Seguridad Informática
3. Introducción
3.3. Autenticación
La autenticación es la capacidad de demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación asegura ser. Por ejemplo, considere el caso de un usuario que se conecta a un sistema especificando un ID de usuario y una contraseña.
La autenticación es el principal mecanismo para evitar la suplantación de identidad, pero por sí sola no siempre la elimina completamente.
La
suplantación de identidad (impersonation o identity spoofing) ocurre
cuando un atacante intenta hacerse pasar por otro —por ejemplo, robando
credenciales o falsificando direcciones.
La autenticación busca evitar justamente eso, comprobando la identidad antes de conceder acceso.
Tipos de autenticación
| Factor | Ejemplo | Nivel de seguridad |
|---|---|---|
| Algo que sabes | Contraseña o PIN | Bajo |
| Algo que tienes | Token, smartcard, app móvil | Medio |
| Algo que eres | Huella, rostro, voz (biometría) | Alto |
Viéndolo de otra forma, se puede efectuar autenticación usando uno o varios de los siguientes métodos:
- Autenticación por conocimientos: basada en información que sólo conoce el usuario.
- Autenticación por pertenencia: basada en algo que posee el usuario.
- Autenticación por características: basada en alguna característica física del usuario.
Veamos algunos métodos o técnicas de autenticación.
Notemos como en muchos de ellos el Celular, objeto de uso personal está involucrado.
Autenticación QR
Este modelo utiliza la cámara del dispositivo para escanear el código y tener acceso a la información o a la plataforma. Este factor garantiza que solo los usuarios seleccionados puedan acceder a su información.
Doble Factor de autenticación
La
autenticación de dos factores (2FA) es un sistema de seguridad que
requiere dos medios de identificación diferentes para acceder a algo. Se
utiliza para reforzar la seguridad de una cuenta, de un dispositivo o
de una plataforma como Facebook.
La autenticación de dos factores suele exigir dos tipos de información del usuario: una
contraseña, un número de identificación personal (PIN), un código
enviado al smartphone del usuario o bien una huella dactilar.
OTP (One-Time Password) SMS
El código de un solo uso (OTP) es un factor de autenticación para realizar transacciones confidenciales.
Es
un método de autorización seguro en el que se envía por SMS un código
numérico o alfanumérico en tiempo real al móvil del usuario para validar
una operación.
El
usuario posee un “calculador” específico que va a permitirle
proporcionar una contraseña válida durante un período limitado( ver que
el factor tiempo está involucrado). Para poder utilizar su
calculador, debe entrar previamente una contraseña. El calculador le
proporciona entonces a cambio una contraseña de un solo uso que el
usuario va, a su vez, a proporcionar al módulo de autenticación del PC.
El módulo de autenticación dialoga a continuación con el servidor OTP para asegurarse de la validez de la información proporcionada y para aceptar o no la conexión.
Biometría
La autenticación que utiliza seguridad biométrica se basa en las características biológicas únicas de un individuo. El reconocimiento facial, lectores de huellas, biometría de voz o el reconocimiento de iris son algunos ejemplos.
Certificado digital
El certificado digital emitido por una Autoridad de Certificación acreditada es una alternativa de gran utilidad para demostrar la identidad de un usuario.
La comodidad de poder usarlos desde casa o cualquier otro lugar, a lo que le añadimos su seguridad, hace que sean muy atractivos para los ciudadanos.
El Token
Una
vez establecida la autenticación inicial del usuario, es necesario
transmitir el token a las aplicaciones. Una de las técnicas utilizada es
el “token” de autentificación. Este
“token” es un conjunto de datos que contienen los elementos que
comprueban la identidad del usuario y que presenta a la aplicación.
La
aplicación debe poder recuperar este token, disponible sobre el puesto
de trabajo, luego ir dirigido a un distribuidor especializado que
confirmará la validez del token así como la identidad asociada.
Los token más comunes hoy son Kerberos y los token SAML.
- El token de tipo Kerberos , se aplican, por ejemplo, en el entorno Windows.
- El token de tipo SAML (también llamada aserción SAML) ,se aplica en arquitecturas SOA/J2EE/Servicios Web.
Nota: el token y el OTP no son exactamente equivalentes, aunque están estrechamente relacionados y a menudo trabajan juntos dentro del proceso de autenticación.
Los límites del enfoque por token
El enfoque por token requiere que las aplicaciones sean capaces de leer el “token” y
de dialogar con el servidor de autenticación. Desgraciadamente, las
aplicaciones ya existentes (e incluso algunas nuevas aplicaciones) no
pueden siempre adaptarse simplemente.
El
SSO (Single Sign-On: inicio de sesión único o inicio de sesión
unificado) es una de las piezas clave de la gestión de identidad y
acceso (IAM) moderna, y conviene tener bien claro cómo funciona y qué
ventajas y riesgos implica.En otras palabras: “Inicias sesión una vez y
accedes a todo lo que tengas autorizado.”
Ejemplo cotidiano:
Cuando ingresás con tu cuenta de Google o Microsoft y automáticamente podés usar:
-
Gmail, Drive, Docs, Calendar, YouTube, etc. (sin volver a loguearte),
o en el ámbito corporativo: -
Portal interno, correo, CRM, intranet, chat, etc.
Ese es SSO en acción.
Secuencia de SSO:- El usuario intenta acceder a una aplicación (SP).
- La aplicación redirige al IdP (proveedor de identidad).
- El usuario se autentica una vez (usuario + contraseña + MFA).
- El IdP envía al SP un token de autenticación firmado (por ejemplo, en formato SAML, OAuth 2.0, o OpenID Connect).
- El SP confía en ese token y autoriza el acceso sin pedir otra contraseña.
de
empresa permite hacer el vínculo entre la autenticación inicial del
usuario y las aplicaciones de la manera más universal posible. El SSO de
empresa interfaz directamente la ventana de demanda de
identificador/contraseña de la aplicación y no tiene necesidad de
modificación ninguna.