Usability Testing for Secure
Device Pairing in Home Networks
El paper como lo dice el título, trata sobre la problemática que se
genera al tratar de establecer una comunicación segura entre uno o varios
medios inalámbricos en un hogar, debido a diferentes fuentes, como el hecho de
que en la actualidad existen una gran cantidad de dispositivos (con diferentes
medios físicos) que interactúan en la red del hogar y no solo computadoras como
en el pasado.
Muchas de las instalaciones que manejan estos tipos de comunicación,
son instaladas solo para mantener la comunicación dejando de lado el nivel de
seguridad ya que esto para el usuario final resulta invisible y no
indispensable.
Y los autores del paper (Jukka Valkonen, Aleksi Toivonen, Kristiina
Karvonen) consideran que el usuario final es el punto más débil para establecer
una comunicación inalámbrica segura debido a que no todos poseen capacidades o
conocimientos sobre estos procedimientos, y esto resulta en que los productos
se diseñen partiendo de la poca o nula capacidad de los usuarios para
establecer estos tipos de comunicación.
Una manera de establecer una comunicación wireless segura puede ser
compartiendo la clave o contraseña desde unos dispositivos a otros, para esto
se puede recurrir al protocolo Diffie-Hellman
pero esta misma forma de compartir las claves puede resultar en una manera
fácil de obtener para un usuario no aceptado, con un ataque Man in the Midle(hacer creer a un
dispositivos que se tiene comunicación con el otro), para evitar esto es
necesario que los mensajes o claves que se comparten sean firmados, pero el
recurrir a esto necesita de un dispositivo central encargado de administrarlo y
que no es común en las redes domésticas, desviando esta tarea al usuario.
Para estas tareas se han propuesto varios métodos que se pueden
clasificar en dos categorías:
·
Métodos basados en compartir claves secretamente:
Qué generalmente son claves de un solo uso.
·
Métodos basados en comparación numérica: Cada
dispositivo verifica la autenticidad de la claves.
Estos métodos ya han sido adoptados en la industria como posibles
especificaciones para los métodos de autenticación de diversas tecnologías como
Bluetooth, WiFi o Wireless USB.
Después continúan hablando acerca de cómo mejorar el procedimiento de
la autenticación o el establecimiento de una comunicación segura para los
usuarios finales, es decir, facilitarles el proceso. Esto analizando las
interfaces que se implementan para estos apartados y tratando de que sean lo
más intuitivas (usables) para poder conseguir la meta.
Mencionan que se requieren de grandes esfuerzos para lograr esto,
debido a la gran variedad de dispositivos y la forma en que se comunicaran,
pero coinciden en que una buena idea es prestar mucha atención a la manera de
como presentar o requerir la información necesaria para el proceso (ponen como
ejemplo la presentación de la información en un dispositivo con pantalla grande
y uno con pantalla pequeña, ¿Cómo debería de ser?).
Otra cuestión importante es como maneja el usuario las claves o
contraseñas para poder establecer las comunicaciones o autenticarse, y hablan
de la dificultad que resulta para el usuario el recordar o administrar esos
números/letras, en especial cuando son una gran cantidad en comparación con los
PIN´s usados por ejemplo en los cajeros (ATM).
Una prueba que se realizó combinando las longitudes de las claves con
los diferentes tipos de métodos que se mencionaron, la llevaron a cabo estos
tipos y los resultados (muy generales) fueron:
·
Los métodos de comparación numérica con
contraseñas cortas resultaron fáciles de efectuar pero a la vez evaluados como
muy inseguros por los usuarios. Su complejidad de efectuarse se elevaría al
aumentar la longitud de la clave. Los usuarios concluyeron que es un método que
adoptaría y usarían en sus propios dispositivos.
·
Los métodos de compartir claves secretamente
(cortas o largas) resultaron difíciles de llevar a cabo, pero muy seguros según
los usuarios. La conclusión a la que llegaron fue la de que no usarían estos
métodos para su propio uso.
·
Otra observación fue la de que resulto más fácil
teclear las claves en un teléfono que una laptop, debido a la configuración del
teclado numérico.
·
Se evaluó también el uso de contraseñas dividas
en dos, por decir 6 caracteres, pero separados de 3 en 3 por un espacio, y
resulto algo complicado en el teléfono debido a la posición de la tecla para
ingresar el espacio en blanco.
Conclusiones
La manera en que se establece comunicación (inalámbrica) debe de ser
un proceso fácil de llevar a cabo para el usuario final y a la vez el medio
debe der ser seguro para no comprometer la privacidad del usuario, en el caso
de que no pueda resolverse de manera fácil es necesario proveer de una
detallada lista de instrucciones para lograrlo o en su defecto ofrecer el
servicio de un técnico capaz de realizar todo el proceso.
En nuestro proyecto es necesario establecer este tipo de comunicación
(por medio de Bluetooth) por lo que se está buscando la forma de que el proceso
de enlace sea de manera automatizada sin la intervención directa del usuario
final.
Otro aspecto importante, es que la complejidad de estos procesos va de
la mano de la edad (más que del nivel de estudios) a la que se está dirigido el
producto, ya que personas de edad avanzada (50 años o más) son más susceptibles
a que se les dificulten estas actividades (son más impacientes y les es difícil
seguir instrucciones) contrario a lo que sucede con jóvenes (20-30 años) e
incluso niños, ya que muchas de la veces debido a la curiosidad de “¿cómo
funciona?” facilita el proceso.
Otro punto, es la manera de la introducción de claves (en caso de que
sean requeridas), en especial los medios, como los teclados, la correcta
posición de las teclas y la visibilidad de los caracteres que puede ofrecer
cada una resulta esencial para facilitar el proceso de conexión de los
usuarios.
Checa el grupo de fb sobre lo que debe llevar un resumen. Conozco a los autores :P 6 pts.
ResponderEliminarNP lab 9.
ResponderEliminar