[go: up one dir, main page]

ES2373489T3 - Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil. - Google Patents

Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil. Download PDF

Info

Publication number
ES2373489T3
ES2373489T3 ES08164499T ES08164499T ES2373489T3 ES 2373489 T3 ES2373489 T3 ES 2373489T3 ES 08164499 T ES08164499 T ES 08164499T ES 08164499 T ES08164499 T ES 08164499T ES 2373489 T3 ES2373489 T3 ES 2373489T3
Authority
ES
Spain
Prior art keywords
user
challenge
vector
mobile device
authentication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08164499T
Other languages
English (en)
Inventor
Juan Jesús León Cobos
Pedro Celis De La Hoz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GMV Soluciones Globales Internet SA
Original Assignee
GMV Soluciones Globales Internet SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40332885&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2373489(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by GMV Soluciones Globales Internet SA filed Critical GMV Soluciones Globales Internet SA
Application granted granted Critical
Publication of ES2373489T3 publication Critical patent/ES2373489T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3276Short range or proximity payments by means of M-devices using a pictured code, e.g. barcode or QR-code, being read by the M-device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Procedimiento para autenticar a un usuario de un dispositivo móvil (10) ante un sistema (30) de autenticación remota, que está conectado con al menos un ordenador cliente accesible para dicho usuario, que comprende: i - leer un código bidimensional exhibido en el ordenador cliente (40) por medio de un lector de códigos bidimensionales proporcionado en dicho dispositivo móvil, en donde al menos una dirección de URL del sistema de autenticación, y un desafío codificado, generado por el sistema de autenticación, están integrados en dicho código bidimensional; ii - procesar dicho desafío codificado y calcular una respuesta al desafío, usando un secreto personal, siendo dicho secreto personal una cadena de caracteres unívocamente vinculados con un identificador de usuario, Identificador de usuario, de dicho usuario del dispositivo móvil, y con un sello temporal; iii - enviar un mensaje al sistema de autenticación, incluyendo dicho mensaje un vector (100), cuyos elementos son al menos dicho identificador de usuario, dicho desafío y dicha respuesta al desafío; iv - analizar dichos elementos del vector y determinar que el vector es un vector válido, cuando la respuesta al desafío ha sido generada usando el secreto personal del usuario cuyo identificador de usuario está en el vector durante un periodo de tiempo dado y, en caso de que dicho vector sea válido: v - buscar en una lista (300) de usuarios almacenada en el sistema de autenticación, para ver si el identificador de usuario en el vector está en dicha lista de usuarios y, si el identificador de usuario está en la lista de usuarios, verificar si el desafío en el vector está en una lista de sesiones almacenada en el sistema de autenticación y, si el desafío está en la lista de sesiones, el sistema de autenticación envía unilateralmente una pantalla de bienvenida al ordenador cliente que corresponde a un número de identificación de sesión en la lista de sesiones donde está el desafío.

Description

Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil
Campo de la invención
La presente invención se refiere a mecanismos de autenticación y, más específicamente, se refiere a un mecanismo de autenticación que usa un dispositivo móvil.
Antecedentes de la invención
La Publicación 200 del FIPS (Estándar Federal de Procesamiento de Información) define la Autenticación como la “verificación de la identidad de un usuario, proceso o dispositivo, a menudo como requisito previo para permitir el acceso a recursos en un sistema de información”. La entidad a identificar y verificar positivamente se llama usualmente un “Principal” en la literatura, aunque esta convención se simplificará y se usará el término “usuario” a lo largo del texto. El sistema a cargo de verificar la identidad se llama usualmente el “sistema de autenticación”. El ordenador que se usa para acceder al sistema de autenticación se llama el “ordenador cliente”.
La autenticación ha impuesto tradicionalmente grandes desafíos a la ciencia informática y a las industrias de seguridad, y se ha propuesto un buen número de mecanismos para garantizar la autenticación eficiente y segura. Entre los riesgos relevantes relacionados con la autenticación de usuarios, los más obvios son los dos siguientes:
El riesgo primero y obvio es el acceso no autorizado. Si el procedimiento usado para la autenticación es vulnerable al ataque, una persona no autorizada podría obtener acceso fraudulento a un sistema fingiendo ser un usuario distinto. Por lo tanto, es importante que el procedimiento de autenticación sea fiable, en el sentido de que haga extremadamente difícil para un atacante fingir ser algún otro.
Un riesgo adicional es el robo de identidades. Si el procedimiento usado para la autenticación establece la identidad del usuario por medio de algunas credenciales (usualmente alguna información en forma de claves o contraseñas en el contexto de un sistema criptográfico), entonces la seguridad de estas credenciales es crucial para la seguridad del sistema. A menudo se da el caso de que un usuario se autentica en distintos sistemas usando las mismas credenciales. En el caso de que un sistema de autenticación sea vulnerable, o de que el usuario sea llevado a autenticarse ante un sistema malicioso, las credenciales podrían quedar expuestas y ser robadas, comprometiendo, por lo tanto, la seguridad de todos los otros sistemas de autenticación. El robo de identidades, por lo tanto, es un riesgo más general, en el sentido de que permite el acceso no autorizado a sistemas incluso si el procedimiento de autenticación es fiable y no tiene una vulnerabilidad conocida.
Desde la invención del mecanismo sencillo y bien conocido de usuario-contraseña, se han propuesto varias técnicas, hasta el momento, para aumentar la fiabilidad de los procedimientos de autenticación:
La autenticación fuerte está definida por el Glosario Nacional de Garantía de la Información del gobierno estadounidense como un enfoque de autenticación por capas, que se apoya en dos o más autenticadores para establecer la identidad. Esto también se llama autenticación de dos factores, ya que implica a dos autenticadores tales como, por ejemplo, algo que Ud. sabe, digamos una contraseña, y algo que Ud. tiene, digamos una prenda.
La mayoría de las soluciones emplean la criptografía para garantizar que las credenciales puedan verificarse sin comprometer su seguridad (p. ej., usando Criptografía de Clave Pública o generadores de Contraseñas Únicas). Esencialmente, la autenticación se apoya en un secreto que no se intercambia en el protocolo de autenticación. Por ejemplo, en lugar de proporcionar una contraseña, el usuario calcula una respuesta a un desafío, usando la contraseña, y comunica la respuesta, y nunca la contraseña.
Otra técnica recientemente propuesta, llamada autenticación de dos canales, mejora la seguridad usando dos trayectos distintos de comunicación (por ejemplo, un banco puede llamar por teléfono a un usuario para verificar el acceso). El primer canal es el canal desde el ordenador cliente al sistema de autenticación, y el segundo canal es, en este caso, la línea telefónica.
Las técnicas mencionadas anteriormente mitigan los riesgos existentes, pero son incapaces de afrontar de manera eficiente las amenazas más recientes, tales como los ataques del Hombre-En-El-Medio o de Troyanos (véase, por ejemplo, las Comunicaciones de la ACM, Vol. 48, nº 4, abril de 2005, Riesgos Internos 178 por Bruce Schneier). Esto da como resultado, entre otros, un aumento de transacciones fraudulentas en la banca en línea o el acceso de usuarios remotos no autorizados a sistemas empresariales.
Esta situación se explica porque el escenario actual de autenticación ha evolucionado en los años recientes, y ahora está caracterizado por dos hechos nuevos:
Los sistemas de autenticación no son seguros. Más aún, algunos sistemas de autenticación podrían ser de naturaleza maliciosa. Por lo tanto, toda la información que se almacena en estos sistemas podría ser mal usada, y todos los sistemas de autenticación deben considerarse como no fiables.
La evolución del software malicioso (como los Troyanos) y la proliferación del acceso a Internet ha dejado asimismo inseguros a nuestros ordenadores clientes. Por ejemplo, nuestro ordenador personal doméstico, que usamos para acceder a la banca en línea, no puede ser de fiar, ya que la presencia de Troyanos está haciéndose más común cada día. El Troyano reconocerá el proceso de autenticación del usuario y bien capturará las credenciales del usuario, o bien suplantará al usuario para realizar transacciones fraudulentas. Por lo tanto, nuestro ordenador cliente también debe considerarse como no fiable.
Como resultado de ello, surge la necesidad de un procedimiento de autenticación que no sólo brinde una autenticación fuerte y no requiera intercambio de secretos, sino que también considere como no fiables tanto al sistema de autenticación como al ordenador cliente. Específicamente, se requiere un procedimiento de autenticación que goce de las siguientes características:
No almacena ninguna información de autenticación en absoluto en el sistema de autenticación.
No interactúa con el ordenador cliente durante el proceso de autenticación.
Las siguientes tecnologías previas son relevantes para la presente invención y, por lo tanto, se introducen a continuación para mayor comodidad:
Un esquema de Cifrado Basado en Identidad (IBE) es un esquema de cifrado público de clave en el cual la clave pública de un usuario es alguna información única y pública acerca de la identidad del usuario. Esta clave pública puede ser una cadena arbitraria, y permite a cualquiera generar una clave pública a partir de un valor de identidad conocido, tal como una cadena en código ASCII. Un tercero fiable, llamado el Generador de Clave Privada (PKG), genera las correspondientes claves privadas. Para funcionar, el PKG genera primero una clave pública maestra, y retiene la correspondiente clave privada maestra (denominada clave maestra). Dada la clave pública maestra, cualquiera puede calcular una clave pública correspondiente al Identificador de identidad, combinando la clave pública maestra con el valor de identidad. Para obtener una correspondiente clave privada, la parte autorizada para usar el Identificador de identidad se pone en contacto con el PKG, que usa la clave privada maestra para generar la clave privada para el Identificador de identidad. Este esquema, en particular, permite la creación de firmas digitales que pueden ser verificadas por cualquiera sin distribución y almacenamiento previos de una clave pública, ya que la clave pública puede generarse a partir de la identidad pública del firmante. El esquema puede implementarse ventajosamente usando la Criptografía de Curva Elíptica y los apareos bilineales, tales como, por ejemplo, el apareo de Weil o el apareo de Tate.
Los códigos de barras bidimensionales son representaciones (imágenes) gráficas de datos en forma de puntos, barras u otras formas que obedecen a patrones predefinidos. Su definición incluye las reglas que son necesarias para codificar / descodificar datos en / de las imágenes (esto se llama su simbolismo). Estos códigos de barras están diseñados de modo tal que un dispositivo móvil dotado de una cámara pueda capturar fácilmente la imagen y descodificar su contenido.
La tecnología promocional se usa como un término genérico para referirse a todos los procedimientos por los cuales un ordenador servidor puede enviar información a un ordenador cliente sin la solicitud previa del ordenador cliente. Según la arquitectura del sistema que comunica al sistema de autenticación con el ordenador cliente, la promoción se implementará por medio de tecnologías adecuadas, tales como los flujos de http, las aplicaciones promotoras de Java o el sondeo prolongado.
El documento JP-A-2007-193762 revela un sistema de autenticación de usuarios que incluye una parte de cámara y una parte de descodificación de código de barras, para leer información de identificación de terminal y de servicio proveniente de los códigos de barras, y una parte de gestión de información de autenticación que transmite la información de autenticación a un dispositivo servidor. Una parte de procesamiento de autenticación autentica un derecho de uso de servicio en base a la información de autenticación enviada desde un dispositivo de comunicación portátil. Una parte de gestión de resultados de autenticación envía una información de notificación que muestra el permiso, o la prohibición, de la prestación de un servicio al dispositivo terminal para el dispositivo servidor proveedor, en base al resultado de autenticación.
El documento “Un procedimiento y su usabilidad para la autenticación de usuarios, utilizando un lector de códigos matriciales en teléfonos móviles” (TANAKA M. et al., Aplicaciones de Seguridad de la Información (Notas de Conferencias en Ciencia Informática), Springer, Vol. 4298, 28 de agosto de 2006, páginas 225 a 236, ISBN: 978-3-540-71092-9) revela un procedimiento de autenticación de usuarios que usa una prenda de uso único, que es emitido por el proveedor y exhibido como un código matricial en el terminal del usuario, y el usuario lee la información con un lector de códigos matriciales en el teléfono móvil del usuario, y la convierte y transmite al proveedor mediante una red de portador fiable de telefonía móvil.
Sumario de la invención
La invención se refiere a un procedimiento y un sistema para autenticar a un usuario de un dispositivo móvil, según las reivindicaciones 1 y 9, respectivamente. Las realizaciones preferidas del procedimiento y del sistema se definen en las reivindicaciones dependientes.
Un primer aspecto de la presente invención se refiere a un procedimiento para autenticar a un usuario de un dispositivo móvil ante un sistema de autenticación remota que está conectado con al menos un ordenador cliente accesible para dicho usuario, que comprende:
i – leer un código bidimensional exhibido en el ordenador cliente por medio de un lector de códigos bidimensionales proporcionado en dicho dispositivo móvil, en donde al menos una dirección de URL (Localizador Universal de Recurso) del sistema de autenticación y un desafío codificado, generado por el sistema de autenticación, están integrados en dicho código bidimensional;
ii – procesar dicho desafío codificado y calcular una respuesta al desafío usando un secreto personal, siendo dicho secreto personal una cadena de caracteres unívocamente relacionados con un identificador de usuario – Identificador de usuario – de dicho usuario del dispositivo móvil y con un sello temporal;
iii – enviar un mensaje al sistema de autenticación, incluyendo dicho mensaje un vector cuyos elementos son al menos dicho identificador de usuario, dicho desafío y dicha respuesta al desafío;
iv – analizar dichos elementos del vector y determinar que el vector es un vector válido si puede garantizarse que la respuesta al desafío ha sido generada usando el secreto personal del usuario cuyo identificador de usuario está en el vector durante un periodo dado de tiempo y, en caso de que dicho vector sea válido:
v – buscar en una lista de usuarios almacenada en el sistema de autenticación para ver si el identificador de usuario en el vector está en dicha lista de usuarios y, si el identificador de usuario está en la lista de usuarios, se verifica si el desafío en el vector está en una lista de sesiones almacenada en el sistema de autenticación y, si el desafío está en la lista de sesiones, el sistema de autenticación envía unilateralmente una pantalla de bienvenida al ordenador cliente, que corresponde a un número de identificación de sesión en la lista de sesiones donde está el desafío.
Dicho código bidimensional puede ser cualquier representación gráfica de datos que obedece a una forma predeterminada, que pueda ser leída y descodificada con un lector de códigos bidimensionales.
Preferiblemente, el lector de códigos bidimensionales es una cámara.
Dicho secreto personal se almacena preferiblemente en el dispositivo móvil y admite el acceso tras ingresar una contraseña.
La etapa de procesar dicho desafío codificado y de calcular una respuesta comprende preferiblemente:
-
solicitar al usuario del dispositivo móvil que ingrese una contraseña a fin de acceder a un secreto personal almacenado en el dispositivo móvil;
-
tras ingresar dicha contraseña, extraer dicho secreto personal;
-
calcular una respuesta al desafío integrado en el código bidimensional, usando dicho secreto personal.
La respuesta al desafío puede calcularse usando un algoritmo de firma digital según un esquema de Cifrado en Base a Identidad, de modo tal que la validez de dicha firma pueda verificarse posteriormente para cualquier fecha dada y cualquier identificador de usuario dado, usando sólo información públicamente disponible referida a dicho esquema.
Preferiblemente, dicho secreto personal está proporcionado de manera segura por un servidor fiable, que calcula dicho secreto personal usando un secreto maestro y dicho identificador de usuario y dicho sello temporal.
También es posible que el secreto personal se calcule en una secuencia de etapas e intercambios de datos entre el servidor fiable y el dispositivo móvil.
La etapa de analizar los elementos del vector es llevada a cabo por el sistema de autenticación y es realizada usando primitivas criptográficas públicas.
De esta manera, el procedimiento de autenticación de la presente invención ha de usarse para autenticar (es decir, identificar positivamente) a un principal de seguridad, habitualmente – pero no necesariamente – un usuario humano que es el dueño del dispositivo móvil. El principal se autentica ante un sistema basado en ordenadores como, por ejemplo, un servidor de red, un quiosco de autoservicio, un Cajero Automático (ATM), una red remota, etc.
La autenticación se apoya en dos factores, un dispositivo móvil en poder del usuario y un secreto personal sólo accesible mediante una contraseña (o secreto) que el usuario conoce. Ambos son necesarios para la autenticación. Por lo tanto, es un mecanismo de autenticación fuerte. Además, el secreto personal nunca se almacena en ningún sistema de autenticación; sólo se ingresa al dispositivo móvil. Estos son requisitos usuales para un procedimiento de autenticación. Pero, adicionalmente, el procedimiento propuesto tiene dos características diferentes e innovadoras:
El sistema de autenticación se considera no fiable. En consecuencia, no se almacena ninguna información de autenticación en el sistema de autenticación. Sólo es necesario almacenar el identificador de usuario (p. ej., su nombre, identificador de conexión o información de identidad similar) con fines de autorización. Esencialmente, el sistema de autenticación puede considerarse como totalmente no fiable, sin pérdida de seguridad.
El usuario accede al sistema de autenticación usando un ordenador cliente local, que también se considera no fiable. Una vez que el usuario se enfrenta a una pantalla de autenticación (o de conexión) visible en un ordenador cliente, el ordenador cliente no participa en el proceso de autenticación (específicamente, el ordenador cliente ni siquiera es tocado por el usuario). La autenticación tiene lugar en otro canal, al que accede el dispositivo móvil, que está completamente desvinculado del ordenador cliente. Después de la autenticación exitosa, es el sistema de autenticación quien envía unilateralmente la página autenticada (o pantalla de bienvenida) al ordenador cliente. Por lo tanto, no es un procedimiento de autenticación de “dos canales”, sino un procedimiento de autenticación de “canales distintos”.
El hecho de que tanto el sistema de autenticación como el ordenador cliente sean considerados como no fiables mitiga en gran medida los riesgos actuales asociados al proceso de autenticación.
Los inconvenientes descritos en la sección anterior se mitigan en gran medida por medio del procedimiento de la presente invención, que:
proporciona una autenticación fuerte en base a dos factores (dispositivo móvil y contraseña);
mantiene la seguridad de la contraseña, en particular, la contraseña nunca es intercambiada o almacenada en ningún sistema no fiable;
no requiere que el sistema de autenticación almacene ninguna información referida al usuario, ya que la respuesta al desafío contiene toda la información necesaria para verificar la identidad del usuario; y
lleva a cabo todo el proceso de autenticación sin que el usuario interactúe con su ordenador cliente (no fiable). Obsérvese que un posible Troyano en el ordenador cliente no puede saber cuándo se capta una imagen de su pantalla y no puede reconocer la pantalla de bienvenida que se envía unilateralmente desde el sistema de autenticación como una pantalla autenticada.
Además, un rasgo distintivo de la presente invención es que el sistema de autenticación no necesita comunicarse en línea con ningún otro sistema a fin de autenticar al usuario. Por lo tanto, es un sistema autónomo.
Un segundo aspecto de la presente invención se refiere a un sistema para autenticar a un usuario de un dispositivo móvil ante un sistema de autenticación remota que está conectado con al menos un ordenador cliente accesible para dicho usuario, que comprende:
-
un lector de códigos bidimensionales en dicho dispositivo móvil, para leer un código bidimensional, en donde al menos una dirección de URL del sistema de autenticación y un desafío codificado, generado por el sistema de autenticación, están integrados en dicho código bidimensional;
-
medios de procesamiento en dicho dispositivo móvil, para procesar dicho desafío codificado y calcular una respuesta al desafío, usando un secreto personal; en donde dicho secreto personal es una cadena de caracteres unívocamente referidos a un identificador de usuario (Identificador de usuario) de dicho usuario del dispositivo móvil, y a un sello temporal;
-
medios de comunicación entre dicho dispositivo móvil y el sistema de autenticación, configurados para, tras calcular dicha respuesta, enviar un mensaje al sistema de autenticación, incluyendo dicho mensaje un vector cuyos elementos son al menos dicho identificador de usuario, dicho desafío y dicha respuesta al desafío;
-
medios de procesamiento en el sistema de autenticación, configurados para analizar dichos elementos del vector y determinar el vector como un vector válido cuando la respuesta al desafío ha sido generada usando el secreto personal del usuario cuyo identificador de usuario está en el vector durante un periodo de tiempo dado y, en caso de que dicho vector sea válido, los medios de procesamiento están configurados para:
-
comprobar, en una lista de usuarios almacenada en el sistema de autenticación, si el identificador de usuario en el Las ventajas de la invención propuesta devendrán evidentes en la siguiente descripción.
vector está en dicha lista de usuario y, si el identificador de usuario está en la lista de usuarios, los medios de procesamiento están configurados para:
-
verificar si el desafío en el vector está en una lista de sesiones almacenada en el sistema de autenticación y, si el desafío está en la lista de sesiones:
-
el sistema de autenticación está configurado para enviar unilateralmente una pantalla de bienvenida al ordenador cliente que corresponde a un número de identificación de sesión en la lista de sesiones donde está el desafío.
Breve descripción de los dibujos
Para completar la descripción y a fin de proporcionar una mejor comprensión de la invención, se proporciona un dibujo. El dibujo forma parte integral de la descripción e ilustra las realizaciones preferidas de la invención, que no deberían interpretarse como restrictivas del alcance de la invención, sino sólo como un ejemplo de cómo puede realizarse la invención.
El dibujo comprende la Figura 1, que muestra un esquema de autenticación según una realización preferida de la invención.
Descripción detallada de las realizaciones preferidas
El procedimiento de autenticación de la presente invención funciona sobre una arquitectura de autenticación específica, que se muestra en la figura 1. Los elementos de esta arquitectura son los siguientes:
-
DISPOSITIVO MÓVIL 10: El primer elemento es un dispositivo móvil que alberga una aplicación móvil (que se describirá en detalle más adelante). El dispositivo móvil proporciona cuatro características distintas:
a.
Capacidad de almacenamiento seguro.
b.
Capacidad de comunicaciones seguras con un Servidor Fiable 20 (este servidor también se describe adicionalmente más adelante).
c.
Capacidad de comunicación inalámbrica con un sistema 30 de autenticación (también descrito adicionalmente más adelante). Esta capacidad de comunicación estará habitualmente disponible mediante Internet inalámbrico, y el canal de comunicación referido no necesita estar asegurado.
d.
Una cámara integrada a la que puede accederse desde la aplicación móvil.
Cada dispositivo móvil en la arquitectura está directa y unívocamente asociado a un usuario que será autenticado. Este usuario, a su vez, está asociado a un nombre de usuario o ‘Identificador de usuario” que es público y reconocible por parte del sistema de autenticación. Este ‘Identificador de usuario’ podría, por ejemplo, ser el nombre del usuario, la dirección de correo electrónico del usuario o un identificador móvil del usuario (IMEI, IMSI, MSISDN). Sólo necesita ser único y público.
La capacidad de almacenamiento seguro se usa para almacenar en el dispositivo móvil un denominado secreto personal. El hecho de que el almacenamiento sea seguro significa que se requiere una contraseña para extraer este secreto por parte de cualquier aplicación móvil, y sin esta contraseña es informáticamente inviable extraer este secreto.
-
APLICACIÓN MÓVIL: una aplicación móvil se ejecuta dentro del dispositivo móvil. Esta aplicación podría estar integrada en el dispositivo móvil o podría cargarse desde un servidor. La aplicación tiene tres funciones básicas:
1.
Capturar una imagen que contiene un código de barras bidimensional (también llamado etiqueta visual) y descodificar su contenido. La captura se realiza accediendo a la cámara del dispositivo. La imagen se descodifica para obtener el contenido del código de barras. El contenido es una cadena de caracteres que incluye dos elementos de información: un URL y un desafío codificado.
2.
Procesar el desafío codificado y calcular una respuesta válida. El desafío toma la forma usual de una cadena de caracteres que contiene un número muy grande. A fin de calcular la respuesta, se solicita al usuario una contraseña que el dispositivo móvil usa para acceder a, y descifrar, un secreto personal almacenado de forma segura. Este secreto personal, a su vez, es usado por la aplicación móvil para calcular una firma digital breve del desafío, y esta firma constituye la respuesta. La firma se calcula según un esquema de Cifrado Basado en Identidad (IBE). El cálculo de la firma se realiza usando primitivas criptográficas del IBE que garantizan que es informáticamente inviable calcular una respuesta válida a cualquier desafío dado coherente con un Identificador de usuario dado, sin el conocimiento del secreto personal vinculado con ese Identificador de usuario. El secreto personal fue calculado por el PKG del IBE a partir de un valor de identidad obtenido a partir del Identificador de usuario y de una fecha (preferiblemente, la fecha
actual), por lo que cualquiera que conozca este Identificador de usuario y la fecha es capaz de verificar la validez de la firma sin información adicional (que no sea la información pública que define el esquema del IBE). El secreto se almacena de forma segura en el dispositivo móvil, y el acceso al secreto está protegido por la contraseña mencionada, sin la cual es informáticamente inviable su extracción.
3.
Enviar un mensaje al servidor 31 en el sistema de autenticación mediante el canal inalámbrico, habitualmente mediante Internet. La dirección del servidor de autenticación está contenida en el URL que se incluyó en la imagen capturada. El mensaje que se envió es, específicamente, un vector 100 que incluye tres valores (es decir, elementos de información):
a.
El Identificador de usuario
b.
El desafío
c.
La respuesta
-
SERVIDOR FIABLE 20: el fin del Servidor Fiable es gestionar la creación y distribución de secretos personales a los usuarios (a sus dispositivos móviles).
El servidor fiable debe proporcionar un canal integrado de comunicación segura a todos los dispositivos móviles. En este contexto, seguro significa cifrado y autenticado. La existencia y seguridad de este canal de comunicación se dan por sentadas. Por otra parte, este canal no necesita estar permanentemente activo; se usará sólo en la fase de distribución secreta (véase más adelante).
El Servidor Fiable almacena de manera segura (o bien tiene acceso seguro de otro modo a) un denominado Secreto Maestro. A este Secreto Maestro se accede por un programa de software llamado el software de cálculo de secretos.
-
SOFTWARE DE CÁLCULO DE SECRETOS: es un programa de software que se ejecuta en el Servidor Fiable. Este programa recibe como entrada un Identificador de usuario y una fecha (preferiblemente, la fecha actual) y, usando el Secreto Maestro, calcula un secreto personal válido para ese usuario y un periodo específico de tiempo (por ejemplo, el día que corresponde a esa fecha específica) según primitivas criptográficas del IBE. Además, el componente es capaz de enviar este secreto personal a la aplicación móvil que se ejecuta en el dispositivo que pertenece a ese usuario específico, usando el canal integrado de comunicación segura del Servidor Fiable al dispositivo. El Software de Cálculo de Secretos asume el papel del PKG del IBE.
También es posible que el secreto personal se calcule en una secuencia de etapas e intercambios de datos entre el Servidor Fiable y la aplicación móvil. En este caso más general, el secreto personal se calcula de tal modo de manera distribuida entre el componente de cálculo de secretos y la aplicación móvil.
En cualquier caso, siempre valen dos condiciones:
1.
El secreto personal de un usuario está unívocamente vinculado al Identificador de usuario y a una fecha específica, en el sentido de que, para un Secreto Maestro dado, un secreto personal sólo puede corresponder a un Identificador de usuario y a una fecha.
2.
El secreto personal no puede calcularse fiablemente sin el Secreto Maestro
-
ORDENADOR CLIENTE 40: este puede ser un ordenador personal, un quiosco, un cajero automático, etc., que esté físicamente situado donde está el usuario. El ordenador cliente comprende una pantalla, capaz de presentar una interfaz gráfica de usuario, y esta pantalla es visible por el usuario, de modo tal que el usuario pueda tomar fácilmente una fotografía de la pantalla usando la cámara que está integrada en su dispositivo móvil. Cuando el usuario quiere autenticarse a sí mismo, se pone frente al ordenador cliente.
-
SISTEMA 30 DE AUTENTICACIÓN: está a cargo de autenticar efectivamente a los usuarios. Este sistema se implementará efectivamente como un servidor 31 de autenticación, o una red de servidores u ordenadores, actuando de forma coordinada. Incluso podría ser el mismo ordenador cliente. En el caso de que el sistema esté físicamente separado del ordenador cliente, debe tener acceso a un enlace de comunicación (posiblemente no fiable) con uno o más ordenadores clientes (usualmente Internet 41, o bien puede ser la red interna de alguna compañía).
Este sistema de autenticación realiza las siguientes cuatro funciones:
a. Sirve las denominadas “páginas de conexión” (o “pantallas de conexión”). Esto significa que el sistema de autenticación es capaz de generar y enviar al ordenador cliente una interfaz gráfica que posea las siguientes propiedades:
i. Incluye un código de barras bidimensional que integra el URL del sistema de autenticación y un desafío aleatorio seguro con un número dado de bits.
ii. Rastrea los ordenadores clientes donde está sirviendo páginas de conexión, por medio del desafío que ha enviado, usando este desafío como un número de identificación de sesión. El sistema almacena el número de identificación de sesión en una lista de sesiones. De esta manera, el sistema sabe qué ordenador cliente corresponde a cada desafío que ha generado. El número de identificación de sesión para cualquier ordenador cliente es idéntico al último desafío enviado a ese ordenador cliente integrado en la página o pantalla de conexión.
iii. En cualquier momento dado, si el ordenador cliente solicita otra página de conexión, se genera un nuevo desafío aleatorio, se sirve la página de conexión y se actualiza la lista de sesiones con el nuevo desafío (es decir, el nuevo número de identificación de sesión), dejando como inválido el anterior.
En el caso específico de que el ordenador cliente sea un ordenador personal que alberga un explorador de Internet, entonces esta función es una función del servidor de red, y la interfaz servida toma la forma de una página de HTML que incluye una imagen integrada con el código de barras bidimensional.
b.
Permanece a la escucha de, y recibe, vectores que son enviados por dispositivos móviles por sus canales de comunicación inalámbrica. Habitualmente, el canal inalámbrico será un acceso inalámbrico a Internet y, en este caso, el sistema recibe los vectores por Internet.
c.
Procesa vectores. El procesamiento de vectores se define como el análisis de los tres elementos de cada vector {Identificador de usuario, desafío y respuesta} y la devolución de una Aceptación o Rechazo. El proceso tomará como entrada los tres valores en el vector y una, o posiblemente más, fecha(s) de entrada (habitualmente sólo una fecha, la fecha actual). El proceso devolverá una Aceptación toda vez que el vector sea un vector válido, y devolverá un Rechazo en cualquier otro caso. Un vector válido se define como un vector donde se garantiza que la respuesta al desafío se genera usando el secreto personal que corresponde al usuario cuyo Identificador de usuario está en el vector, para cualquiera de los periodos vinculados con las fechas de entrada. La función de procesamiento de vectores se lleva a cabo usando primitivas criptográficas públicas que se suponen pasibles de conocimiento por cualquiera. Esta función es realizada por un programa de software que no incluye (ni accede a) ningún secreto.
d.
Envía unilateralmente “páginas de bienvenida” (o “pantallas de bienvenida”). Una página de bienvenida se define como la primera página (o pantalla) que cada usuario ve en el ordenador cliente después de que se ha autenticado con éxito. A partir de esta página, el usuario podrá acceder al sistema según sus roles autorizados. Esto significa que el sistema tiene la capacidad de identificar, para cualquier desafío dado, el ordenador cliente donde sirvió la página de conexión que incluía ese desafío, y de enviar a continuación (por su propia iniciativa) la página de bienvenida de una sesión autenticada a ese ordenador cliente específico. En el caso específico de que el ordenador cliente sea un ordenador personal que alberga un explorador de Internet, la capacidad de envío unilateral consiste en la capacidad de enviar unilateralmente una página de HTML a este explorador.
Estas cuatro funciones se implementan por medio de un cierto número de programas de ordenador distribuidos y coordinados.
Además, el sistema de autenticación almacena una lista 300 de usuarios. Esta lista contiene los Identificadores de usuario de todos los usuarios que están autorizados a acceder al sistema y, posiblemente, otra información adicional que el sistema podría usar para personalizar la página de bienvenida de cada usuario.
Si el sistema con el cual el usuario se autentica requiere que se lleve a cabo cualquier otra función para la autenticación (por ejemplo, almacenar alguna información en un directorio, iniciar algún proceso de auditoría, etc.), entonces esta función también es llevada a cabo por el sistema de autenticación.
Ninguna de las funciones anteriormente descritas del sistema de autenticación requiere el acceso a ningún otro sistema externo, es decir, sólo las funciones anteriormente descritas son requeridas para la autenticación.
El procedimiento de autenticación de la presente invención puede funcionar usando cualquier tipo de código de barras bidimensional que esté diseñado de modo tal que la lectura y la descodificación sean factibles y eficientes usando la cámara y la potencia informática disponible en un dispositivo móvil. Ejemplos de estos tipos son Datamatrix, el código QR
o Semacode.
El procedimiento de autenticación de la presente invención consiste en tres fases:
-
CONFIGURACIÓN: durante esta fase de Configuración, se genera el Secreto Maestro y todos los componentes descritos anteriormente se instalan y se inician todas las aplicaciones. Esto se hace sólo una vez.
-
DISTRIBUCIÓN DE SECRETOS: el fin de la fase de distribución de Secretos es calcular y distribuir todos los secretos personales a cada dispositivo móvil del usuario. Esta fase se ejecuta periódicamente (por ejemplo, una vez por día). El secreto personal que se distribuye se calcula usando la fecha actual del sistema del Servidor Fiable y se define como válido para un periodo de tiempo cuya duración coincide con el periodo del cálculo de secretos. Por ejemplo, si esta fase se ejecuta una vez por día, entonces todos los secretos personales son válidos por un día; si esta fase se ejecuta una vez por semana, entonces todos los secretos personales son válidos por una semana.
-
AUTENTICACIÓN: la fase de Autenticación es la autenticación efectiva del usuario ante el sistema de autenticación. Esta fase es un proceso que tiene lugar en las siguientes etapas:
1) El usuario accede al ordenador cliente y solicita una pantalla de conexión;
2) El sistema de autenticación sirve una pantalla de conexión que incluye un código de barras bidimensional.
3) El usuario inicia la aplicación móvil en su dispositivo móvil.
4) El usuario usa la aplicación móvil para tomar una imagen del código de barras bidimensional en la pantalla del ordenador cliente.
5) La aplicación móvil solicita al usuario una contraseña a fin de acceder al secreto personal almacenado en el dispositivo.
6) El usuario ingresa la contraseña y la aplicación móvil extrae el secreto personal.
7) La aplicación móvil calcula la respuesta que corresponde al desafío integrado en el código de barras, usando el secreto personal.
8) La aplicación móvil envía, mediante comunicación inalámbrica, el vector {Identificador de usuario, desafío, respuesta} al URL que estaba integrado en el código de barras.
9) El sistema de autenticación recibe el vector.
10) El sistema de autenticación procesa el vector.
11) Si se devuelve un Rechazo, el vector no es válido y al proceso de autenticación falla y termina.
12) Si se devuelve una Aceptación, el vector es válido y el usuario está autenticado, lo que significa que el sistema de autenticación se fía de que el vector proviene del usuario que corresponde al Identificador de usuario. Sin embargo, a fin de proporcionar acceso al usuario, el proceso aún tiene que avanzar más, según lo siguiente.
13) El sistema de autenticación busca en su lista de usuarios para ver si el Identificador de usuario que llega en el vector está en la lista.
14) Si el Identificador de usuario no está en la lista, se supone que el usuario no está autorizado para acceder, el proceso falla y termina.
15) Si el Identificador de usuario está en la lista, el sistema de autenticación busca el desafío en el vector en la lista de sesiones. Si el desafío que llegó con el vector no está en la lista de sesiones, el proceso falla y termina.
16) Si el desafío está en la lista de sesiones, el sistema de autenticación envía unilateralmente la pantalla de bienvenida al ordenador cliente que corresponde al número de identificación de sesión (posiblemente una pantalla de bienvenida personalizada para el Identificador de usuario). El proceso ha acabado con éxito.
La tecnología promocional se usa porque en el mecanismo descrito la iniciativa para reemplazar la pantalla de conexión por una pantalla autenticada (y la sesión inicial por una sesión autenticada) proviene del sistema de autenticación, y no del ordenador cliente. En una típica arquitectura de cliente-servidor, esto sólo requiere una implementación específica de software. En una arquitectura basada en la Red, es necesario usar un mecanismo específico de envío unilateral. Este mecanismo se implementará usualmente por medio de tecnologías adecuadas, tales como el flujo de http, las aplicaciones promotoras de Java o el sondeo prolongado.
Según la realización preferida, el sistema de autenticación usa un canal de comunicación regular para enviar al ordenador cliente una pantalla de conexión. Esta pantalla contiene un código de barras bidimensional que contiene información sobre el URL del sistema de autenticación y, lo que es sumamente notable, un desafío aleatorio (un número aleatorio usado sólo una vez, o “ninguna vez”) generado por el sistema de autenticación. El usuario, que preferiblemente se coloca frente al ordenador cliente, no necesita usar el teclado o ratón del ordenador cliente, sino que sólo necesita capturar la imagen con la cámara incluida en su dispositivo móvil y descodificar el URL y el desafío. El usuario ingresa entonces una contraseña en el dispositivo móvil y, como consecuencia, se calcula una respuesta a este desafío. Esta respuesta no puede ser calculada por ningún otro dispositivo que no sea el del usuario, y no puede calcularse sin la contraseña del usuario. Una vez calculada, la respuesta se envía, junto con la identidad del usuario, al URL del sistema de autenticación, mediante un canal establecido ad hoc desde el dispositivo móvil. El sistema de autenticación es capaz de comprobar que la respuesta al desafío aleatorio proviene necesariamente del usuario antes de verificar su identidad. A fin de cerrar el ciclo, el sistema
5 de autenticación finalmente envía unilateralmente al ordenador cliente (identificado por el desafío aleatorio) una pantalla de “bienvenida” autenticada, para permitir que el usuario continúe su interacción con el sistema por medio del ordenador cliente.
El procedimiento de autenticación, según lo anteriormente descrito, proporciona una autenticación fuerte, en el sentido de que las contraseñas, u otras credenciales, no se intercambian nunca entre el usuario y el sistema de autenticación. Por
10 otra parte, el sistema de autenticación no necesita almacenar ninguna información relacionada con el usuario en absoluto con fines de autenticación, aunque se le requiere almacenar los Identificadores de usuarios con fines de autorización.
La invención, obviamente, no está limitada a las realizaciones específicas descritas en el presente documento, sino que también abarca todas las variaciones que puedan ser consideradas por cualquier persona experta en la técnica (por ejemplo, en lo que respecta a la elección de componentes, configuración, etc.), dentro del alcance general de la invención,
15 según lo definido en las reivindicaciones adjuntas.

Claims (13)

  1. REIVINDICACIONES
    1. Procedimiento para autenticar a un usuario de un dispositivo móvil (10) ante un sistema (30) de autenticación remota, que está conectado con al menos un ordenador cliente accesible para dicho usuario, que comprende:
    i – leer un código bidimensional exhibido en el ordenador cliente (40) por medio de un lector de códigos bidimensionales proporcionado en dicho dispositivo móvil, en donde al menos una dirección de URL del sistema de autenticación, y un desafío codificado, generado por el sistema de autenticación, están integrados en dicho código bidimensional;
    ii – procesar dicho desafío codificado y calcular una respuesta al desafío, usando un secreto personal, siendo dicho secreto personal una cadena de caracteres unívocamente vinculados con un identificador de usuario, Identificador de usuario, de dicho usuario del dispositivo móvil, y con un sello temporal;
    iii – enviar un mensaje al sistema de autenticación, incluyendo dicho mensaje un vector (100), cuyos elementos son al menos dicho identificador de usuario, dicho desafío y dicha respuesta al desafío;
    iv – analizar dichos elementos del vector y determinar que el vector es un vector válido, cuando la respuesta al desafío ha sido generada usando el secreto personal del usuario cuyo identificador de usuario está en el vector durante un periodo de tiempo dado y, en caso de que dicho vector sea válido:
    v – buscar en una lista (300) de usuarios almacenada en el sistema de autenticación, para ver si el identificador de usuario en el vector está en dicha lista de usuarios y, si el identificador de usuario está en la lista de usuarios, verificar si el desafío en el vector está en una lista de sesiones almacenada en el sistema de autenticación y, si el desafío está en la lista de sesiones, el sistema de autenticación envía unilateralmente una pantalla de bienvenida al ordenador cliente que corresponde a un número de identificación de sesión en la lista de sesiones donde está el desafío.
  2. 2.
    Procedimiento según la reivindicación 1, en el cual dicho secreto personal está almacenado en el dispositivo móvil y se accede a él tras ingresar una contraseña.
  3. 3.
    Procedimiento según cualquiera de las reivindicaciones 1 a 2, en el cual la etapa de procesar dicho desafío codificado y de calcular una respuesta comprende:
    -
    solicitar al usuario del dispositivo móvil que ingrese una contraseña a fin de acceder a un secreto personal almacenado en el dispositivo móvil;
    -
    tras ingresar dicha contraseña, extraer dicho secreto personal;
    -
    calcular una respuesta al desafío integrado en el código bidimensional usando dicho secreto personal.
  4. 4.
    Procedimiento según cualquier reivindicación precedente, en el cual la respuesta al desafío se calcula usando un algoritmo de firma digital según un esquema de Cifrado Basado en Identidad, de modo tal que la validez de dicha firma pueda ser verificada posteriormente para cualquiera fecha dada y cualquier identificador de usuario dado, usando sólo información públicamente disponible vinculada con dicho esquema.
  5. 5.
    Procedimiento según cualquier reivindicación precedente, en el cual dicho secreto personal es proporcionado por un servidor fiable (20), que calcula dicho secreto personal usando un secreto maestro, y dicho identificador de usuario y dicho sello temporal.
  6. 6.
    Procedimiento según cualquier reivindicación precedente, en el cual la etapa de analizar los elementos del vector es llevada a cabo por el sistema de autenticación y realizada usando primitivas criptográficas públicas.
  7. 7.
    Procedimiento según cualquier reivindicación precedente, en el cual dicho lector de códigos bidimensionales es una cámara.
  8. 8.
    Procedimiento según cualquier reivindicación precedente, en el cual dicho código bidimensional es cualquier representación gráfica de datos que obedece a una forma predeterminada, y que puede ser leída y descodificada con un lector de códigos bidimensionales.
  9. 9.
    Sistema para autenticar a un usuario de un dispositivo móvil (10) ante un sistema (30) de autenticación remoto que está conectado con al menos un ordenador cliente accesible para dicho usuario, que comprende:
    -
    un lector de códigos bidimensionales en dicho dispositivo móvil para leer un código bidimensional, en donde al menos una dirección de URL del sistema de autenticación y un desafío codificado, generado por el sistema de autenticación, están integrados en dicho código bidimensional;
    -
    medios de procesamiento en dicho dispositivo móvil para procesar dicho desafío codificado y calcular una respuesta al desafío usando un secreto personal; en donde dicho secreto personal es una cadena de caracteres unívocamente relacionados con un identificador de usuario, Identificador de usuario, de dicho usuario del dispositivo móvil, y con un sello temporal;
    -
    medios de comunicación entre dicho dispositivo móvil y el sistema de autenticación, configurados, tras calcular dicha respuesta, para enviar un mensaje al sistema de autenticación, incluyendo dicho mensaje un vector (100) cuyos elementos son al menos dicho identificador de usuario, dicho desafío y dicha respuesta al desafío;
    -
    medios de procesamiento en el sistema de autenticación, configurados para analizar dichos elementos del vector y determinar si el vector es un vector válido cuando la respuesta al desafío ha sido generada usando el secreto personal del usuario cuyo identificador de usuario está en el vector durante un periodo de tiempo dado y, en caso de que dicho vector sea válido, los medios de procesamiento están configurados para:
    -
    comprobar en una lista de usuarios almacenada en el sistema de autenticación si el identificador de usuario en el vector está en dicha lista de usuarios y, si el identificador de usuario está en la lista de usuarios, los medios de procesamiento están configurados para:
    -
    verificar si el desafío en el vector está en una lista de sesiones almacenada en el sistema de autenticación y, si el desafío está en la lista de sesiones:
    -
    el sistema de autenticación está configurado para enviar unilateralmente una pantalla de bienvenida al ordenador cliente que corresponda a un número de identificación de sesión en la lista de sesiones donde está el desafío.
  10. 10.
    Sistema según la reivindicación 9, en el cual dicho secreto personal se almacena en el dispositivo móvil y se accede a él tras ingresar una contraseña.
  11. 11.
    Sistema según cualquiera de las reivindicaciones 9 a 10, en el cual la respuesta al desafío se calcula usando un algoritmo de firma digital según un esquema de Cifrado Basado en Identidad, de modo tal que la validez de dicha firma pueda ser verificada posteriormente para cualquiera fecha dada y cualquier identificador de usuario dado, usando sólo información públicamente disponible vinculada con dicho esquema.
  12. 12.
    Sistema según cualquiera de las reivindicaciones 9 a 11, en el cual dicho secreto personal está proporcionado por un servidor fiable (20), que está configurado para calcular dicho secreto personal usando un secreto maestro, y dicho identificador de usuario y dicho sello temporal.
  13. 13.
    Sistema según cualquiera de las reivindicaciones 9 a 12, en el cual dicho lector de códigos bidimensionales es una cámara.
ES08164499T 2008-09-17 2008-09-17 Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil. Active ES2373489T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP08164499A EP2166697B1 (en) 2008-09-17 2008-09-17 Method and system for authenticating a user by means of a mobile device

Publications (1)

Publication Number Publication Date
ES2373489T3 true ES2373489T3 (es) 2012-02-06

Family

ID=40332885

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08164499T Active ES2373489T3 (es) 2008-09-17 2008-09-17 Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.

Country Status (6)

Country Link
US (1) US8261089B2 (es)
EP (1) EP2166697B1 (es)
AT (1) ATE524897T1 (es)
ES (1) ES2373489T3 (es)
PL (1) PL2166697T3 (es)
PT (1) PT2166697E (es)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614849B2 (en) 2010-11-25 2017-04-04 Ensygnia Ip Ltd (Eipl) Handling encoded information

Families Citing this family (153)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9762576B2 (en) 2006-11-16 2017-09-12 Phonefactor, Inc. Enhanced multi factor authentication
US20090241175A1 (en) * 2008-03-20 2009-09-24 David Trandal Methods and systems for user authentication
ES2381293B1 (es) * 2009-04-20 2012-11-07 Alter Core, S.L. Sistema y método de acreditación personal mediante dispositivo móvil.
DE102009057800A1 (de) * 2009-12-10 2011-06-16 Eberhard-Karls-Universität Tübingen Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung
CN102098350A (zh) * 2009-12-15 2011-06-15 鸿富锦精密工业(深圳)有限公司 信息下载服务器及便携式电子装置和信息获取方法
US20120072353A1 (en) * 2010-02-11 2012-03-22 Christopher Boone Enhanced system and method for multipath contactless transactions
US10460316B2 (en) * 2010-04-05 2019-10-29 Paypal, Inc. Two device authentication
KR101132361B1 (ko) 2010-04-06 2012-04-03 김경진 보안성을 강화한 데이터 전송 방법 및 시스템
KR101132362B1 (ko) 2010-04-29 2012-04-03 김경진 외부의 전자 기기를 이용하여 보안 데이터를 생성하는 방법 및 시스템
US20110289537A1 (en) * 2010-05-24 2011-11-24 Joe Buehl Temporary authorization for a user device to remotely access a video on-demand service
US8407762B2 (en) 2010-07-01 2013-03-26 Tata Consultancy Services Ltd. System for three level authentication of a user
KR101122655B1 (ko) 2010-07-20 2012-03-09 한국모바일인증 주식회사 이동통신 시스템을 통해 보안이 강화된 사용자 인증 처리 방법 및 이에 이용되는 이동통신 단말기
KR101144914B1 (ko) 2010-08-04 2012-05-14 장정훈 바코드 형태의 보안테이블을 이용한 사용자 인증장치 및 방법, 그리고 인증서버 및 그 인증방법
KR101190776B1 (ko) 2010-09-14 2012-10-12 표세진 두 대의 통신단말기를 이용한 보안이 강화된 사용자 인증 방법
EP2421217B1 (en) * 2010-08-16 2013-10-02 BlackBerry Limited Communication system providing wireless authentication for private data access and related method
US8869248B2 (en) 2010-08-16 2014-10-21 Blackberry Limited Communication system providing wireless authentication for private data access and related methods
US9521174B2 (en) * 2010-10-19 2016-12-13 Paul Matthew Davidge Video script interpreter platform with cooperating client and server
US8661254B1 (en) * 2010-12-03 2014-02-25 Ca, Inc. Authentication of a client using a mobile device and an optical link
KR101051407B1 (ko) * 2011-02-08 2011-07-22 홍승의 네트워크 통신망에서의 쌍방향 가입자 보안 인증 시스템과 방법 및 이 방법을 기록한 기록매체
EP2692125B1 (en) * 2011-03-31 2019-06-26 Sony Mobile Communications AB System and method for establishing a communication session
US9094454B2 (en) * 2011-06-10 2015-07-28 Zone24X7 Inc. Location specific personalized enterprise services using video signature of an electronic display
US9628875B1 (en) * 2011-06-14 2017-04-18 Amazon Technologies, Inc. Provisioning a device to be an authentication device
KR101799311B1 (ko) * 2011-06-28 2017-11-21 삼성전자 주식회사 무선통신장치 및 그 제어방법
US8668144B2 (en) 2011-08-12 2014-03-11 Ricoh Company, Ltd. Method and process for symbolic mark decoding
LV14456B (lv) * 2011-10-04 2012-04-20 Relative Cc, Sia Lietotāja identitātes noteikšanas paņēmiens
FR2981815A1 (fr) * 2011-10-19 2013-04-26 Bertrand Labaye Procede securise d'authentification forte et de controle d'acces sans contact
WO2013062459A2 (en) * 2011-10-26 2013-05-02 Mopper Ab Method and arrangement for authorizing a user
GB201119375D0 (en) 2011-11-10 2011-12-21 Merburn Ltd Financial transaction processing system and method
US8924712B2 (en) * 2011-11-14 2014-12-30 Ca, Inc. Using QR codes for authenticating users to ATMs and other secure machines for cardless transactions
US8701166B2 (en) 2011-12-09 2014-04-15 Blackberry Limited Secure authentication
EP2602735B1 (en) * 2011-12-09 2018-04-04 BlackBerry Limited Secure authentication
US9438575B2 (en) 2011-12-22 2016-09-06 Paypal, Inc. Smart phone login using QR code
WO2013110253A1 (de) * 2011-12-23 2013-08-01 Appbyyou Gmbh Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
US10742634B1 (en) 2011-12-27 2020-08-11 Majid Shahbazi Methods for single sign-on (SSO) using optical codes
US8751794B2 (en) * 2011-12-28 2014-06-10 Pitney Bowes Inc. System and method for secure nework login
EP2611096A1 (en) * 2011-12-28 2013-07-03 Gemalto SA Method for authenticating a user using a second mobile device
WO2013110407A1 (de) * 2012-01-25 2013-08-01 Siemens Aktiengesellschaft Zugriffssteuerung
US8935777B2 (en) 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US8990406B2 (en) 2012-02-24 2015-03-24 Wyse Technology L.L.C. System and method for information sharing using near proximity communication
EP2817939B1 (en) * 2012-02-24 2019-08-07 Wyse Technology L.L.C. Information sharing using token received using visual tag
US8966092B2 (en) 2012-02-24 2015-02-24 Wyse Technology L.L.C. System and method for information sharing using near proximity communication
US9100822B2 (en) 2012-02-24 2015-08-04 Wyse Technology L.L.C. System and method for information sharing using visual tags
US9065808B2 (en) 2012-02-24 2015-06-23 Wyse Technology L.L.C. System and method for information sharing using visual tags
US10503888B2 (en) 2012-03-16 2019-12-10 Traitware, Inc. Authentication system
CA2872747C (en) 2012-04-01 2017-08-01 Authentify, Inc. Secure authentication in a multi-party system
US10147092B2 (en) * 2012-04-03 2018-12-04 Mauricio Eduardo Palma Lizana System and method for signing and authenticating secure transactions through a communications network
BE1024035B1 (nl) * 2012-04-27 2017-10-31 Lin.K.N.V. Mobiel authenticatiesysteem
US20130298155A1 (en) * 2012-05-03 2013-11-07 Rawllin International Inc. Video personal identification code for video on demand services
US9280643B2 (en) * 2012-05-11 2016-03-08 Netgear, Inc. Establishing access to a secure network based on user-created credential indicia
US8997193B2 (en) * 2012-05-14 2015-03-31 Sap Se Single sign-on for disparate servers
DE102012010559A1 (de) * 2012-05-29 2013-12-05 Top.Conduct Gmbh Authentifizierungssystem und -verfahren zur einfachsten Übertragung von Anwendungsprogrammen und Zugangsberechtigungsdaten für online zur Verfügung gestellte Angebote zwischen unterschiedlichen mobilen Geräten zur Online-Nutzung
KR101237386B1 (ko) * 2012-06-07 2013-02-26 표세진 두 대의 통신단말기를 이용한 보안이 강화된 사용자 인증 방법
KR101237385B1 (ko) 2012-06-07 2013-02-28 표세진 두 대의 통신단말기를 이용한 보안이 강화된 사용자 인증 방법
US8875253B2 (en) 2012-07-03 2014-10-28 Facebook, Inc. Trust metrics on shared computers
US8918638B2 (en) * 2012-07-03 2014-12-23 Facebook, Inc. Mobile-device-based trust computing
EP2690838A1 (en) * 2012-07-23 2014-01-29 Alcatel Lucent Authentification system preserving secret data confidentiality
GB201213281D0 (en) * 2012-07-26 2012-09-05 Highgate Labs Ltd Data communication method and system
ES2606602T3 (es) 2012-08-02 2017-03-24 Banco Bilbao Vizcaya Argentaria, S.A. Método para la generación de un código, método y sistema de autorización de una operación
IN2015KN00466A (es) 2012-08-03 2015-07-17 Vasco Data Security Int Gmbh
WO2014027110A1 (en) * 2012-08-16 2014-02-20 Cargonis Gmbh Authentication method and system
EP2901371A4 (en) * 2012-09-28 2016-05-25 Hewlett Packard Development Co QR CODE USE IN SELF-REGISTRATION IN A NETWORK
US9876775B2 (en) * 2012-11-09 2018-01-23 Ent Technologies, Inc. Generalized entity network translation (GENT)
US9027085B2 (en) * 2012-12-22 2015-05-05 John Scott Kula Method, system and program product for secure authentication
CN103067381B (zh) * 2012-12-26 2015-11-25 百度在线网络技术(北京)有限公司 使用平台方账号登录第三方服务的方法、系统和装置
US10051467B2 (en) * 2013-01-23 2018-08-14 Microsoft Technology Licensing, Llc Restricted-use authentication codes
KR20140100159A (ko) * 2013-02-05 2014-08-14 도시바삼성스토리지테크놀러지코리아 주식회사 광 디스크 장치의 인증 방법 및 그 시스템
CN103152330A (zh) * 2013-02-07 2013-06-12 百度在线网络技术(北京)有限公司 登录方法、系统和云端服务器
IN2013DE00375A (es) * 2013-02-08 2015-06-26 Anant Kochhar
US20160078430A1 (en) * 2013-03-15 2016-03-17 Capital One Financial Corporation System and method for digital authentication
US9038195B2 (en) 2013-03-15 2015-05-19 Google Technology Holdings LLC Accessing a cloud-based service using a communication device linked to another communication device via a peer-to-peer ad hoc communication link
US10841289B2 (en) 2013-03-18 2020-11-17 Digimarc Corporation Mobile devices as security tokens
US10164974B2 (en) 2013-03-19 2018-12-25 Traitware, Inc. Authentication system
US10862972B2 (en) * 2013-03-28 2020-12-08 Pismo Labs Technology Limited Method and system to transmit and receive data packets through at least one end-to-end connection
US8887993B2 (en) * 2013-04-23 2014-11-18 The Boeing Company Barcode access to electronic resources for complex system parts
US9098593B2 (en) 2013-04-23 2015-08-04 The Boeing Company Barcode access to electronic resources for lifecycle tracking of complex system parts
FR3007600A1 (fr) * 2013-06-20 2014-12-26 France Telecom Procede d'authentification d'un utilisateur pour l'acces a un ensemble de services fournis sur un reseau de communication prive
US20150006881A1 (en) * 2013-06-27 2015-01-01 Check Point Software Technologies Ltd. Securing an Encryption Key of a User Device While Preserving Simplified User Experience
RU2583710C2 (ru) 2013-07-23 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
US9426183B2 (en) 2013-07-28 2016-08-23 Acceptto Corporation Authentication policy orchestration for a user device
CN103825871B (zh) 2013-07-31 2015-05-27 深圳光启创新技术有限公司 一种鉴权系统及其发射终端、接收终端和权限认证方法
US10250579B2 (en) * 2013-08-13 2019-04-02 Alcatel Lucent Secure file transfers within network-based storage
RU2016105315A (ru) 2013-09-04 2017-10-09 Антон Николаевич Чурюмов Способ для аутентификации пользователя через несколько пользовательских устройств
US20160219039A1 (en) * 2013-09-06 2016-07-28 Mario Houthooft Mobile Authentication Method and System for Providing Authenticated Access to Internet-Sukpported Services and Applications
EP2849448A1 (fr) 2013-09-13 2015-03-18 Nagravision S.A. Méthode pour contrôler l'accès à du contenu diffusé
CN104519197A (zh) * 2013-09-29 2015-04-15 腾讯科技(深圳)有限公司 用户登录的方法、装置及终端设备
US9288060B1 (en) * 2013-11-06 2016-03-15 Dell Software Inc. System and method for decentralized authentication of supplicant devices
US10177933B2 (en) 2014-02-05 2019-01-08 Apple Inc. Controller networks for an accessory management system
US9928358B2 (en) * 2013-12-09 2018-03-27 Mastercard International Incorporated Methods and systems for using transaction data to authenticate a user of a computing device
US9424410B2 (en) * 2013-12-09 2016-08-23 Mastercard International Incorporated Methods and systems for leveraging transaction data to dynamically authenticate a user
CN108259159B (zh) 2014-02-05 2021-02-05 苹果公司 用于在控制器和附件之间进行配对的方法和系统
US9213825B1 (en) * 2014-02-21 2015-12-15 American Megatrends, Inc. User authentication using two-dimensional barcodes
KR102267798B1 (ko) * 2014-03-25 2021-06-23 삼성전자주식회사 사용자 단말을 통한 로그인 지원 방법 및 그 장치
US9332008B2 (en) * 2014-03-28 2016-05-03 Netiq Corporation Time-based one time password (TOTP) for network authentication
US10325259B1 (en) 2014-03-29 2019-06-18 Acceptto Corporation Dynamic authorization with adaptive levels of assurance
WO2015179640A1 (en) * 2014-05-22 2015-11-26 Alibaba Group Holding Limited Method, apparatus, and system for providing a security check
CN105099692B (zh) 2014-05-22 2020-01-14 创新先进技术有限公司 安全校验方法、装置、服务器及终端
WO2015184387A1 (en) * 2014-05-30 2015-12-03 Apple Inc. Accessory management system using environment model
CN105227536B (zh) * 2014-07-03 2018-12-14 阿里巴巴集团控股有限公司 一种二维码登录方法和设备
US9961059B2 (en) * 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
US9077713B1 (en) * 2014-09-02 2015-07-07 Google Inc. Typeless secure login to web-based services
CN105592456B (zh) * 2014-10-20 2018-10-30 中国电信股份有限公司 二维码认证的方法和系统
DE102014015814B4 (de) * 2014-10-24 2016-05-04 Unify Gmbh & Co. Kg Verfahren zum Authentifizieren eines Benutzergeräts bei der Anmeldung an einem Server
CN105630519A (zh) * 2014-10-29 2016-06-01 江苏威盾网络科技有限公司 一种基于二维码的安全开机认证方法
US10206170B2 (en) 2015-02-05 2019-02-12 Apple Inc. Dynamic connection path detection and selection for wireless controllers and accessories
WO2016164850A1 (en) * 2015-04-09 2016-10-13 Microscan Systems, Inc. Web enabled interface for an embedded server
US10007913B2 (en) 2015-05-05 2018-06-26 ShoCard, Inc. Identity management service using a blockchain providing identity transactions between devices
US10387980B1 (en) 2015-06-05 2019-08-20 Acceptto Corporation Method and system for consumer based access control for identity information
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
CN108293144B (zh) * 2015-11-27 2021-04-30 索尼公司 信息处理装置、信息处理方法、接收装置和接收方法
CN106997237A (zh) * 2016-01-26 2017-08-01 西安诺瓦电子科技有限公司 一种基于显示屏终端的摇一摇互动方法
CN105791270A (zh) * 2016-02-19 2016-07-20 沈文策 一种进入圈子直播室的验证方法以及系统
CN105701896B (zh) * 2016-02-29 2018-06-15 宇龙计算机通信科技(深圳)有限公司 一种指纹授权开锁的方法、装置及终端
US10587609B2 (en) 2016-03-04 2020-03-10 ShoCard, Inc. Method and system for authenticated login using static or dynamic codes
US10509932B2 (en) 2016-03-07 2019-12-17 ShoCard, Inc. Large data transfer using visual codes with feedback confirmation
US10007826B2 (en) 2016-03-07 2018-06-26 ShoCard, Inc. Transferring data files using a series of visual codes
USRE49968E1 (en) 2017-02-06 2024-05-14 Ping Identity Corporation Electronic identification verification methods and systems with storage of certification records to a side chain
US10498541B2 (en) 2017-02-06 2019-12-03 ShocCard, Inc. Electronic identification verification methods and systems
DE102017203235A1 (de) 2017-02-28 2018-08-30 Siemens Aktiengesellschaft Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server
US10496508B2 (en) 2017-06-02 2019-12-03 Apple Inc. Accessory communication control
CN107666485A (zh) * 2017-09-20 2018-02-06 知而行(上海)营销咨询有限公司 用于微信会员通的账户信息采集方法
CN107682367A (zh) * 2017-11-14 2018-02-09 北京酷我科技有限公司 一种pc端网页登录方法和系统
US11153303B2 (en) * 2017-11-15 2021-10-19 Citrix Systems, Inc. Secure authentication of a device through attestation by another device
US11245679B1 (en) * 2017-11-15 2022-02-08 Veritas Technologies Llc Securing external access to runtime services in appliances
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
EP4120620A1 (en) 2017-12-08 2023-01-18 Ping Identity Corporation Methods and systems for recovering data using dynamic passwords
US11367323B1 (en) 2018-01-16 2022-06-21 Secureauth Corporation System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score
US11133929B1 (en) 2018-01-16 2021-09-28 Acceptto Corporation System and method of biobehavioral derived credentials identification
US11005839B1 (en) 2018-03-11 2021-05-11 Acceptto Corporation System and method to identify abnormalities to continuously measure transaction risk
US11455641B1 (en) 2018-03-11 2022-09-27 Secureauth Corporation System and method to identify user and device behavior abnormalities to continuously measure transaction risk
US10595073B2 (en) 2018-06-03 2020-03-17 Apple Inc. Techniques for authorizing controller devices
US11805009B2 (en) 2018-06-03 2023-10-31 Apple Inc. Configuring accessory network connections
EP3588413A1 (en) * 2018-06-21 2020-01-01 Auriga S.p.A. Identification method with strong authentication for the enabling of a computer system
CN108989441A (zh) * 2018-07-27 2018-12-11 京东方科技集团股份有限公司 一种信息交互系统及方法
US10979227B2 (en) 2018-10-17 2021-04-13 Ping Identity Corporation Blockchain ID connect
US11082221B2 (en) 2018-10-17 2021-08-03 Ping Identity Corporation Methods and systems for creating and recovering accounts using dynamic passwords
US10922631B1 (en) 2019-08-04 2021-02-16 Acceptto Corporation System and method for secure touchless authentication of user identity
US11096059B1 (en) 2019-08-04 2021-08-17 Acceptto Corporation System and method for secure touchless authentication of user paired device, behavior and identity
US10824702B1 (en) 2019-09-09 2020-11-03 Acceptto Corporation System and method for continuous passwordless authentication across trusted devices
US20210218741A1 (en) * 2019-09-26 2021-07-15 FlexIt Inc. Access management to service facilities and presence tracking
US10880331B2 (en) * 2019-11-15 2020-12-29 Cheman Shaik Defeating solution to phishing attacks through counter challenge authentication
US10951606B1 (en) 2019-12-04 2021-03-16 Acceptto Corporation Continuous authentication through orchestration and risk calculation post-authorization system and method
US20210377309A1 (en) * 2020-06-02 2021-12-02 Hid Global Cid Sas System and method for establishing secure session with online disambiguation data
US11184657B1 (en) * 2020-07-21 2021-11-23 Roku, Inc. Secure remote-less configuration of a media playback drive
US12035136B1 (en) 2020-08-01 2024-07-09 Secureauth Corporation Bio-behavior system and method
US11329998B1 (en) 2020-08-31 2022-05-10 Secureauth Corporation Identification (ID) proofing and risk engine integration system and method
US20220158986A1 (en) * 2020-11-17 2022-05-19 Titaniam, Inc. Non-stored multiple factor verification
JP7558070B2 (ja) * 2021-01-13 2024-09-30 Tvs Regza株式会社 サーバ管理装置、システム、およびプログラム
US11170130B1 (en) 2021-04-08 2021-11-09 Aster Key, LLC Apparatus, systems and methods for storing user profile data on a distributed database for anonymous verification
US11483156B1 (en) * 2021-04-30 2022-10-25 Mobeus Industries, Inc. Integrating digital content into displayed data on an application layer via processing circuitry of a server
US20230318831A1 (en) * 2022-03-30 2023-10-05 Yahoo Assets Llc System and method of authentication of users of common reusable components
CN116436707B (zh) * 2023-06-14 2023-08-25 北京创新乐知网络技术有限公司 基于小程序的登录方法、装置、介质及计算机设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060069611A (ko) * 2004-12-17 2006-06-21 한국전자통신연구원 이동통신 단말기의 서명을 이용한 이종 네트워크에서의사용자 인증 방법
JP4660398B2 (ja) 2005-12-23 2011-03-30 株式会社東芝 ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム
PL1833219T3 (pl) * 2006-03-08 2015-01-30 Monitise Ltd Sposób, urządzenie i oprogramowanie wykorzystujące kod w celu obliczania ograniczonego czasowo hasła w telefonie komórkowym

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614849B2 (en) 2010-11-25 2017-04-04 Ensygnia Ip Ltd (Eipl) Handling encoded information
US10530769B2 (en) 2010-11-25 2020-01-07 Ensygnia Ip Ltd (Eipl) Handling encoded information
US11146561B2 (en) 2010-11-25 2021-10-12 Ensygnia Ip Ltd (Eipl) Handling encoded information

Also Published As

Publication number Publication date
EP2166697A1 (en) 2010-03-24
PT2166697E (pt) 2011-11-21
ATE524897T1 (de) 2011-09-15
US20100070759A1 (en) 2010-03-18
US8261089B2 (en) 2012-09-04
EP2166697B1 (en) 2011-09-14
PL2166697T3 (pl) 2012-02-29

Similar Documents

Publication Publication Date Title
ES2373489T3 (es) Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.
ES2754198T3 (es) Un método implementado por ordenador para mejorar la seguridad en los sistemas de autenticación/autorización y sus productos de programas informático
Choi et al. A mobile based anti-phishing authentication scheme using QR code
JP2009510644A (ja) 安全な認証のための方法及び構成
Tirfe et al. A survey on trends of two-factor authentication
Wang et al. Cryptanalysis of Three Password‐Based Remote User Authentication Schemes with Non‐Tamper‐Resistant Smart Card
Khan et al. [Retracted] A Robust and Privacy‐Preserving Anonymous User Authentication Scheme for Public Cloud Server
Xiao et al. Differentiated virtual passwords, secret little functions, and codebooks for protecting users from password theft
Hassan et al. An improved time-based one time password authentication framework for electronic payments
Khan et al. Offline OTP based solution for secure internet banking access
Chow et al. Authentication and transaction verification using QR codes with a mobile device
Nishimura et al. Secure authentication key sharing between mobile devices based on owner identity
Tsague et al. An advanced mutual-authentication algorithm using 3DES for smart card systems
Gupta et al. Implementing high grade security in cloud application using multifactor authentication and cryptography
Hebbes et al. 2-Factor Authentication with 2D Barcodes.
Kaur et al. A comparative analysis of various multistep login authentication mechanisms
Gope et al. An enhanced secure delegation‐based anonymous authentication protocol for PCSs
Khankari et al. Survey on one time password
Amin et al. An efficient remote mutual authentication scheme using smart mobile phone over insecure networks
Kumar et al. PB verification and authentication for server using multi communication
Azarnik et al. A mutual one-time password for online application
WO2016030832A1 (en) Method and system for mobile data and communication security
ES2671196B1 (es) Método y sistema para autenticar automáticamente un usuario mediante un dispositivo de autenticación
ES2750151T3 (es) Método implementado en ordenador para impedir ataques contra sistemas de autorización y productos de programas de ordenador del mismo
Kumar et al. A Two Factor Image Based Authentication System