Si. Pero no es lo suficientemente confiable como para ser utilizado para la autenticación, pero es lo suficientemente confiable como para usarse como parte de la detección de fraudes y perfiles .
Es decir, no puede usarlo como el tipo de prueba de identidad para la que se usa algo como una contraseña, pero puede usarlo junto con otros factores para hacer conjeturas útiles sobre si el usuario en una sesión es el mismo que en otra .
- ¿Es más riesgoso en términos de hackear la cuenta si inicio sesión con Facebook Connect?
- ¿Cómo podría saber si mi destinatario ve o abre mi correo en Gmail?
- ¿Puede nombrar un banco en los EE. UU. Que mantenga la información de sus clientes razonablemente segura? (según una declaración de auditoría)
- ¿Google Duo proporciona cifrado de extremo a extremo de forma predeterminada?
- ¿Cuál es la razón principal por la que la seguridad de la información es diferente de otros temas de investigación?
Esa imagen, de The Privacy Risk of Behavioral Profiling muestra el tiempo entre las pulsaciones de teclas de Per Thorsheim escribiendo la palabra “contraseña” cuatro veces. De hecho, hay alguna evidencia de que esto se ha utilizado para identificar a los usuarios de Tor. Vea el artículo de Dan Goodin en Ars Technica: cómo la forma en que escribe puede romper el anonimato, incluso en Tor.
Sabemos que los bancos hacen algún uso de esto porque después de que Per Thorsheim y Paul Moore publicaron su extensión de navegador Chrome Privacy Keyboard para enmascarar los hábitos de escritura de las personas, los bancos comenzaron a quejarse de que estaba interfiriendo con su detección de fraude.
¿Cómo podrían usarlo los bancos?
No he tenido conversaciones con nadie involucrado en el diseño o uso de tales sistemas de detección de fraude, por lo que todo lo que digo aquí es mi propia especulación sobre cómo podrían funcionar dichos sistemas.
Ciertos tipos de hábitos (a menudo no secretos) pueden y se usan como parte de la detección de fraude junto con otra información.
Supongamos que estás corriendo en el banco. Un cliente inicia sesión
- desde una nueva dirección IP
- a una hora del día en la que generalmente no inician sesión
- usando algo diferente a su navegador normal
- con un patrón de escritura inusual para ellos
- realiza una transacción inusual
- el cliente es el tipo de persona que tiene más probabilidades de que le roben las contraseñas
Su sistema de detección de fraude debería estar por las nubes. Pero tenga en cuenta que el patrón de escritura es una de las muchas cosas que influyen en su evaluación de la probabilidad de que el cliente verdadero no solicite esta transacción.
Cada uno de estos factores (junto con otros) se usará para ajustar su evaluación de la probabilidad de que sea una transacción fraudulenta.
Todo irá a una tina bayesiana (algo así como lo que se hace con la asignación de puntajes de spam en el correo electrónico) y dependiendo de la calificación de probabilidad, se colocarán varios controles en la cuenta y las transacciones que puede hacer.
Enumeré esta discusión especulativa sobre cómo los bancos podrían estar usando el comportamiento de un golpe clave porque quiero ilustrar la diferencia entre usarlo para la autenticación (probar una identidad) y usar cosas como esta para ayudar a determinar la probabilidad de que alguna sesión no sea del cliente habitual.
No creo que los tipos de comportamiento no secreto desempeñen un papel importante en la autenticación.