Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...
Curso autenticacion robusta
1. Autenticación Robusta
Identificación digital
Cuatro conceptos fundamentales para la seguridad son:
-Autenticación:
El servicio solo puede ser utilizado por las persona asignadas
para ello.
-Autorización:
El usuario del servicio tan solo puede realizar aquello para
Lo que ha sido autorizado
-Integridad:
La información no ha sido “manipulada” desde su origen
hasta su destino
-Confidencialidad:
La información ha sido protegido frente al resto de usuarios
2. Identificación Digital
¿Qué metodos podemos utilizar?
* Sistemas basados en claves de acceso
! ALGO QUE SE SABE!
* Utilización de “prendas físicas”
! ALGO QUE SE POSEE !
* Biometría
!ALGO QUE SE ES !
* Combinación de los metodos anteriores
Identificación Digital
-Algo que sabemos:
Sistemas basados en claves de acceso
Basados en el conocimiento del par usuario/contraseña
Problemas:
* La clave debe de estar archivada en el equipo
* Puede ser interceptada al enviarse o utilizarse
* Pueden en ocasiones ser “predecibles”
* Pueden ser “confiadas” a otras personas
3. Identificación Digital
Sin embargo:
Es el método más utilizado, incluido en todas las opciones
de autenticación de S.O. y/o apliaciones. (Telnet, FTP,
HTTP, Email, ...)
Su fiabilidad se basa en la “robustez” de la política de
contraseñas a seguir definiendo aspectos como:
•Longitud mínima de la contraseña
•Complejidad de la contraseña (caracteres utilizados)
•Vigencia de la contraseña
Identificación Digital
Claves de acceso
Ejemplo de configuración de la politica de contraseñas en la
Plataforma Windows 2000/XP
4. Identificación Digital
Claves de acceso
Complejidad de la contraseña
-Debe de contener una combinación de letras, números y
caracteres especiales
-No debe ser nunca una posible palabra de diccionario
-Debe de cambiarse de contraseña periódicamente y no es
conveniente admitir contraseñas anteriormente utilizadas
En general resulta difícil su implementación ya que para la
mayoría de los usuarios seleccionar una contraseña
“robusta” no es tarea sencilla.
Identificación Digital
Claves de acceso
Complejidad de la contraseña
Combinación de letras, números y caracteres especiales
Como ejemplo, si utilizaramos el alfabeto (a..z) y los
numeros naturales para construir la contraseña, las
diferentes combinaciones de una palabra de 6 letras son:
366=2.176.782.336
Un ordenador actual puede realizar todas estas
combinaciones ! en menos de 2 minutos!
5. Identificación Digital
Claves de acceso
Ejemplo de descubrimiento por fuerza bruta.
Identificación Digital
Claves de acceso
En la actualidad existen “diccionarios” en Internet de
numerosos lenguajes (inglés, francés, danés, ...) así como
materias diversas (literatura, música, cine,...)
Por ello, seleccionar una contraseña de “diccionario”
implica su descubrimiento ! en segundos !.
6. Identificación Digital
Claves de acceso:
El mayor problema surge en la actitud de muchos usuarios
y su incapacidad de generar un password adecuado y ! recordarlo !
Así, es frecuente que los usuarios:
•Anoten y tengan “ a mano” las contraseñas que deben utilizar.
•Traten de “evadir” la “complejidad” de la contraseña:
(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)
Contraseña para Enero: pepe01!
Contraseña para Febrero: pepe02!
Identificación Digital
Claves de acceso: captura de las contraseñas
Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el par
Usuario/password como control de acceso.
Estos servicios “no utilizan cifrado en la comunicación” por lo que
Son facilmente interceptados mediante un sniffer (incluso utilizando
Switchs en lugar de hubs).
7. Identificación Digital
Claves de acceso: recordar contraseñas
Utilizar la opción de “recordar” contraseñas en el equipo local
puede permitir extraer sin dificultad todas las contraseñas.
(ej SnadBoy’s Revelation)
Identificación Digital
Claves de acceso: Keyloggers
Existen también numerosas aplicaciones software/hardware que
registran las pulsaciones efectuadas en el teclado
8. Identificación Digital
Claves de acceso: Keyloggers
Ejemplo de captura por “software” la sesión de un usuario:
Identificación Digital
Claves de acceso, en resumen:
Los passwords se pueden
Alguien nos los
copiar, olvidar o perder.
puede sustraer
Demasiados passwords para
diferentes sitios causa stress
9. Identificación Digital
Sistemas basados en tokens
Basados en la posesión de una tarjeta, token, ...
Problemas:
* No prueba quien es la persona que tiene el token
* No autorizan a los individuos, sino a los tokens
* Si se extravía otra persona podría llegar a utilizarla
y la persona “legal” no puede acceder al servicio prestado
* En ocasiones pueden ser falsificadas
Identificación Digital
SmartCard
Dos categorías de SM: contact y contactless
contact smart card requiere introducirla
en un lector con una conexión directa a
un micromódulo
conductor en la superficie de la tarjeta.
Contactless card requiere proximidad
al lector (unos 10 cm). Ambos (lector y
tarjeta) tienen una antena y su
comunicación se produce por
radiofrecuencia. (RFID)
10. Identificación Digital
SmartCard Caracteristicas del “chip”
- Una CPU entre 8 bit hasta 32 bits
- ROM o Flash memory que contiene el chip del sistema operativo
- RAM que sirve de almacenamiento temporal de datos
- EEPROM que se usa para almacenamiento de datos de usuario
- Al menos un puerto serie
- Un generador números aleatorios
- Timers
- Opcionalmente un motor criptográfico
- Controladores para otros dispositivos.
Identificación Digital
¿Qué ofrecen las tarjetas SmartCard?
Mayor nivel de seguridad.
– Autenticación.(Tarjeta y terminal están seguros de la identidad del
otro). Se realiza, gracias a la existencia de procesadores
criptográficos simétricos (3DES) y/o asimétricos (PKI).
– Identificación. (Verificación de la identidad de la tarjeta). La
validación del PIN se realiza en la propia tarjeta.
– Integridad. (Asegurar que el mensaje no ha sido
alterado).Utilizando
algoritmos simétricos de criptografía.
– No repudio. (Evitar la denegación de una transacción). Existiendo la
posibilidad de realización de firmas con clave privada.
11. Identificación Digital
Contenido que puede ser almacenado en una smartcard
1. Combinación de usuario/password para diferentes servicios
2. Credenciales de usuario y
/password para S.O.
1. Certificados Digitales
2. Certificados Raiz
Identificación Digital
USBToken
- Similares a las smartcard, pero no requieren lector adicional,
tan solo un puerto USB (previa instalación del driver y software
Correspondiente).
- Pueden almacenar valores de
autenticación genéricos o
Configurarse especificamente
para soporte PKI
12. Identificación Digital
USBToken
Configurados con soporte PKI permiten almacenar un certificado en
formato PKCS12 (clave privada+clave pública) que permitirá
- Login automático
- Certificado de usuario
para autenticación WEB y
firma y cifrado de email
Identificación Digital
Sistemas basados en biometria
Basados en las características físicas de una persona
Problemas:
* Pueden ser engañados
* Si el sistema “falla” podemos tener problemas para el acceso
* Todavía son caros y requieren hardware especializado
* Deben de combinarse con el uso de passwords o tokens
13. Biometria
• Es una tecnología de
seguridad basada en el
reconocimiento de una
característica física para la
AUTENTICACIÓN y
AUTORIZACIÓN de las
personas.
Ejemplo: la huella dactilar
Biometria
CARACTERÍSITICAS I
• INTRANSFERIBLE
• ESCALABLE (a nivel de software y de instalación)
• COMODO para el usuario ya que no debe recordar
una multitud de passwords
• SEGURO: uno de los mejores métodos de
autenticación en los sistemas informáticos
14. Biometria
CARACTERÍSITICAS II
• Soluciona el problema de la transferibilidad de los
passwords
• Evita ataques de fuerza bruta
• El password biométrico es mucho más “robusto” que
una contraseña
• Reconocer la responsabilidad del usuario en sus
acciones
dispositivos Biométricos
Se clasifican según la
Tecnología Biométrica:
FISIOLÓGICAS: COMPORTAMENTALES:
• Voz
• Huella dactilar
• Forma de firmar
• Iris
• Forma de teclear
• Cara
• Geometría de la mano
• Retina
• Forma de las venas
• ADN
15. Biometria, huella dactilar
El proceso de Autenticación
1 2 3 4
Biometria, huella dactilar
Escáner
FACTORES QUE PROPORCIONAN FIABILIDAD:
• Susceptibilidad de la superficie del sensor
• Desgaste de la superficie del sensor
• Susceptibilidad a las descargas electrostáticas
• Suciedad
• Durabilidad
• Tamaño
• Calidad de imagen
16. Biometria, huella dactilar
Imagen de la huella
TERMINOLOGÍA I
Crestas: son patrones concéntricos que forman topologías diferentes en forma de
crestas y valles.
Punto central o núcleo se localiza en el centro aproximado de la impresión de la
huella. Es el punto de referencia para la lectura y la clasificación de la huella.
Características Globales frente a locales:
Dos individuos pueden tener las mismas características globales pero siempre
tendrán diferentes características locales de la huella.
Las características locales nos dejan distinguir entre dos
individuos con características globales iguales.
Biometria, huella dactilar
Imagen de la huella
TERMINOLOGÍA II
• Características globales aquellas que podemos identificar a simple vista. Las
más destacadas son: espirales, arcos y lazos.
Área patrón: la parte de la huella digital que contiene todas las
características globales.
• Características locales: son los puntos de minucia.
Puntos de minucia: Los puntos en los que finalizan las crestas, bifurcan,
cambian de dirección, ... se llaman puntos de minucia
17. Biometria, huella dactilar
Extracción de la minucia
Un algoritmo extrae minucias y las convierte en una
representación numérica de algunos de los puntos individuales
de la huella.
CARACTERÍSTICAS: Hay cinco características diferentes de puntos
de minucia:
1. Crestas que finalizan y las crestas que crean bifurcaciones.
2. Orientación: cada punto de minucia se orienta en una dirección
particular.
3. Frecuencia espacial: la frecuencia espacial se refiere a la densidad
de las crestas en una superficie determinada.
4. Curvatura: referente al ratio de cambio de orientación de las crestas.
5. Posición: la posición de los puntos de minucia referentes a la
localización en el plano x, y, y también en concordancia a los puntos
fijos.
Biometria, huella dactilar
Correspondencia
En el proceso de autenticación, los sistemas biométricos identifican o
verifican al usuario.
1:n Identificación: El sistema busca una correspondencia entre n
huellas en la base de datos, utilizando sólo la información de la
huella
1:1 Verificación: El usuario se identifica con un PIN,
una tarjeta o por otras medidas, y se compara la muestra
suministrada con el patrón correspondiente a ese usuario
La verificación 1:1 es más rápido, pero la
identificación puede resultar más conveniente.
18. Biometria, huella dactilar
Ejemplo de la aplicación, captura de huellas digitales
Identificación Digital
Sistema de llave pública.
Clave privada:
* utilizada para firmar un bloque de datos
* Debe ser guardada en secreto
Clave pública:
* utilizada para verificar la firma
* Debe de darse a conocer a los demás.
19. Identificación Digital
Proceso de firma digital:
-El emisor realiza un “hash” del documento y lo firma con su clave privada.
-Se envia el documento junto con el hash “firmado”.
-El receptor “abre” el hash con la clave pública del emisor (verifica la firma)
y realiza el hash sobre el documento.
Si coinciden se garantiza la “integridad” del texto.
Identificación Digital
! !"
"
# $
%
# &$
"
24. Sistemas
OneTime Password
ActivCard:
Definir consulta sobre
Conexión LDAP
Sistemas
OneTime Password
ActivCard:
Definir el servidor y
La configuración Radius
25. Sistemas
OneTime Password
ActivCard:
Configurar un gateway,
“secreto Radius” y
perfil de autorización
y registro.
Sistemas
OneTime Password
ActivCard:
Seleccionar grupo que
tendra acceso (filtro del
query LDAP por atributo)
y unirlo al gw anterior
26. Sistemas
OneTime Password
ActivCard:
Importar fichero con la
configuración de los tokens
Sistemas
OneTime Password
ActivCard:
Asignar el token al usuario.