el sentido de que el servidor proporciona una pista al cliente, y el cliente introduce un modelo sugerido por la pista. Las formas de realización del procedimiento utilizan un modelo de campos múltiples para el reconocimiento, expandiendo la capacidad combinatoria de la técnica, e incrementando la seguridad. Así mismo, determinadas formas de realización del procedimiento utilizan un modelo parcial aleatorio de un modelo completo almacenado en el servidor. Junto con una pista que sugiere al usuario los campos de datos que forman parte del modelo completo que va a utilizarse para la pauta parcial aleatoria.
De acuerdo con formas de realización del procedimiento, un conjunto ordenado de campo de datos es almacenado en la memoria protegida. Los campos de datos del interior del conjunto ordenado incluyen los respectivos contenidos de campos, de acuerdo con un modelo de formas de realización preferentes para la mayoría de los entornos. El servidor proporciona al cliente a través de un medio de comunicación una clave, como por ejemplo las posiciones en el conjunto ordenado de un subconjunto aleatorio de campos de datos que forman parte del conjunto ordenado, los cuales identifican un modelo parcial aleatorio que constituye el modelo completo almacenado dentro del conjunto ordenado del campo de datos. Por razones de seguridad, el término "aleatorio/a" que se utiliza en la presente memoria, incluye el término pseudoaleatorio/a.
El cliente introduce campos múltiples de datos de entrada que representan el modelo parcial aleatorio, y el servidor acepta los datos de entrada procedentes del cliente a través de un medio de comunicación de datos. Los datos de entrada se corresponden con los contenidos de campos para los campos de datos en las posiciones identificadas dentro del conjunto ordenado. El servidor determina entonces si los datos de entrada coinciden con los contenidos de campos de los correspondientes campos de datos dentro de un subconjunto aleatorio. Si los datos de entrada coinciden, se señala una autenticación con éxito. Si no, se señala una autenticación fallida.
En algunas formas de realización de la invención, el procedimiento implica presentar al cliente una construcción de entrada para la configuración de una cuenta. La construcción de entrada puede comprender una interfaz gráfica de usuario presentada utilizando un navegador de Internet o un software de cliente infradotado. Un usuario proporciona unos contenidos de campos para un conjunto ordenado de campos de datos dentro de un modelo. En varias formas de realización, el modelo comprende unos datos basados en una función cognitiva de posición dentro del conjunto ordenado. También en algunas formas de realización, la construcción de entrada permite que el cliente suministre contenidos de campos para los campos de datos dentro del conjunto ordenado incluyendo caracteres alfanuméricos, imágenes y colores.
En otras formas de realización adicionales, el procedimiento incluye inducir al usuario a introducir datos para los campos de datos dentro del modelo, como por ejemplo el subconjunto aleatorio del conjunto ordenado, presentando al usuario una construcción de entrada, como por ejemplo una interfaz gráfica de usuario. En algunas formas de realización, la construcción de entrada permite que el usuario suministre unos contenidos de campos para los campos de datos, y los campos de datos comprenden más de una unidad de almacenamiento. Las unidades de almacenamiento de los campos de datos en algunas formas de realización representan más de un carácter alfanumérico, imagen y color, o una combinación compuesta por unidades de almacenamiento que representa cada uno de los caracteres alfanuméricos, imágenes y colores.
La invención está también constituida por unos sistemas de autentificación basados en una arquitectura cliente/servidor, y en la arquitectura de hardware par a par. En una forma de realización, el procedimiento se extiende a un servidor de autenticación para un gran número de usuarios. En esta forma de realización, el procedimiento implica la etapa de mantener una base de datos protegida de cuentas de usuarios, incluyendo unos conjuntos ordenados de campos de datos de acuerdo con lo antes descrito. En este sistema, los intentos para acceder a un recurso de red protegido son detectados o en todo caso redirigidos hasta el servidor. El servidor entonces dirige una sesión de autenticación de acuerdo con lo antes descrito para permitir que un cliente tenga acceso al recurso protegido.
Determinados sistemas que incorporan la presente invención incluyen recursos de procesamiento incluyendo un procesador, una memoria y unas interfaces de red. Ejecutándose el hardware del servidor de autenticación en los recursos de procesamientos de datos que llevan a cabo los procedimientos para el establecimiento de una cuenta y para la autenticación de un cliente, de acuerdo con lo antes descrito.
La tecnología de autenticación basada en el RPPR es de fácil manejo, de coste asequible y puede desplegarse electrónicamente como Tecnología de Contraseñas Estáticas Estándar (SSPR). Al mismo tiempo, la seguridad es mucho más alta utilizando la autenticación basada en el RPPR, en comparación con el SSPR. Permite una eficaz protección contra múltiples ataques de intrusos a los dispositivos de entrada de datos, así como a las líneas de comunicación, mientras los datos están en tránsito. La tecnología de autenticación basada en el RPPR es aplicable al hardware y a las personas de los clientes incorporando al tiempo una seguridad graduable que permite compromisos relacionados con el coste, las exigencias del negocio, y los recursos del hardware.
Otros aspectos y ventajas de la presente invención pueden apreciarse con el examen que sigue de los dibujos, la descripción detallada y las reivindicaciones.
Breve descripción de los dibujos
La Fig. 1 ilustra una arquitectura de cliente - servidor para la implementación de un procedimiento de autenticación de acuerdo con la presente invención.
La Fig. 2 es un diagrama de flujo de una sesión de autenticación básica del reconocimiento de modelos parciales aleatorios (RPPR) de acuerdo con la presente invención.
La Fig. 3 ilustra una interfaz gráfica de usuario que soporta un procedimiento de inicio de sesión en el estado de entrada de nombre de usuario utilizado en un ejemplo de un programa de autenticación de acuerdo con la presente invención.
La Fig. 4 ilustra un estado de entrada de datos de un modelo parcial aleatorio utilizado en un ejemplo de un programa de autenticación de acuerdo con la presente invención.
\newpage
La Fig. 5 ilustra una interfaz gráfica de usuario que soporta un procedimiento de inicio de sesión en el estado de entrada de datos de un modelo parcial aleatorio, en el cual los contenidos de campos han sido introducidos para un subconjunto aleatorio de campos de datos, tal como se utiliza en un ejemplo de un programa de autenticación de acuerdo con la presente invención.
La Fig. 6 ilustra un "procedimiento de repetición de objetos" para una generación de modelos de acuerdo con una función cognitiva de posición dentro de un conjunto ordenado de campos de datos.
La Fig. 7 ilustra un "procedimiento de clave condicional" para la generación de un modelo de acuerdo con una función cognitiva de posición dentro de un conjunto ordenado de campos de datos.
La Fig. 8 ilustra un "procedimiento par - impar" para la generación de un modelo de acuerdo con una función cognitiva de posición dentro de un conjunto ordenado de campos de datos.
La Fig. 9 ilustra un "procedimiento de adaptación de campos" para la generación de un modelo de acuerdo con una función cognitiva de posición dentro de un conjunto ordenado de campos de datos.
La Fig. 10 es un diagrama de arquitectura básico para una forma de realización cliente - servidor de acuerdo con la presente invención, incluyendo el soporte para el procedimiento de autenticación RPPR.
Las Figs. 11A y 11B proporcionan un diagrama de flujo de un procedimiento para la configuración en línea de una cuenta de usuario como soporte del procedimiento de autenticación RPPR de acuerdo con la presente invención.
Descripción detallada
Se proporciona una descripción detallada de determinadas formas de realización de la presente invención con referencia a las Figs. 1 a 11A y 11B. La Fig. 1 ilustra una configuración básica de comunicaciones para los procedimientos de autenticación RPPR de acuerdo con la presente invención. Un subsistema de cliente 1010 comunica mediante unos medios de comunicación, como pueden ser un subsistema de comunicaciones 1020 de red de área local o una red de área amplia, con un subsistema de servidor 1030. Un destino de red protegido controla el acceso a los recursos tales como los sitios web protegidos identificados mediante URLs, enlaces para proteger las redes, y similares.
Para establecer el acceso, se ejecuta una sesión de preautenticación 1040 por el subsistema de cliente 1010 y por el subsistema de servidor 1030. En la sesión de preautenticación 1040, se configura una cuenta de usuario dentro del subsistema de servidor 1030, el nombre de usuario y un modelo secreto, que incluye un conjunto ordenado de campos de datos, es seleccionado por el usuario y almacenado en el subsistema de servidor 1030. La información de una cuenta de usuario, el nombre de usuario y el conjunto ordenado de campos de datos son almacenados en una base de datos protegida del servidor. Una descripción más detallada de una forma de realización de una sesión de establecimiento de una cuenta se proporciona con referencia a las Figs. 11A y 11B.
Para acceder al equipo receptor de red protegido 1030, el subsistema de cliente 1010 y el subsistema de servidor 1030 ejecutan una sesión de autenticación 1050 que incluye un protocolo de comunicación interactiva cliente - servidor basado en el RPPR. Una descripción más detallada de una forma de realización de una sesión de autenticación 1050 se proporciona con referencia a la Fig. 2.
De acuerdo con un flujo básico, una sesión de autenticación se inicia cuando el usuario trata de alcanzar un destino protegido de la red (bloque 1060). El destino protegido de la red redirige el acceso intentado del usuario hasta el servidor de autenticación, o el acceso intentado es si no detectado en el servidor de autenticación 1030. En un ejemplo, cuando el usuario está intentando acceder utilizando un navegador de Internet, una página web es devuelta al navegador del usuario incluyendo una interfaz gráfica de usuario que incluye unos enlaces hasta el servidor de autenticación 1030 (bloque 1070). La página web puede ser devuelta mediante redirección por ejemplo, por el servidor de autenticación u otro recurso de la red. Por medio de la interfaz gráfica de usuario, un servidor induce al usuario a introducir un nombre de usuario dentro de un campo de la interfaz gráfica de usuario (bloque 1080). El usuario introduce el nombre de usuario, el cual es devuelto al servidor de autenticación (bloque 1090). Si el nombre de usuario es válido, entonces el servidor de autenticación identifica un subconjunto aleatorio de campos de datos que forman parte del conjunto ordenado de campos de datos asociados con ese nombre de usuario. El usuario es inducido a introducir unos contenidos de campos para el subconjunto aleatorio de campos de datos utilizando la interfaz gráfica de usuario (bloque 1100). El usuario introduce los datos para los contenidos de campos de los campos identificados y los datos introducidos son devueltos al servidor (bloque 1110). Si los datos introducidos coinciden con los contenidos de campos para el subconjunto aleatorio, entonces se señala la autenticación con éxito para el usuario por medio, por ejemplo, de la interfaz gráfica de usuario señalada al equipo receptor protegido de la red y/o señalada a otros recursos, como por ejemplo los sistemas de autorización y de cuenta que necesitan saber que la sesión de autenticación ha tenido éxito, y se permite la conexión a la red al destino receptor solicitado de la red protegida (bloque 1120).
Las Figs. 3 a 5 ilustran construcciones de entrada en base a interfaces de usuario gráficas presentadas utilizando navegadores Web para una sesión de autenticación y entrada basada en el RPPR. La Fig. 3 ilustra una pantalla de apertura 2080 que es presentada al usuario al principio de una sesión de autenticación. En la pantalla de apertura 2080, el campo 2010 de introducción de datos se utiliza para introducir el nombre de usuario. El botón 2020 de inicio de sesión se señala para iniciar el procesamiento de los datos de campos y para empezar el procedimiento de inicio de sesión. Se incluye un botón 2030 de modo operativo, el cual cuando se señala provoca la aparición de un menú contextual de botones de modos operativos, incluyendo un botón 2040 de modo operativo de inicio de sesión, un botón 2050 de modo operativo de configuración de una cuenta, un modo 2060 operativo de reposición de modelo y un modo 2070 operativo de reposición de modelo y nombre de usuario. Un primer icono de semáforo 2110 se incluye en la pantalla 2180. El icono de semáforo 2110 aparece en rojo antes de introducir el nombre de usuario, aparece en amarillo durante las comunicaciones cliente/servidor, y se pone verde cuando es aceptado el nombre de usuario. También incluido en la pantalla 2110 está un icono de cronómetro de sesión que indica el tiempo transcurrido para el inicio de sesión. El administrador de sistema puede establecer parámetros en el servidor que provoquen la reposición del procedimiento de inicio de sesión si el cronómetro expira, o reaccionar en otro sentido a la terminación del cronómetro.
La Fig. 4 ilustra una pantalla 2090 de interfaz gráfica de usuario, la cual es presentada al principio de una sesión de autenticación después de que el nombre de usuario es reconocido por el servidor. En este ejemplo, son presentados dos iconos de semáforo 2110, 2120. El primer icono de semáforo 2110 se pone verde después de que el nombre de usuario ha sido reconocido. El segundo icono de semáforo 2120 aparece durante la introducción de datos para el subconjunto aleatorio. Aparece en rojo antes de que los datos hayan sido introducidos dentro de los campos de datos, o antes de que se haya señalado el botón de inicio de sesión. El icono de semáforo 2120 aparece en amarillo durante las comunicaciones cliente/servidor y antes de la aceptación de los datos de entrada representativos de contenidos de campos. El icono de semáforo 2120 aparece en verde para señalar una autenticación con éxito.
El nombre de usuario introducido y aceptado puede ser representado dentro del campo de nombre de usuario 2010, ya sea en forma de texto habitual o en forma de secuencia de puntos de eco por razones de seguridad. Los campos de introducción de datos (por ejemplo 2140) son presentados para un modelo que comprende un número correspondiente de campos que constituirán el subconjunto aleatorio del conjunto ordenado de campos de datos almacenados para el usuario. En este ejemplo, el subconjunto aleatorio es presentado al usuario mediante un número de campos (por ejemplo 2160), e incluye un número 2 de campos, un número 4 de campos, un número 7 de campos y un número 8 de campos, formando parte de un conjunto ordenado de, por ejemplo, 9 campos de datos. En esta forma de realización, asociado con cada uno de los campos de introducción de datos hay un botón 2170. Señalando un botón 2170, aparece representado un menú desplegable 2180 de iconos de imágenes y colores candidatos el cual se utiliza como herramienta de introducción de datos para introducir los contenidos de campos para el conjunto ordenado de campos de datos. En este ejemplo, el menú desplegable 2180 incluye un conjunto de colores candidatos, implementados en este ejemplo como colores de fondo en las dos primeras columnas del menú 2180 (excepto por el icono transversal utilizado para cerrar el menú), y un conjunto de iconos de imagen candidatos en las últimas siete columnas del menú 2180. Los colores en esta forma de realización incluyen las iniciales W -blanco, Bl - azul, Gr - verde, Or - naranja, Pi - rosa, LBl - azul claro, Vi - violeta, Ye - amarillo, y Re - rojo. El usuario introduce los caracteres alfanuméricos en el campo 2140 utilizando un teclado u otro dispositivo de entrada, y puede seleccionar un icono de imagen y un color de fondo como parte de los contenidos de campos. En este ejemplo, el subconjunto aleatorio incluye cuatro campos. Pueden utilizarse otras cantidades de campos. Así mismo, el número de campos puede modificarse de sesión a sesión para aumentar la seguridad.
La Fig. 5 ilustra la siguiente pantalla 2110 presentada al usuario durante la sesión de autenticación. En la Fig. 5, el usuario ha introducido unos caracteres alfanuméricos en los campos (por ejemplo 2130) y un icono de imagen (cisne) con un color de fondo (blanco) en el campo 2150 (el color de fondo se indica mediante la marca "W" situada por debajo del campo del dibujo, pero aparece como color de fondo del icono de imagen, que es negro, en el campo 2150 en formas de realización preferentes. Otras formas de incluir color en los contenidos de campos incluyen la incorporación de un color de fondo para el campo 2140, un color para los iconos de imagen, un color para los caracteres alfanuméricos, y así sucesivamente. Un modelo sencillo que es una función cognitiva de posición dentro del conjunto ordenado se ilustra en este ejemplo, donde los contenidos de campos para los campos de datos dentro del conjunto ordenado incluyen los caracteres alfanuméricos x (N)y, donde (N) es un dígito que representa la posición de campo dentro del conjunto ordenado, y el icono de imagen de Cisne blanco. Después de introducir los datos de entrada que representan los contenidos de campos para el subconjunto aleatorio, el usuario señala el botón de inicio de sesión para iniciar la comunicación con el servidor. Después de que el servidor procesa los datos de entrada, el proceso de autenticación se completa de acuerdo con lo anteriormente descrito.
El algoritmo RPPR se basa en un subconjunto aleatorio de campos de datos que forman parte de un conjunto ordenado de campos, en el que los contenidos de campos en algunas formas de realización representan un modelo que es una función de posición dentro del conjunto ordenado para facilitar su memorización por el usuario. Por supuesto, puede utilizarse cualquier modelo de contenidos de campos, incluyendo contenidos de campos puramente aleatorios, siempre que el cliente sea capaz de recordar los contenidos de campos para el subconjunto aleatorio del modelo completo durante el inicio de sesión, como puede ser el caso para la autenticación de dispositivos de hardware. Un subconjunto aleatorio que es generalmente inferior al conjunto ordenado completo es solicitado por el servidor a un cliente durante cada sesión de inicio/acceso.
Las Figs. 6 a 9 ilustran varios procedimientos para construir modelos en base a funciones cognitivas de posición dentro del conjunto ordenado de campos de datos, que son fáciles de recordar y operar.
\newpage
La Fig. 6 ilustra el Procedimiento de Repetición de Objetos (ORM). En el ejemplo ilustrado, el campo contiene un solo carácter "s" que se repite un número de veces en base al número de campos existente en el conjunto ordenado. Así, los contenidos de campo del campo de datos 1 es "s", los contenidos de campo del campo de datos 2 es "ss", y así sucesivamente hasta el que los contenidos de campo del campo de datos 9 consiste en "sssssssss". De esta manera pueden llevarse a cabo modelos más elaborados.
Básicamente, el procedimiento de repetición de objetos implica la etapa de seleccionar un objeto relativamente simple, que sea fácil de recordar, como
1.
Cualquier carácter: 1, a, ...
2.
Cualquier combinación simple de caracteres: 12, ab, 1a, 2b, ...
3.
Cualquier color y cualquier combinación de caracteres: 1-Verde, a-Rojo, ...
4.
Cualquier combinación de carácter - imagen/color de fondo: 1-AmarilloCama, 2-RojoPerro, ...
5.
Cualquier color y cualquier combinación de varios caracteres: 12-Verde, ab-Rojo, 1a-Verde, 2b-Rojo, ...
6.
Cualquier combinación de dos caracteres y cualquier combinación de imagen/color de fondo: 12-AmarilloCama, ab-RojoPerro.
7.
Cualquier combinación de caracteres y cualquier combinación de imagen/color de fondo: 123-AmarilloCama, abc-RojoPerro.
Modelos representativos de n-campos para los procedimientos de repetición de objetos arriba esbozados (suponiendo que existen 9 campos en el modelo completo): aparece como sigue
1.
1, 11, .., 111111111; a, aa, aaa, ..., aaaaaaaaa
2.
12, 1212, 121212, ..., 121212121212121212; ab, abab, ababab, ..., ababababababababab; la, lala, lalala, ..., lalalalalalalalala
3.
1-Verde, 11-Verde, 111-Verde, ..., 111111111-Verde; a-Rojo, aa-Rojo, aaa-Rojo, ..., aaaaaaaaa-Rojo
4.
1-AmarilloCama, 11-AmarilloCama, 111-AmarilloCama, ..., 111111111-AmarilloCama; 2-RojoPerro, 22-RojoPerro, 222-PerroRojo, ..., 222222222-RojoPerro
5.
12-Verde, 1212-Verde, 121212-Verde, ..., 121212121212121212-Verde; ab-Rojo, abab-Rojo, ababab-Rojo, ..., ababababababababab-RojoPerro; la-Verde, lala-Verde, lalala-Verde, ..., lalalalalalalalala-Verde; 2b-Rojo, 2b2b-Rojo, 2b2b2b-Rojo, ..., 2b2b2b2b2b2b2b2b2b-Rojo
6.
12-AmarilloCama, 1212-AmarilloCama, 121212-AmarilloCama, ..., 121212121212121212-AmarilloCama; ab-RojoPerro, abab-RojoPerro, ababab-RojoPerro, ..., ababababababababab-RojoPerro
7.
123-AmarilloCama, 123123-AmarilloCama, 123123123-AmarilloCama, ... 123123123123123123123123 123-AmarilloCama o abc-RojoPerro, abcabc-RojoPerro, abcabcabc-RojoPerro, ..., abcabcabcabcabcabc abcabcabc- RojoPerro.
Otro procedimiento, designado como Procedimiento de Clave Condicional (CKM) se ilustra en la Fig. 7. De acuerdo con el procedimiento de clave condicional de la Fig. 7, el carácter N7 alfanumérico es introducido en el campo de datos para cada posición dentro del modelo, y un icono gráfico y un color de fondo son seleccionados de acuerdo con un modelo simple. Con referencia a la Fig. 4, el modelo empieza en el campo de datos 1 con el icono de imagen de cama y un fondo blanco. El campo de datos 2 es la taza de café con el fondo azul. El campo de datos 3 (no mostrado) es el icono de imagen de cuchillo y tenedor con el fondo verde. El campo de datos 4 es el icono de imagen de la copa de martini con el fondo naranja. El campo de datos 5 es el icono de cigarrillo con el fondo rosa. El campo de datos 6 es un icono de imagen de sobre con el fondo azul claro. El campo de datos 7 es el icono de imagen de teléfono con el fondo violeta. El campo de datos 8 es el icono de imagen de avión con el fondo amarillo. El campo de datos 9 es el icono de imagen de llave con el fondo rojo. En este ejemplo, los iconos de imagen son seleccionados atravesando la fila que empieza con el icono de imagen hacia la derecha, y a continuación en el extremo de la fila avanzando hacia arriba por la última columna dentro del conjunto de iconos de imagen candidatos en una dirección sinistrorso. Los colores de fondo son también seleccionados siguiendo un modelo simple de los colores de fondo candidatos, empezando desde abajo por la columna que empieza con el color de fondo blanco hasta el fondo de la columna y a continuación hacia arriba de la columna de los colores de fondo en una dirección dextrorso, de forma que resulta fácil recordar la función cognitiva de posición dentro del conjunto ordenado. Otros códigos de clave condicional se basan en el procedimiento de seleccionar un objeto relativamente simple, como cualquier combinación de caracteres alfanuméricos (de 1 a 3 caracteres) y un color tomado del menú de imágenes/colores candidatos. Por ejemplo, si podría elegir 123-Rosa o abc-Rosa. Las bases inmodificadas aquí son 123 o abc, que se mantendrán idénticas en todos los campos de datos n (sin descartar cualquier generalización, se presume que existen aquí unos tamaños de modelos de 9 campos). Se podría entonces utilizar y recordar el Rosa y su posición de color en el menú como clave condicional y encontrar otras, efectuando modificaciones a lo largo del número de campos, ya sea en sentido dextrorso o sinistrorso (escojamos el sentido dextrorso por razones de claridad). Uno podría entonces seleccionar cualquier combinación de caracteres alfanuméricos (de 1 a 3 caracteres) y una imagen entre el menú de iconos de imágenes candidatos, por ejemplo, 123-Sol o abc-Sol. Por ejemplo, un usuario podría utilizar y recordar la imagen del sol y su posición como clave condicional y encontrar otras, avanzando, o bien en sentido dextrorso o bien en sentido sinistrorso (escojamos, por razones de claridad el sentido sinistrorso). Un modelo de objeto es construido en base a estas técnicas. Por ejemplo, 123-RosaSol. A medida que los campos están cambiando, también lo hacen los colores y las imágenes con respecto a las claves condicionales seleccionadas en el objeto inicial 123-RosaSol. Suponiendo que los colores estarán cambiando en sentido dextrorso, mientras que las imágenes estarán cambiando en sentido sinistrorso con respecto a sus posiciones de claves condicionales (Rosa y Sol), los modelos representativos de n-campos aparecen como sigue (suponiendo que existen modelos completos de 9 campos):
1.
Caracteres alfanuméricos estáticos con color condicional: 123-Rosa, 123-AzulClaro, 123-Violeta, 123-Amarillo, 123Rojo, 123-Blanco, 123-Azul, 123-Verde, 123-Naranja, o abc-Rosa, abc-AzulClaro, abc-Violeta, abc-Amarillo, abc-Rojo, abc-Blanco, abc-Azul, abc-Verde, abc-Naranja.
2.
Caracteres alfanuméricos estáticos con imagen condicional: 123-Sol, 123-Luna, 123-Paseante, 123-Lluvia, 123Paraguas, 123-Flor, 123-Teléfono, 123-Reactor, 123-Llave, 123-guitarra, o abc-Sol, abc-Luna, abc-Lluvia, abc-Paraguas, abc-Flor, abc-Teléfono, abc-Reactor, abcLlave, abc-guitarra.
3.
Caracteres alfanuméricos estáticos con color condicional e imagen condicional: 123-RosaSol, 123-AzulClaroLuna, 123-VioletaPaseante, 123-AmarilloLluvia, 123-RojoParaguas, 123-BlancoFlor, 123-AzulTeléfono, 123-VerdeReactor, 123-NaranjaLlave.
Es interesante destacar que una implementación SSPR tendría que utilizar de 20 a 21 PINS o contraseñas estáticas para los caracteres (supuesto totalmente no realista) para conseguir el mismo nivel de seguridad combinatoria, que los procedimientos anteriormente expuestos (suponiendo cinco objetos por campo y cuatro de nueve modelos parciales de nueve campos (un objeto es uno cualquiera entre o bien un carácter alfanumérico o un color de fondo, o un icono de imagen)).
La Fig. 8 ilustra un procedimiento par - impar básico para definir unos contenidos de campos para un conjunto ordenado de campos de datos de acuerdo con una función de posición cognitiva dentro del conjunto ordenado. De acuerdo con un procedimiento par - impar, los contenidos de campos para campos de número impar consisten en cualquier número de letras "z" igual al número de campos más 1. Para campos de número par, los contenidos de campos consisten en la letra "z" y un número igual al número de campos menos 1. Así, los contenidos de campos para el campo de datos 1 son z2. En el campo de datos 2, los contenidos de campos son z1. El modelo se repite de forma que en el campo de datos 8 los contenidos de campos son z7. En el campo de datos 9, los contenidos de campos son z10. De acuerdo con un procedimiento par - impar, el usuario selecciona dos medidas de algoritmo secretas -una para campos pares y otra para campos impares-. Por ejemplo:
1.
Algoritmo de campos pares: campo de datos 2 -> 2 + 1 = 3, campo de datos 4 -> 4 + 1 = 5, etc.; Algoritmo de campos impares: campo de datos 1 -> 1 - 1 = 0, campo de datos 3 -> 3 - 1 = 2, etc. Al final el modelo aparece como sigue: 0, 3, 2, 5, 4, 7, 6, 9, 8.
2.
Algoritmo de campos pares: 2 -> 100 - 2 = 98, 4 -> 100 - 4 = 96, etc. Algoritmo de campos impares: 1 -> 1, 3 -> 3, 5 -> 5, etc. Al final el modelo aparece como sigue: 1, 98, 3, 96, 5, 94, 7, 92, 9.
3.
Algoritmo de campos pares: 2 -> 2^2 - 2 = 2, 4 -> 4^2 - 4 = 12, 6 -> 6^2 - 6 = 30, etc. Algoritmo de campos impares: 1 -> 1^2 + 1 = 2, 3 -> 3^2 + 3 = 12, 5 -> 5^2 + 5 = 30, etc. Al final el modelo aparece como sigue: 2, 2, 12, 12, 30, 30, 56, 56, 90.
4.
Algoritmo de campos pares: 2 -> 22, 4 -> 44, etc. Algoritmo de campos impares: 1 -> 11111, 3 -> 33333, etc. Al final el modelo aparece como sigue: 11111, 22, 33333, 44, 55555, 66, 77777, 88, 99999.
El Procedimiento Par - Impar (EOM) podría ser fácilmente combinado con otras funciones de posición, como por ejemplo OERM y CKM. Por ejemplo, el algoritmo de campos pares: 2 -> 222 - Blanco (llave condicional; sentido dextrorso) 4 -> 444 - Verde, 6 -> 666 - Rosa, etc.; algoritmo de campos impares: 1 -> 111 - Paraguas (llave condicional, sentido sinistrorso), 3 -> 333 - Paseante, 5 -> 555 - Sol, etc. Al final el modelo aparece como sigue: 111 - Paraguas, 222 - Blanco, 333 - Paseante, 444 - Verde, 555 - Sol, 666 - Rosa, 777 - Llama, 888 - Violeta, 999 - Cama.
La Fig. 9 ilustra el Procedimiento Flexible de Campos (FCM) para asignar una función de posición cognitiva en el desarrollo de los contenidos de campos para el conjunto ordenado de campos de datos que constituye los códigos de autenticación. Esto puede verse en la Fig. 9, donde los contenidos de campos para los campos de datos consiste en x(N)y con un fondo blanco o de cisne negro. El parámetro (N) representa el número de campos. Así, el campo de datos 1 incluye los contenidos de campos x1y - BlancoCisne. El campo de datos 2 incluye los contenidos de campos x2y
- BlancoCisne. El modelo se repite de forma que el modelo campo de datos 8 incluye los contenidos de campos x8y
- BlancoCisne y el campo de datos 9 incluye los contenidos de campos x9y - BlancoCisne.
Básicamente, el FCM se basa en la selección de un objeto compuesto por cualquier combinación de caracteres, colores y/o imágenes que constituyen un objeto base de todos los campos. Incrustar dentro de este objeto una medida, modificando a base de una estricta correspondencia con el número secuencial de campos de acuerdo con un determinado algoritmo secreto. Por ejemplo,
1.
Base: ab-Blanco. Medida - un número antes de "ab" correspondiente a un número de campos: 1ab-Blanco, 2ab-Blanco, 3ab-Blanco, ..., 9ab-Blanco.
2.
Base: ab-Blanco. Medida - un número después de "ab" correspondiente a un número de campos: ab1-Blanco, ab2-Blanco, ab3-Blanco, ..., ab9-Blanco.
3.
Base: ab-Blanco. Medida - un número incrustrado entre "a" y "b" correspondiente a un número de campos: a1b-Blanco, a2b-Blanco, a3b-Blanco, ..., a9b-Blanco.
4.
Base: ab-Blanco. Medida - un número antes de "ab" correspondiente a un número de campos más 100: 101ab-Blanco, 102ab-Blanco, 103ab-Blanco, ..., 109ab-Blanco.
5.
Base: ab-Blanco. Medida - un número después de "ab" correspondiente a un número de campos más 100: ab101-Blanco, ab102-Blanco, ab103-Blanco, ..., ab109-Blanco.
6.
Base: ab-Blanco. Medida - un número entre "a" y "b" correspondiente a un número de campos más 100: a101b-Blanco, a102b-Blanco, a103b-Blanco, ..., a109b-Blanco.
7.
Base: ab-Blanco. Medida - un número antes de "ab" correspondiente a un número de campos multiplicado por 2: 2ab-Blanco, 4ab-Blanco, 6ab-Blanco, ..., 18ab-Blanco.
8.
Base: ab-Blanco. Medida - un número después de "ab" correspondiente a un número de campos multiplicado por 2: ab2-Blanco, ab4-Blanco, ab6-Blanco, ..., ab18-Blanco.
9.
Base: ab-Blanco. Medida - un número entre "a" y "b" correspondiente a un número de campos multiplicado por 2: a2b-Blanco, a4b-Blanco, a6b-Blanco,..., a18b-Blanco.
10.
Base: ab. Medida - un color encontrado en la llave condicional (Blanco) en sentido dextrorso en correspondencia con el número de campos: ab-Blanco, ab-Azul, ab-Verde, ab-Naranja, ab-Rosa, ab-AzulClaro, ab-Violeta, ab-Amarillo, ab-Rojo.
11.
Base: ab-Blanco. Medida - una imagen encontrada en la clave condicional (Llave) en sentido sinistrorso en correspondencia con el número de campos multiplicado por 2: ab-BlancoGuitarra, ab-BlancoBrazo, ab-BlancoChica, ab-BlancoDólar, ab-BlancoPerro, ab-BlancoMar, ab-BlancoLuna, ab-BlancoLluvia, ab-BlancoFlor.
12.
Base: Z. Medida - número de campo antes de "Z" y detrás de "Z": unoZuno, dosZdos, tresZtres, ..., nueveZnueve.
Estos modelos son fáciles de recordar como PINs/contraseñas de 4 caracteres. Sin embargo, la seguridad combinatoria es mucho más fuerte en la tecnología basada en el RPPR, en comparación con los sistemas de seguridad basados en el algoritmo SPPR.
La Fig. 10 ilustra un sistema de cliente/servidor que incluye unos recursos de autenticación de acuerdo con la presente invención. El subsistema de cliente 1010 incluye unos dispositivos de entrada de datos 4010 (teclado, ratón, entrada de voz, etc.), un dispositivo de visualización 4030 (CRT, panel de LCD, etc.), y una plataforma física 4030 (computadora personal, computadora portátil, aparato Internet, etc.) incluyendo una unidad de procesamiento, una memoria, y otros recursos de procesamiento de datos. El software ejecutado en el cliente incluye un navegador 4050 o un cliente de software "infradotado" 4060 como el que puede incorporarse en auxiliares digitales personales, teléfonos celulares, y otros aparatos simples de Internet, los cuales pueden no soportar una funcionalidad de navegador completa. El navegador 4050 incluye una Máquina Virtual Java o un entorno .NET que soporta el diálogo cliente - servidor. Así mismo, el cliente de software "infradotado" 4060 puede soportar el diálogo cliente - servidor. Finalmente, se incorpora una interfaz 4040 en los medios 4130 de comunicación a la red. Los medios de comunicación 4130 pueden ser privados o públicos, una red de área local o una red de área amplia que utilice medios alámbricos, inalámbricos u ópticos dentro de sistemas representativos.
El subsistema servidor 1030 incluye unos recursos 4070 de servidor de red, un servicio 4080 de gestión de cuentas para la cuestión de las cuentas de los usuarios del procedimiento de autenticación, y una plataforma 4090 que incluye una unidad de procesamiento, una memoria, un espacio de disco y otros recursos de procedimiento de datos. Un núcleo del programa 4100 que soporta el procedimiento de autenticación está incluido en el subsistema servidor 1030. El núcleo del programa puede ser implementado utilizando, por ejemplo, una tecnología JAVA o .NET orientada a objetos. Así mismo, se incluye una base de datos del servidor y un conector 4130 a la base de datos. Finalmente, se incorpora una interfaz 4110 con unos medios de comunicación destinados a las líneas de comunicación LAND/WAN del servidor. En algunas formas de realización, el servidor y los datos del servidor son implementados con elementos de seguridad para proteger de intrusos los ficheros de información de cuentas del usuario.
Las Figs. 11A y 11B ilustran un flujo de procedimiento en línea de configuración de una cuenta de usuario. En el diagrama, el procedimiento se inicia en el bloque 5000 y se pone en marcha un cronómetro de sesión 5001. El usuario en línea primeramente selecciona, utilizando una interfaz gráfica de usuario, el modo de operación de configuración de cuenta (bloque 5010). El usuario introduce en un campo de la interfaz gráfica de usuario de la dirección de e-mail del usuario (bloque 5020). A continuación, el usuario obtiene un e-mail del servidor que tiene un nombre de usuario temporal y un modelo completo para su uso durante la configuración de la cuenta, siempre que la entrada de dirección de e-mail por el usuario exista y sea autorizada por el software de seguridad del servidor (bloque 5030). Si la dirección de e-mail no existe, es incorrecta, o no es autorizada, entonces el procedimiento se reinicializa hasta el bloque 5010. Así mismo, si el cronómetro de sesión 5001 expira, entonces el procedimiento se reinicializa hasta el bloque 5010. En un flujo alternativo, como por ejemplo cuando la dirección de e-mail del usuario es correcta y es aceptada, entonces se presenta una segunda interfaz gráfica de usuario (bloque 5040) que permite que el usuario introduzca información personal para crear un fichero de información personal (almacenado en la base de datos lateral del servidor - bloque 5040) que soporta el procedimiento de autenticación. Una vez que el fichero de información personal ha sido creado es enviado a la base de datos del servidor y verificado por un departamento de recursos humanos, o de otra forma, en algunos sistemas (bloque 5050). Si el archivo personal no es introducido o es introducido incorrectamente, entonces el procedimiento se reinicializa hasta el bloque 5010.
Así mismo, después de recibir el nombre de usuario temporal y el modelo completo en el bloque 5030, y en algunas formas de realización, después de que el fichero de información personal es introducido con éxito en el bloque 5040, entonces se presenta al usuario otra interfaz gráfica de usuario para la introducción del nombre de usuario temporal y del modelo parcial aleatorio solicitado por el servidor, en base al modelo completo suministrado en el bloque 5030 (bloque 5060). Si el usuario no consigue introducir el nombre de usuario y el modelo parcial solicitado en el bloque 5060, entonces el proceso se reinicializa hasta el bloque 5010. Si el usuario introduce con éxito el nombre de usuario temporal y el modelo parcial solicitado en el bloque 5060, entonces el procedimiento se bifurca hasta el bloque 5070 en la Fig. 11B. En el bloque 5070, el usuario obtiene otra interfaz gráfica de usuario para la introducción de un nombre de usuario permanente y un modelo completo (bloque 5070). El modelo completo es elegido por el usuario en algunas formas de realización de acuerdo con una función de posición cognitiva dentro del conjunto ordenado de campos de datos, de acuerdo con lo anteriormente descrito. El nombre de usuario permanente del usuario y el modelo completo son enviados a la base de datos del servidor (bloque 5080). Alternativamente, una nueva cuenta de usuario es activada en base al nombre de usuario y al modelo completo, siempre que el archivo de información personal del usuario recibido desde el bloque 5050 de la Fig. 11A sea verificado (bloque 5090). Ya sea después de la verificación de la cuenta en el bloque 5090, o después de la introducción del nombre de usuario permanente y del modelo en el bloque 5080, la cuenta de usuario es establecida y activada (bloque 5110). El flujo del procedimiento finaliza después de la activación de la cuenta del usuario (bloque 5003).
En diversas formas de realización, el sistema RPPR actual se utiliza para la autenticación de usuario en una arquitectura de red cliente - servidor, para la autenticación de dispositivos de hardware (en los que los clientes consistan en enrutadores, por ejemplo) u otros entornos de soporte de sesiones de autenticación interactivas. La autenticación interactiva en base al algoritmo de Reconocimiento de Modelos Parciales Aleatorios (RPPR) proporciona una protección de seguridad considerable contra múltiples y conocidos ataques de intrusos. El procedimiento interactivo de modelo multicampo de la presente invención, como el del RPPR establece un nuevo paradigma sustituyendo la tecnología de contraseñas estáticas estándar. Sacando provecho de la moderna potencia de procesamiento de la UCP a alta velocidad de reloj cliente - servidor y del elevado caudal de red, el procedimiento RPPR es fácil de usar. En los ejemplos anteriormente descritos, la autenticación de usuario comienza con una solicitud inicial del cliente a un destino de red protegido. A continuación, el servidor, después de conocer el nombre de usuario del cliente, induce al cliente a través de la IGU del cliente a cumplimentar un subconjunto del modelo completo de usuario aleatoriamente seleccionado por el servidor. Cada campo del subconjunto aleatorio solicitado del cliente es asociado con un número de secuencia representado correspondiente a una posición dentro del modelo completo. Cada campo de la IGU permite la introducción de cualquier combinación de objetos (al menos se introduce un objeto por campo). En el ejemplo presentado con referencia a las Figs. 3 a 5, los objetos introducidos en el campo pueden ser cualquier número de caracteres alfanuméricos, un icono de imagen y un icono de fondo de color entre un menú fijo seleccionado desplegado. El modelo completo es un secreto compartido prefijado entre el cliente y el servidor establecido durante la configuración de la cuenta del cliente. El modelo completo reside en la base de datos del lado el servidor. Tras recibir la respuesta del cliente, el servidor compara internamente la combinación esperada computada con los datos de entrada del cliente y efectúa una decisión de autenticación no/seguir, dependiendo de si la respuesta es falsa/verdadera.
Para dispositivos de hardware, la autenticación RPPR es una mejora considerable de la seguridad en las líneas de comunicación respecto del Protocolo de Autenticación del Desafío Mutuo (CHAP) actualmente utilizado. El dispositivo - autenticador funciona como servidor, mientras que el dispositivo, al ser autenticado, juega el papel de cliente. Ambos dispositivos tienen una clave secreta (en forma de contraseña). De acuerdo con el RPPR, el autenticador genera un subconjunto aleatorio de números de secuencia de campos de modelo completo y envía esta solicitud al dispositivo de cliente. Los campos de modelo completo contienen solo caracteres alfanuméricos en algunas formas de realización (cada campo puede contener cualquier número de caracteres, al menos que esté restringido por el protocolo del hardware, pero al menos un carácter por cada campo). Sin embargo, el número de campos del modelo concreto y sus subconjuntos no están restringidos por la memoria humana y/o el tiempo de procesamiento humano y puede ser mucho más alto que en el caso de una autenticación de usuario. Por consiguiente, el RPPR permite una seguridad graduable en las líneas de comunicación durante la autenticación de los dispositivos de hardware (por ejemplo, la autenticación de encaminador a encaminador). El dispositivo de cliente cumplimenta los campos solicitados. A continuación, encripta la respuesta con su clave secreta (de tipo contraseña) y envía la respuesta al anfitrión (el dispositivo - autenticador). El anfitrión compara internamente la combinación esperada computada con la del cliente y efectúa una decisión de autenticación no/seguir, dependiendo de si la respuesta es falso/verdadero.
Aunque la presente invención se ha divulgado con referencia a las formas de realización y a los ejemplos preferentes anteriormente detallados, debe entenderse que estos ejemplos pretenden ser ilustrativos y no limitativos. Se contempla que los expertos en la materia deben tener presentes modificaciones y combinaciones las cuales deben incluirse en el ámbito de las reivindicaciones adjuntas. Lo que se reivindica es.

Claims (32)

1. Un procedimiento interactivo para la autenticación de un cliente, que comprende:
almacenar un conjunto ordenado de campos de datos en una memoria, incluyendo los campos de datos de dicho conjunto ordenado unos respectivos contenidos de campos, incluyendo los contenidos de campos de los campos de datos dentro de un conjunto ordenado al menos un objeto de datos;
identificar (1100) al cliente, a través de un medio (1020) de comunicación de datos, las posiciones dentro de un conjunto ordenado de un subconjunto aleatorio de campos de datos entre dicho conjunto ordenado almacenado;
aceptar (1110) los datos de entrada (2130, 2150) provinentes del cliente a través de un medio (1020) de comunicación, identificando los datos de entrada los objetos de datos correspondientes a los contenidos de campos para los campos de datos correspondientes dentro del subconjunto aleatorio del conjunto ordenado almacenado;
determinar (1120) si los datos de entrada (2130, 2150) coinciden con los contenidos de campos de los correspondientes campos de datos dentro del subconjunto aleatorio; y
caracterizado porque los contenidos de campos de al menos uno de los campos de datos entre el conjunto ordenado incluyen más de un objeto de datos.
2. El procedimiento de la reivindicación 1, incluyendo, si los datos de entrada (2130, 2150) coinciden, señalar una autenticación con éxito, y si los datos de entrada (2130, 2150) no coinciden, señalar una autenticación fracasada.
3. El procedimiento de la reivindicación 1, en el que dicho cliente proporciona unos datos de entrada (2130, 2150) de un sistema de cliente (1010) acoplado a dicho medio (1020) de comunicación de datos.
4. El procedimiento de la reivindicación 1, en el que dicho cliente proporciona unos datos de entrada (2130, 2150) dentro de un sistema de cliente (1110), incluyendo un navegador acoplado a dicho medio (1020) de comunicación de datos.
5. El procedimiento de la reivindicación 1, que comprende:
detectar (1060) una tentativa de acceder a un recurso de red por el cliente;
enviar al cliente, a través de dicho medio (1020) de comunicación de datos, en respuesta a la tentativa detectada para acceder a un recurso de red protegido, un mensaje indicado dichas posiciones dentro de un conjunto ordenado de subconjuntos aleatorios de campos de datos que forman parte de dicho conjunto ordenado almacenado; y
si los datos de entrada coinciden, señalar (1120) la autenticación del cliente para su acceso al recurso de red protegido.
6. El procedimiento de la reivindicación 1 o de la reivindicación 5, en el que los contenidos de campos respectivos para unos campos de datos dentro del conjunto ordenado incluyen unos objetos de datos reconocibles como función de las respectivas posiciones de los correspondientes campos de datos dentro de dicho conjunto ordenado.
7. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción para la configuración de una cuenta incluyendo unas herramientas para introducir unos objetos de datos seleccionados, y aceptar los objetos de datos seleccionados de identificación procedentes del cliente en base a la construcción de entrada, para establecer los contenidos de campos para los campos de datos dentro del conjunto ordenado.
8. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo presentar al cliente una construcción de entrada para configurar una cuenta que incluye unas herramientas para introducir objetos de datos seleccionados, y aceptar unos objetos de datos seleccionados de identificación procedentes del cliente en base a la construcción de entrada, para establecer unos contenidos de campos para los campos de datos dentro del conjunto ordenado, en el que la construcción de entrada permite que el cliente suministre unos objetos de datos seleccionados de identificación que comprenden uno o más entre caracteres alfanuméricos, imágenes y colores.
9. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada para la configuración de una cuenta incluyendo unas herramientas para introducir objetos de datos seleccionados, y aceptar unos objetos de datos seleccionados de identificación del cliente en base a la construcción de entrada, para establecer unos contenidos de campos para los campos de datos dentro del conjunto ordenado en el que dicha construcción de entrada identifica dicho conjunto ordenado de campos de acuerdo con dicho orden que facilita el uso de una función de dicho orden para definir dichos contenidos de campos.
\newpage
10. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada (2090) para introducir unos contenidos de campos de dicho subconjunto aleatorio de campos de datos incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, en el que dichos datos de entrada de aceptación procedentes del cliente incluyen la etapa de aceptar unos objetos de datos seleccionados de identificación en dicha construcción de entrada.
11. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada (2090) para introducir unos contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir objetos de datos seleccionados, y en el que dicha aceptación de datos de entrada procedentes del cliente incluye la etapa de aceptar unos datos que identifican unos objetos de datos seleccionados en base a dicha construcción de entrada, incluyendo dicha construcción de entrada unas herramientas que permiten que el cliente suministre unos datos que identifican unos objetos de datos seleccionados que comprenden uno o más objetos entre caracteres alfanuméricos, imágenes y colores.
12. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada (2090) para introducir unos contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, y en el que dicha aceptación de datos de entrada procedentes del cliente incluye la etapa de aceptar los datos que identifican los objetos de datos seleccionados en base a dicha construcción de entrada, incluyendo dicha construcción de entrada un menú (2180) que presenta un conjunto ordenado de imágenes candidatos para su selección como objetos de datos.
13. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada (2090) para introducir unos contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, y en el que dichos datos de entrada de aceptación procedentes del cliente incluyen la aceptación de los datos que identifican los objetos de datos seleccionados en base a dicha construcción de entrada, incluyendo dicha construcción de entrada un menú (2180) que presenta un conjunto ordenado de colores candidatos para su selección como objetos de datos.
14. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada (2090) para la introducción de unos contenidos de campos de dicho subconjunto aleatorio de campos de datos incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, en el que dichos datos de entrada de aceptación procedentes del cliente incluyen unos datos que identifican los objetos de datos seleccionados en base a dicha construcción de entrada, incluyendo dicha construcción de entrada una ventana para introducir caracteres alfanuméricos como objetos de datos, un menú (2180) que presenta un conjunto ordenado de colores candidatos para su selección como objetos de datos y un menú (2180) que presenta un conjunto ordenado de imágenes candidatos para su selección como objetos de datos.
15. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de presentar al cliente una construcción de entrada para la configuración de una cuenta incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, y aceptar unos datos procedentes del cliente que identifican los objetos de datos seleccionados en base a la construcción de entrada, para establecer unos contenidos de campos para los campos de datos dentro del conjunto ordenado, en el que dicha construcción de entrada que incluye una ventana para la introducción de caracteres alfanuméricos para la introducción de datos, un menú que presenta un conjunto ordenado de colores candidatos para su selección como objetos de datos, y un menú que presenta un conjunto ordenado de imágenes candidatos para su selección como objeto de datos.
16. El procedimiento de la reivindicación 1 o de la reivindicación 5, que incluye la etapa de proporcionar un contador de sesión (5001).
17. El procedimiento de la reivindicación 1 o de la reivindicación 5, incluyendo la etapa de proporcionar un contador de sesión (5001), e incluyendo la etapa de cerrar una sesión de cliente si el tiempo transcurrido excede un umbral antes de que dichos datos de entrada sean aceptados para todos los campos dentro de dicho subconjunto aleatorio.
18. Un sistema de autenticación para autenticar un cliente, que comprende:
unos recursos (1030) de procesamiento de datos, incluyendo un procesador, una memoria, y una interfaz de comunicación;
una información de cuenta de usuario almacenada en dicha memoria, incluyendo para los respectivos clientes un conjunto ordenado de campos de datos dentro de una memoria, incluyendo los campos de datos dentro del conjunto ordenado unos contenidos de campos respectivos, incluyendo los contenidos de campos de los campos de datos dentro del conjunto ordenado al menos un conjunto de datos;
un servidor de autenticación adaptado para su ejecución por los recursos (1030) de procesamiento de datos, incluyendo unos medios para identificar al cliente, por medio de dicha interfaz de comunicación, las posiciones en el interior de un conjunto ordenado de un subconjunto aleatorio de campos de datos que forman parte de dicho conjunto ordenado almacenado;
unos medios para aceptar los datos de entrada procedentes del cliente por medio de la interfaz de comunicación, identificando los datos de entrada, los objetos de datos correspondientes a los contenidos de campos para los campos de datos correspondientes dentro del subconjunto aleatorio del conjunto ordenado almacenado;
unos medios para determinar si los datos de entrada (2130, 2150) coinciden con los contenidos de campos de los correspondientes campos de datos dentro del subconjunto aleatorio; y
caracterizado porque dichos medios para aceptar los datos de entrada están adaptados para procesar los contenidos de campos de al menos uno entre los campos de datos entre el conjunto ordenado los cuales incluyen más de un objeto de datos.
19. El sistema de la reivindicación 18, en el que el servidor de autenticación incluye unos medios que están adaptados para, si los datos de entrada (2130, 2150) coinciden, señalar una autenticación con éxito, y si los datos de entrada (2130, 2150) no coinciden, señalar una autenticación fracasada.
20. El sistema de la reivindicación 18, en el que los contenidos de campos respectivos para los campos de datos dentro del conjunto ordenado incluyen un conjunto de objetos de datos reconocibles como una función de las posiciones respectivas de los correspondientes campos de datos dentro del conjunto ordenado.
21. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada para la configuración de una cuenta, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, para aceptar unos datos procedentes del cliente que identifican unos objetos de datos seleccionados en base a la construcción de entrada, para establecer los contenidos de campos para los campos de datos dentro del conjunto ordenado.
22. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada para la configuración de una cuenta, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, y para aceptar unos datos procedentes del cliente que identifican unos objetos de datos seleccionados en base a la construcción de entrada, para establecer unos contenidos de campos para los campos de datos dentro del conjunto ordenado, en el que la construcción de entrada permite que el cliente suministre unos datos que identifican los objetos de datos seleccionados que comprenden uno o más entre caracteres alfanuméricos, imágenes y colores.
23. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada para la configuración de una cuenta, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, y para aceptar unos datos procedentes del cliente que identifican los objetos de datos seleccionados en base a la construcción de entrada, para establecer unos contenidos de campos para los campos de datos dentro del conjunto ordenado, en el que dicha construcción de entrada identifica dicho conjunto ordenado de campos de acuerdo con dicho orden facilitando el empleo de una función de dicho orden para definir dichos contenidos de campos.
24. El sistema de la reivindicación 18, en el que los contenidos de campos respectivos para los campos de datos dentro del conjunto ordenado incluyen un conjunto de objetos de datos reconocibles como función cognitiva de las respectivas posiciones de los correspondientes campos de datos dentro de dicho conjunto ordenado.
25. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada gráfica (2090) para introducir unos objetos de datos seleccionados como contenidos de campos de dicho subconjunto aleatorio de campos de datos.
26. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada (2090) para la introducción de contenidos de campos de dicho conjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados, incluyendo dicha construcción de entrada unas herramientas para permitir que el cliente suministre unos datos que identifican los objetos de datos seleccionados que comprende uno o más entre caracteres alfanuméricos, imágenes y colores.
27. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada (2090) para la introducción de contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir objetos de datos seleccionados, incluyendo dicha construcción de entrada unas herramientas que permiten que el cliente suministre unos contenidos de campos entre el subconjunto aleatorio incluyendo un menú que presenta un conjunto ordenado de imágenes candidatos.
28. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada (2090) para la introducción de unos contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir objetos de datos seleccionados, incluyendo dicha construcción de entrada unas herramientas que permite que el cliente suministre unos datos que identifican los objetos de datos seleccionados que comprenden un menú que presenta un conjunto ordenado de colores
candidatos.
29. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada (2090) para la introducción de unos contenidos de campos de dicho subconjunto aleatorio de campos de datos, incluyendo la construcción de entrada unas herramientas para introducir objetos de datos seleccionados, incluyendo dicha construcción de entrada unas herramientas que permiten que el cliente suministre unos datos que identifican los objetos de datos seleccionados que comprenden una ventana para la introducción de caracteres alfanuméricos, un menú que presenta un conjunto ordenado de colores candidatos y un menú que presenta un conjunto ordenado de imágenes candidatos.
30. El sistema de la reivindicación 18, incluyendo unos medios para presentar al cliente una construcción de entrada para la configuración de una cuenta, incluyendo la construcción de entrada unas herramientas para introducir unos objetos de datos seleccionados y para aceptar unos datos procedentes del cliente que identifican los objetos de datos seleccionados en base a la construcción de entrada para establecer los contenidos de campos para los campos de datos dentro del conjunto ordenado, en el que dicha construcción de entrada que incluye unas herramientas que permiten que el cliente suministre datos que identifican objetos de datos seleccionados que comprenden una ventana para la introducción de caracteres alfanuméricos, un menú que presenta un objeto ordenado de colores candidatos, y un menú que presenta un conjunto ordenado de imágenes candidatos.
31. El sistema de la reivindicación 18, incluyendo unos medios para proporcionar un contador (5001) de duración de sesión.
32. El sistema de la reivindicación 18, incluyendo unos medios para proporcionar un contador (5001) de duración de sesión, y una lógica para cerrar una sesión de cliente si un tiempo transcurrido excede un umbral antes de que dichos datos de entrada sean aceptados para todos los campos dentro de dicho subconjunto aleatorio.
ES03258077T 2002-12-23 2003-12-19 Sistema y procedimiento de autenticacion en base al reconocimiento de modelos parciales aleatorios. Expired - Lifetime ES2279933T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US328640 1994-10-25
US10/328,640 US7644433B2 (en) 2002-12-23 2002-12-23 Authentication system and method based upon random partial pattern recognition

Publications (1)

Publication Number Publication Date
ES2279933T3 true ES2279933T3 (es) 2007-09-01

Family

ID=32469020

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03258077T Expired - Lifetime ES2279933T3 (es) 2002-12-23 2003-12-19 Sistema y procedimiento de autenticacion en base al reconocimiento de modelos parciales aleatorios.

Country Status (5)

Country Link
US (2) US7644433B2 (es)
EP (1) EP1434408B1 (es)
JP (1) JP4421892B2 (es)
DE (1) DE60311757T2 (es)
ES (1) ES2279933T3 (es)

Families Citing this family (118)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040148340A1 (en) * 2003-01-29 2004-07-29 Web.De Ag Web site having a zone layout
US7370209B2 (en) * 2003-01-30 2008-05-06 Hewlett-Packard Development Company, L.P. Systems and methods for increasing the difficulty of data sniffing
US7685631B1 (en) 2003-02-05 2010-03-23 Microsoft Corporation Authentication of a server by a client to prevent fraudulent user interfaces
US7606915B1 (en) 2003-02-25 2009-10-20 Microsoft Corporation Prevention of unauthorized scripts
US7624277B1 (en) * 2003-02-25 2009-11-24 Microsoft Corporation Content alteration for prevention of unauthorized scripts
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050235139A1 (en) * 2003-07-10 2005-10-20 Hoghaug Robert J Multiple user desktop system
US20040230843A1 (en) * 2003-08-20 2004-11-18 Wayne Jansen System and method for authenticating users using image selection
JP2005071202A (ja) * 2003-08-27 2005-03-17 Mnemonic Security Inc ユーザとシステムの相互認証システム
US7533411B2 (en) * 2003-09-23 2009-05-12 Microsoft Corporation Order-based human interactive proofs (HIPs) and automatic difficulty rating of HIPs
JP4306390B2 (ja) * 2003-09-29 2009-07-29 日本電気株式会社 パスワード認証装置、方法及びプログラム
JP4605536B2 (ja) * 2004-01-06 2011-01-05 富士ゼロックス株式会社 画像処理装置
US7665147B2 (en) * 2004-02-05 2010-02-16 At&T Mobility Ii Llc Authentication of HTTP applications
US7734929B2 (en) * 2004-04-30 2010-06-08 Hewlett-Packard Development Company, L.P. Authorization method
US8396973B2 (en) * 2004-10-22 2013-03-12 Microsoft Corporation Distributed speech service
EP1825413A2 (en) 2004-12-16 2007-08-29 Mark Dwight Bedworth User validation using images
USD579949S1 (en) * 2004-12-17 2008-11-04 Bsh Bosch Und Siemens Hausgeraete Gmbh Display for dishwasher
US8438400B2 (en) * 2005-01-11 2013-05-07 Indigo Identityware, Inc. Multiple user desktop graphical identification and authentication
US8356104B2 (en) * 2005-02-15 2013-01-15 Indigo Identityware, Inc. Secure messaging facility system
US20070136581A1 (en) * 2005-02-15 2007-06-14 Sig-Tec Secure authentication facility
US8145912B2 (en) * 2005-03-01 2012-03-27 Qualcomm Incorporated System and method for using a visual password scheme
US8316416B2 (en) 2005-04-04 2012-11-20 Research In Motion Limited Securely using a display to exchange information
USD547323S1 (en) * 2005-06-07 2007-07-24 Ids Scheer Aktiengesellschaft Icon for a display screen
US20070011170A1 (en) * 2005-07-08 2007-01-11 Hackworth Keith A Systems and methods for granting access to data on a website
KR100734145B1 (ko) * 2005-10-12 2007-07-03 주식회사 안철수연구소 키보드 데이터 인증을 이용한 키 입력 도용 방지 방법
WO2007063196A1 (fr) * 2005-12-02 2007-06-07 Sebban Mickael Procede d'acces a internet par un reseau sans fil depuis une station mobile
US20070143830A1 (en) * 2005-12-20 2007-06-21 International Business Machines Corporation Method, apparatus and system for preventing unauthorized access to password-protected system
US20070143628A1 (en) * 2005-12-20 2007-06-21 Konica Minolta Business Technologies, Inc. User authentication method, system provided with user authentication function, and, apparatus and computer software provided with user authentication function
CA2689850A1 (en) * 2006-03-01 2007-09-07 Norman F. Goertzen Secure access by a user to a resource
US8930834B2 (en) * 2006-03-20 2015-01-06 Microsoft Corporation Variable orientation user interface
US8139059B2 (en) * 2006-03-31 2012-03-20 Microsoft Corporation Object illumination in a virtual environment
EP1845469A1 (de) * 2006-04-12 2007-10-17 Siemens Aktiengesellschaft Authentifizierungsverfahren und Authentifizierungssystem
FR2901080A1 (fr) * 2006-05-09 2007-11-16 Trustseed Sarl Procede et dispositif de securisation de transferts de donnees
US8005223B2 (en) 2006-05-12 2011-08-23 Research In Motion Limited System and method for exchanging encryption keys between a mobile device and a peripheral device
US8670566B2 (en) * 2006-05-12 2014-03-11 Blackberry Limited System and method for exchanging encryption keys between a mobile device and a peripheral output device
US8001613B2 (en) * 2006-06-23 2011-08-16 Microsoft Corporation Security using physical objects
US20080040692A1 (en) * 2006-06-29 2008-02-14 Microsoft Corporation Gesture input
USD577035S1 (en) 2006-07-10 2008-09-16 Alltel Communications, Inc. Moving image for the display screen of a wireless communication device
USD589520S1 (en) 2006-07-10 2009-03-31 Alltel Communications, Inc. Moving image for the display screen of a wireless communication device
US7849321B2 (en) * 2006-08-23 2010-12-07 Authernative, Inc. Authentication method of random partial digitized path recognition with a challenge built into the path
US20080077978A1 (en) * 2006-09-26 2008-03-27 Rolf Repasi Abstract password and input method
US8006300B2 (en) * 2006-10-24 2011-08-23 Authernative, Inc. Two-channel challenge-response authentication method in random partial shared secret recognition system
US20080104410A1 (en) * 2006-10-25 2008-05-01 Brown Daniel R Electronic clinical system having two-factor user authentication prior to controlled action and method of use
US7958539B2 (en) * 2006-12-06 2011-06-07 Motorola Mobility, Inc. System and method for providing secure access to password-protected resources
US20080148366A1 (en) * 2006-12-16 2008-06-19 Mark Frederick Wahl System and method for authentication in a social network service
US8590020B1 (en) 2007-01-19 2013-11-19 Veronika Orlovskaya Authentication system and method using arrangements of objects
US7941834B2 (en) * 2007-04-05 2011-05-10 Microsoft Corporation Secure web-based user authentication
US8505071B2 (en) * 2007-05-30 2013-08-06 Disney Enterprises, Inc. Preventing automated programs and unauthorized users in a network
JP2010528382A (ja) * 2007-05-30 2010-08-19 ペィエエムスィイー・ネットワークス・デンマーク・エペイエス セキュアなログインプロトコル
US8972739B1 (en) 2007-06-01 2015-03-03 Plantronics, Inc. Methods and systems for secure pass-set entry in an I/O device
WO2008148609A1 (en) 2007-06-08 2008-12-11 International Business Machines Corporation Language independent login method and system
US8090201B2 (en) * 2007-08-13 2012-01-03 Sony Ericsson Mobile Communications Ab Image-based code
WO2009043661A1 (en) 2007-10-04 2009-04-09 International Business Machines Corporation Authentication method and system
US20090102603A1 (en) * 2007-10-19 2009-04-23 Fein Gene S Method and apparatus for providing authentication with a user interface system
US8212768B2 (en) * 2007-10-31 2012-07-03 Fimed Properties Ag Limited Liability Company Digital, data, and multimedia user interface with a keyboard
US8127251B2 (en) 2007-10-31 2012-02-28 Fimed Properties Ag Limited Liability Company Method and apparatus for a user interface with priority data
US8477098B2 (en) 2007-10-31 2013-07-02 Gene S. Fein Method and apparatus for user interface of input devices
US20090109215A1 (en) 2007-10-31 2009-04-30 Fein Gene S Method and apparatus for user interface communication with an image manipulator
US20090144162A1 (en) * 2007-11-29 2009-06-04 Neil Milne Transaction Security Method and Apparatus
US8108316B1 (en) * 2007-12-20 2012-01-31 Symantec Corporation Systems, apparatus, and methods for online purchasing
US8234695B2 (en) * 2007-12-21 2012-07-31 International Business Machines Corporation Network security management for ambiguous user names
US20090182781A1 (en) * 2008-01-11 2009-07-16 Harikrishnan Kesavan Nair Data object logging
WO2009105579A2 (en) * 2008-02-19 2009-08-27 Garahan Patrick J Portable holder for beverage containers
US8220035B1 (en) 2008-02-29 2012-07-10 Adobe Systems Incorporated System and method for trusted embedded user interface for authentication
US8353016B1 (en) 2008-02-29 2013-01-08 Adobe Systems Incorporated Secure portable store for security skins and authentication information
US8555078B2 (en) 2008-02-29 2013-10-08 Adobe Systems Incorporated Relying party specifiable format for assertion provider token
US8555336B1 (en) 2008-03-27 2013-10-08 Mcafee, Inc. System, method, and computer program product for a pre-deactivation grace period
US8726355B2 (en) * 2008-06-24 2014-05-13 Gary Stephen Shuster Identity verification via selection of sensible output from recorded digital data
EP2144421A1 (en) * 2008-07-08 2010-01-13 Gemplus Method for managing an access from a remote device to data accessible from a local device and corresponding system
US8362875B2 (en) * 2008-09-24 2013-01-29 Panasonic Corporation Secure system for non-covert user authentication and identification
US20100095371A1 (en) * 2008-10-14 2010-04-15 Mark Rubin Visual authentication systems and methods
US8941466B2 (en) * 2009-01-05 2015-01-27 Polytechnic Institute Of New York University User authentication for devices with touch sensitive elements, such as touch sensitive display screens
US20100186074A1 (en) * 2009-01-16 2010-07-22 Angelos Stavrou Authentication Using Graphical Passwords
US8375459B2 (en) * 2009-03-25 2013-02-12 International Business Machines Corporation Frequency based age determination
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8365260B2 (en) * 2009-09-25 2013-01-29 International Business Machines Corporation Multi-variable challenge and response for content security
US20110081640A1 (en) * 2009-10-07 2011-04-07 Hsia-Yen Tseng Systems and Methods for Protecting Websites from Automated Processes Using Visually-Based Children's Cognitive Tests
CN102104484A (zh) * 2009-12-22 2011-06-22 鸿富锦精密工业(深圳)有限公司 电子设备及密码保护方法
WO2011079433A1 (en) * 2009-12-29 2011-07-07 Nokia Corporation An apparatus, method, computer program and user interface
US8627088B2 (en) * 2010-02-10 2014-01-07 Authernative, Inc. System and method for in- and out-of-band multi-factor server-to-user authentication
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
US8893053B1 (en) * 2010-04-15 2014-11-18 Sprint Spectrum L.P. Method and apparatus for altering mobile device functionality
US8788834B1 (en) * 2010-05-25 2014-07-22 Symantec Corporation Systems and methods for altering the state of a computing device via a contacting sequence
US9832423B2 (en) * 2010-06-30 2017-11-28 International Business Machines Corporation Displaying concurrently presented versions in web conferences
US8832810B2 (en) 2010-07-09 2014-09-09 At&T Intellectual Property I, L.P. Methods, systems, and products for authenticating users
US9652914B2 (en) 2010-08-31 2017-05-16 Plantronics, Inc. Methods and systems for secure pass-set entry
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) * 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8868919B2 (en) 2012-10-23 2014-10-21 Authernative, Inc. Authentication method of field contents based challenge and enumerated pattern of field positions based response in random partial digitized path recognition system
US9215072B1 (en) 2012-10-23 2015-12-15 Authernative, Inc. Back-end matching method supporting front-end knowledge-based probabilistic authentication systems for enhanced credential security
US8955074B2 (en) 2012-10-23 2015-02-10 Authernative, Inc. Authentication method of enumerated pattern of field positions based challenge and enumerated pattern of field positions based response through interaction between two credentials in random partial digitized path recognition system
JP2014085919A (ja) * 2012-10-25 2014-05-12 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証装置、ユーザ認証方法及びユーザ認証プログラム
US9311472B2 (en) 2012-12-21 2016-04-12 Abbott Laboratories Methods and apparatus for authenticating user login
GB2514419B (en) * 2013-05-24 2016-05-04 Barclays Bank Plc Improved user authentication system and method
US9407441B1 (en) * 2013-06-26 2016-08-02 Emc Corporation Adding entropy to key generation on a mobile device
US9213820B2 (en) * 2013-09-10 2015-12-15 Ebay Inc. Mobile authentication using a wearable device
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US9342673B2 (en) * 2014-03-26 2016-05-17 Motorola Solutions, Inc. Method for user authentication in a device comprising a touch screen
US9411950B1 (en) 2014-06-17 2016-08-09 Susan Olsen-Kreusch Methods and systems for user authentication in a computer system using image-based log-ins
US9710666B2 (en) 2014-06-17 2017-07-18 Susan Olsen-Kreusch Methods and systems for user authentication in a computer system using multi-component log-ins, including image-based log-ins
US20170208069A1 (en) * 2016-01-19 2017-07-20 Regwez, Inc. Masking restrictive access control in a networked environment
US9852287B1 (en) 2016-10-04 2017-12-26 International Business Machines Corporation Cognitive password pattern checker to enforce stronger, unrepeatable passwords
US12238076B2 (en) * 2018-10-02 2025-02-25 Arista Networks, Inc. In-line encryption of network data
US11194904B2 (en) * 2018-11-07 2021-12-07 International Business Machines Corporation Security actions based on monitored computer and user physical activities
CN110046783B (zh) * 2018-12-13 2023-04-28 创新先进技术有限公司 冒用账户识别方法、装置、电子设备及存储介质
CN112020871A (zh) * 2019-03-29 2020-12-01 华为技术有限公司 一种减少嗅探攻击的方法、装置及集成电路
CN110572372B (zh) * 2019-08-20 2021-12-10 武汉绿色网络信息服务有限责任公司 一种检测物联网设备遭受入侵的方法及检测装置
US20210258314A1 (en) * 2020-02-14 2021-08-19 Kosay Mohamad Tabaja Method and system for user authentication
US20220091707A1 (en) * 2020-09-21 2022-03-24 MBTE Holdings Sweden AB Providing enhanced functionality in an interactive electronic technical manual
US12242711B2 (en) 2021-05-19 2025-03-04 MBTE Holdings Sweden AB Providing enhanced functionality in an interactive electronic technical manual
BG113519A (bg) 2022-04-07 2023-10-16 ИКТ платформи ООД Метод за удостоверяване
CN118157989B (zh) * 2024-05-08 2024-10-01 安徽华云安科技有限公司 Webshell内存马检测方法、装置、设备以及存储介质

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5465084A (en) * 1990-03-27 1995-11-07 Cottrell; Stephen R. Method to provide security for a computer and a device therefor
US5177789A (en) * 1991-10-09 1993-01-05 Digital Equipment Corporation Pocket-sized computer access security device
GB9125540D0 (en) * 1991-11-30 1992-01-29 Davies John H E Access control systems
US5276314A (en) 1992-04-03 1994-01-04 International Business Machines Corporation Identity verification system resistant to compromise by observation of its use
US5428349A (en) * 1992-10-01 1995-06-27 Baker; Daniel G. Nondisclosing password entry system
US5428084A (en) * 1994-03-29 1995-06-27 Ppg Industries, Inc. Defunctionalized epoxy resins useful in coatings
TW299410B (es) * 1994-04-04 1997-03-01 At & T Corp
US5425102A (en) * 1994-06-09 1995-06-13 Datasonix Corporation Computer security apparatus with password hints
US5613012A (en) * 1994-11-28 1997-03-18 Smarttouch, Llc. Tokenless identification system for authorization of electronic transactions and electronic transmissions
US5764789A (en) * 1994-11-28 1998-06-09 Smarttouch, Llc Tokenless biometric ATM access system
US5821933A (en) * 1995-09-14 1998-10-13 International Business Machines Corporation Visual access to restricted functions represented on a graphical user interface
JPH0997238A (ja) 1995-09-28 1997-04-08 Terefuonii:Kk 利用者確認方法及びその方法を実施する利用者確認装置
JP3764961B2 (ja) * 1995-11-30 2006-04-12 カシオ計算機株式会社 シークレットデータ記憶装置及びシークレットデータの読み出し方法
US5664099A (en) * 1995-12-28 1997-09-02 Lotus Development Corporation Method and apparatus for establishing a protected channel between a user and a computer system
US6085320A (en) * 1996-05-15 2000-07-04 Rsa Security Inc. Client/server protocol for proving authenticity
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
JPH10307799A (ja) * 1997-02-28 1998-11-17 Media Konekuto:Kk コンピュータ通信網における身元確認方法及び身元確認装置
JPH10293799A (ja) 1997-04-21 1998-11-04 Sanwa Ginkou:Kk 代金決済システム、及び代金決済方法
DE69834406T2 (de) * 1997-05-13 2006-12-07 Passlogix, Inc. Verallgemeinertes benutzeridentifizierungs-und-authentisierungssystem
US6321339B1 (en) * 1998-05-21 2001-11-20 Equifax Inc. System and method for authentication of network users and issuing a digital certificate
US7219368B2 (en) * 1999-02-11 2007-05-15 Rsa Security Inc. Robust visual passwords
US6789110B1 (en) * 1999-10-22 2004-09-07 Nomadix, Inc. Information and control console for use with a network gateway interface
US6603854B1 (en) * 2000-02-25 2003-08-05 Teltronics, Inc. System and method for evaluating agents in call center
US6812938B2 (en) * 2000-03-29 2004-11-02 Citicorp Development Center, Inc. Method and system for providing status indication and control to a computer network user
JP2001318897A (ja) * 2000-05-02 2001-11-16 Nec Corp ユーザ認証方法、これに用いるネットワークシステム、及びその制御プログラムを記録した記録媒体
JP3408228B2 (ja) 2000-06-19 2003-05-19 順子 杉中 サービス提供側装置及び記録媒体
CN101025778A (zh) 2000-07-25 2007-08-29 有限会社信息安全 保密信息记录媒介、保护方法、保护存储方法及信息访问报警系统
US7392388B2 (en) 2000-09-07 2008-06-24 Swivel Secure Limited Systems and methods for identity verification for secure transactions
US7379916B1 (en) 2000-11-03 2008-05-27 Authernative, Inc. System and method for private secure financial transactions
HU0101106D0 (en) 2001-03-14 2001-05-28 Tozai Trading Corp Id alsorithm
GB2381603B (en) * 2001-10-30 2005-06-08 F Secure Oyj Method and apparatus for selecting a password
JP2005070949A (ja) * 2003-08-21 2005-03-17 Sanyo Electric Co Ltd プログラム処理装置

Also Published As

Publication number Publication date
US7644433B2 (en) 2010-01-05
EP1434408B1 (en) 2007-02-14
DE60311757D1 (de) 2007-03-29
JP4421892B2 (ja) 2010-02-24
EP1434408A3 (en) 2004-10-13
US20040119746A1 (en) 2004-06-24
US20040123160A1 (en) 2004-06-24
EP1434408A2 (en) 2004-06-30
JP2004213665A (ja) 2004-07-29
US7188314B2 (en) 2007-03-06
DE60311757T2 (de) 2007-10-31

Similar Documents

Publication Publication Date Title
ES2279933T3 (es) Sistema y procedimiento de autenticacion en base al reconocimiento de modelos parciales aleatorios.
US20200404019A1 (en) Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements
US7577987B2 (en) Operation modes for user authentication system based on random partial pattern recognition
ES2378298T3 (es) Sistema y método para impedir el robo de identidad mediante el uso de un dispositivo informático asegurado.
US10592651B2 (en) Visual image authentication
ES2553222T3 (es) Seguridad de autentificación 2CHK mejorada con transacciones de consulta
US7073067B2 (en) Authentication system and method based upon random partial digitized path recognition
US20190050554A1 (en) Logo image and advertising authentication
US20040225880A1 (en) Strong authentication systems built on combinations of "what user knows" authentication factors
US11693944B2 (en) Visual image authentication
Stanislav Two-factor authentication
Nath et al. Issues and challenges in two factor authentication algorithms
Suru et al. Security and user interface usability of graphical authentication systems–A review
Misbahuddin et al. A user friendly password authenticated key agreement for multi server environment
EP1840778A1 (fr) Dispositif d'identification à usage unique
AU2004323374B2 (en) Authentication system and method based upon random partial digitized path recognition
WO2014039763A1 (en) Visual image authentication and transaction authorization using non-determinism
US20230359764A1 (en) Visual Image Authentication
Sandhu et al. Identification and authentication
Zheng et al. Confidence value based multi levels of authentication for ubiquitous computing environments
Liou et al. A study of biometric feature for a recall-based behavioral graphical mobile authentication
Kucerik CYBER SECURITY. ARE WE READY TO USE MODERN, AND MOBILE TECHNOLOGIES? IF WE DON’T TEACH THE STUDENTS HOW TO PROTECT THEIR PRIVACY AND PERSONAL INFORMATION, WHO WILL?
Sheil Security, Privacy & Usability in Modern Web Services.
Parker Who Goes There?
Umar An Authentication of Significant security for accessing Password through Network System