miércoles, 10 de junio de 2015

Te han suplantado la identidad y no lo sabes!!!


Hace ya casi una década, cuando nuesta actividad principal era la securización de entidades financieras, implantamos como norma la autenticación de doble factor como medida preventiva para la suplantación de identidad. Era un lo que denominamos un "must" : Un mecanismo de control que todo organismo debe tener implantado. La razón; la lógica y el sentido común. Si yo no puedo identificarte sin posibilidad de duda, uniendo la persona física con la lógica (usuario del sistema), cualquier dato podrá estar falseado (¿eres tú quien hizo realmente eso o fue otra persona?, ¿eres tú quien inicias sesión u otra persona haciéndose pasar por tí?). 

¿Qué administrador de sistema no se ha encontrado el típico "Post-It" en el monitor colgado o pegado en el portatil/pc con el usuario y la contraseña? O que el personal de un departamento se sepa las contraseña de todo "bicho viviente"...
Si algo tenemos claro los sysadmin es que los accesos basados en usuario/contraseña únicamente, pueden llegar a ser bastante inseguros. Los riesgos: fuerza bruta, diccionario, robo de credenciales, troyanos, contraseñas almacenadas en claro, etc,…  Además de que, como hemos contado varias veces también, la gente utiliza contraseñas débiles por longitud, y baja complejidad, así como fácilmente adivinables (primero la contraseña era Pedro1234 y al pedir el cambio de contraseña pone Pedro2345 y se quedan tan achos!!!).


Para determinadas conexiones, en las que con una autenticación se da acceso a toda una organización (por ejemplo mediante un acceso VPN), puede ser realmente peligroso dejarlo en manos de un único mecanismo usuario/contraseña que no siempre cumple características de gran complejidad, que puede ser vox populi porque hubo que decírsela a alguien una vez para que pudiera hacer determinada operación o que simplemente ha sido robada por Shoulder Surfing al escribirla en el teclado varias veces. El principal peligro de una autenticación por usuario/contraseña es que éstas últimas, sean como sean, son estáticas.


A lo largo de este tiempo se nos han presentado todo tipo "conflictos" a resolver en el cliente final: Robos de contraseñas de Administrador (o indicios de que la contraseña de administrador es conocida por muchos), Personas que inician sesión con usuarios genéricos (tipo terminal_venta_01 ???), Acciones no autorizadas (acceso a carpetas confidenciales por un usuario que en "teoría" estaba de vacaciones), envío de un correo electrónico difamando a la empresa u otro compañero en el que el usuario dueño de esa cuenta "jura y perjura" que no fue él, registro de que se grabó en un USB información empresarial por un usuario en concreto (¿fue realmente él?), accesos por VPN de un proveedor externo a la red corporativa (a saber quién se está conectando....), accesos a recursos en Cloud (Office 365, Google Docs...)... Mil y un casos vamos.... Y siempre de forma correctiva. El daño ya está hecho. 

Así pues, para otorgar un mayor nivel de seguridad para estos accesos, es por lo que se utiliza lo que se llama un 2FA o una autenticación de doble factor. En general, la autenticación fuerte por 2FA viene dado por la composición de una doble autenticación en base a tres tipos de factores: algo que se sabe (la contraseña), algo que se tiene (generalmente un token que genera un código OTP) y algo que se es (autenticación biométrica).



Para la autenticación biométrica, es necesario contar con dispositivos que sean capaces de "reconocer" una característica de los usuarios (la voz, el iris, la retina, las huellas dactilares, la disposición de las venas…). Esto, estando en la playa, por ejemplo ahora que empiezan los meses de vacaciones de verano, no resulta muy cómodo.



En menor medida, para poder acceder remotamente a una organización, no siempre es agradable tener que estar cargando en todo momento con el típico llavero rojo y azul que genera números aleatorios válidos durante un tiempo finito. Si olvidamos el token en el coche, en casa, en otra chaqueta, etc,… estaremos todo un día sin podernos autenticar y por ello, en algunas ocasiones, hasta trabajar. Por experiencia, si me dejo el móvil en casa, lo utilice o no como soft-token, vuelvo a por él.



Os quiero contar como es, a muy grandes rasgos, la solución de doble factor que trabajamos en New Vision SoftLan y que implantamos a nuestros clientes.
Nuestra solución permite generar un One-Time-Code sin necesidad de llevar llaveros, tarjetas empresariales, tarjetas de coordenadas, chips, ni demás "amuletos". Lo único que hay que saberse es un PIN, además de tu usuario/contraseña. Pero ojo, el PIN que te sabes, no hay que ponerlo en ningún sitio, sino no valdría para nada al ser siempre el mismo (está en tu cabeza y nadie más que tú lo sabes, ni siquiera los administradores de sistema). El dispositivo de autenticación presentará al usuario lo que se llama una "security string": básicamente una cadena de caracteres aleatorios que puede ser presentado en formato imagen de TURing (una lista de números uno detrás de otro), o enviándolo por SMS al teléfono móvil del usuario, Email del usuario, a través de una aplicación de un dispositivo móvil (iPhone, Android, applet Java, Windows Mobile, etc,…) Los números del PIN que nos sabemos, marcará las posiciones de los caracteres de la security string que se nos presenta.







El OTC (One Time Code, código numérico aleatorio y temporal) que deberemos introducir será diferente en cada autenticación, pudiendo forzar las características del PIN (longitud, complejidad, nivel de repetición, etc,…). Incluso se puede hacer que las imágenes de TURing aparezcan animadas (apareciendo y desapareciendo los números de la lista) para evitar troyanos que monitorizan la  pantalla de un usuario infectado. 

Podemos combinar los factores como queramos; Sólo imagen,sólo token usb, sólo aplicación, sólo biometría, o combinadas: token y sms, token e imagen.... Las posibilidades son infinitas. Y lo mejor. No pagas por cada una de ellas, la licencia te da derecho a usar la tecnología como quieras.










0 comentarios:

Publicar un comentario