Hace ya un tiempo, en ElevenPaths estuvimos evaluando meter en Latch una capacidad que al final decidimos dejar fuera del roadmap del producto principal. Se trata de la implementación de una protección del Token OTP (One-Time Password) que se entrega vía Latch para garantizar el No Repudio.
La idea es bastante sencilla. Cuando una aplicación envía vía Latch un código OTP como forma de firmar un transacción - en lugar de utilizar por ejemplo un SMS -, como se hace en la implementación de algunos bancos, existe la posibilidad de que una persona, que no sea la que es dueña del terminal, acceda a ese valor. Eso lo hemos visto en muchos casos en los que alguien puede acceder al contenido de un SMS utilizando las opciones de previsualización, como en el "truco de bar para robar cuentas de Gmail".
Para evitar esto empezamos a pensar en cómo sería utilizar un Tercer Factor de Autenticación para garantizar el No Repudio. Es decir, para garantizar que el el Token OTP había sido visto solo por el autentico dueño del terminal, y para eso comenzamos a trabajar en un esquema basado en biometría de voz.
La idea es bastante sencilla. Se trata de enviar un desafío que debe ser leído por la persona que quiere acceder al Token OTP. Si su firma biométrica de voz coincide con la que se tiene almacenada, entonces se le entrega el valor OTP que debe utilizar para firmar la transacción que sea. Es decir, una forma de garantizar el No Repudio de una determinada operación.
Figura 4: Voice-based Crypto-biometric OTP Generation from ElevenPaths
Esta semana os publicaremos en el blog de ElevenPaths el vídeo de la implementación que hicimos que, como os digo, se quedó fuera del producto principal de Latch. Mientras tanto, tenéis el paper que escribimos con dicho trabajo en el SlideShare de ElevenPaths, y lo tenéis publicado aquí.
Saludos Malignos!
Genial idea! Como usuario de Latch me encantaría esta opción. ¿Llegará a estar disponible en un futuro cercano? Saludos.
ResponderEliminar