identificación y autenticación de usuarios
TRANSCRIPT
Identificación y Autenticación de Usuarios
JONATHAN HERNÁNDEZ MENDOZA WENDOLYN RAMÍREZ PONCE
ELIOTEMMANUEL
OBTENCIÓN DE PASSWORDS, CÓDIGOS Y CLAVES
Este método (usualmente denominado cracking), comprende la obtención "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario, que además nunca la cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta.
Por ser el uso de passwords la herramienta de seguridad mas cercana a los usuarios, es aquí donde hay que poner énfasis en la parte "humana" con políticas claras.
No muchas organizaciones están exentas de mostrar passwords escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable de cualquier PC, cual es su password." 1
IDENTIFICACIÓN Identificar: brindar el nombre con la que está
autorizado a ingresar. Es el paso previo a la Autenticación. También es denominado login .
Antes de determinar cualquier restricción a los accesos se debe implementar una Matriz de accesos: Tener definido claramente todas las condiciones de accesos a la Red. Se debe cuestionar: ¿Quién puede ingresar a la Red?, ¿Qué días?, ¿En qué horarios?, ¿A que programas?, ¿A que archivos?, Etc.
Los accesos deben ser siempre restringidos y con la máxima limitación.
Por regla general hay que recordar que en Políticas de Seguridad "Lo que no está expresamente autorizado está PROHIBIDO".
AUTENTICACIÓN
Autenticar: con su clave o Password; está clave luego de ser ingresada se compara con la que figura en el archivo. Además se puede implementar para reforzar la autenticación:
1. Medidas de seguridad en cuanto al tratamiento de las CLAVES o PASSWORDS.
2. Handshacking. 3. Control Físico complementario.
1. CLAVES O PASSWORDS:Todos los usuarios deben validar su identificación
mediante la contraseña (clave) para acceder al sistema. Las claves deben tener las siguientes características:
v No debe ser fácil, ni corta, ni una palabra conocida.
v Debe tener de 6 a 8 dígitos.v Debe incluir Mayúsculas, números y caracteres.v Debe ser secreta.v Abstenerse de usar nombre de familiares u otros
datos personales.v Debe ingresarla exclusivamente el usuario, no
que sea seleccionada por sistema.v No debe estar en exhibición pública y menos
pegarla en el monitor o escritorio.v Única para cada usuario.v Se debe cambiar periódicamente.v Deben estar encriptadas.
Los passwords deben persuadir la acción de los Crackers.Cracker: es aquel que rompe la seguridad de un sistema para sacar
algún beneficio de ello. Para ello utiliza herramientas que decodifican las claves en cuestión de segundos. Para hacer que el Cracker tarde más en descifrar la clave es conveniente incluir mayúsculas, números y caracteres; que sean de 6 a 8 dígitos; que están encriptadas. De esta manera se supera el tiempo esperado de rotura de la búsqueda por lo que el Cracker va a abandonar en el intento.
El encriptado de las claves le aumenta el tiempo de espera al
Cracker."Encriptación: usa una técnica -la criptografía- que modifica un
mensaje original mediante una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje".2
Si se detecta o sospecha que un intruso ha ingresado al sistema se
deben cambiar todas las claves de accesos, de esta manera se está cerrando la "puerta" por donde pudo haber ingresado el intruso.
2. HANDSHACKING:
Se traduce como Reconocimiento protocolar, consiste en establecer un diálogo interactivo requiriendo respuesta exacta a un conjunto de preguntas que son parte de las que se encuentran en el archivo de cada usuario. Estas preguntas están relacionadas con la vida particular de cada usuario; se le puede preguntar por el nombre de sus padres, la edad de sus hijos, aniversarios, etc. Las respuestas solo las conoce el usuario o familiares muy cercanos. Las preguntas deben estar pactadas entre el sistema y el usuario, para que el mismo las pueda recordar. Las respuestas se pueden actualizar por el paso del tiempo.
3. CONTROLES FISICOS COMPLEMENTARIOS:
Los mecanismos basados sólo en la contraseña, especialmente aquellos que transmiten la contraseña sin encriptar, son susceptibles de ser observados y capturados. Esto se puede convertir en un problema serio si la LAN posee conexiones no controladas a otras redes externas. Si después de considerar todas las opciones de autenticación, la política de la LAN determina que
un mecanismo de tarjeta inteligente o basado en certificados requiere que el usuario posea un certificado y puede requerir adicionalmente que el usuario conozca un PIN o una contraseña. Estos dispositivos realizan una autenticación basada en pregunta/respuesta. La utilización de parámetros a través de la reproducción del inicio de sesión. Estos dispositivos también pueden encriptar la sesión de autenticación, evitando que la información de autenticación pueda ser monotizada y capturada.
3.1. Dispositivos físicos con control por si mismos:ü Colocar una llave tipo trabex para cortar el suministro eléctrico, de esa manera se asegura que solo
la persona con la llave pueda encender el equipo.
3.2 Utilizan elementos de Hardware y herramientas de Software, en forma conjunta:
ü Colocación de dispositivo lector de tarjetas magnéticas. Solo el usuario asignado posee la tarjeta magnética correspondiente.
ü Implementación de lectores de huellas digitales que permite comparar la imagen gráfica de las huellas digitales. Hoy en día se consiguen teclados con lectores de huellas digitales incorporados.
ü Dispositivo lector de "Smart Card" (tarjeta chip). Sus aplicaciones y usos se están desarrollando cada vez más. Además de autenticar la identificación del empleado; por ejemplo se las puede utilizar para cargarle al empleado cierto saldo y en el comedor se le descuenta cada vez que compra su almuerzo, o que saca comestibles de las maquinas expendedoras, también para controlar su asistencia; en definitiva va a ser la llave para todos sus beneficios dentro de la empresa.
ü Colocación de una web-cam que capte la imagen del usuario que está sentado frente al equipo y la compare con una imagen que esté en el archivo personal de cada usuario.
ü Lector de tarjetas con código de barras. Es muy costoso que cada equipo en una oficina tenga un lector de código de barras, ya que el mismo no tendría otra finalidad que la de autenticar cada ingreso del usuario al sistema. En cambio en terminales punto de venta donde el lector de códigos de barra se utiliza para leer las etiquetas de los productos, no sería muy costoso asignarle una tarjeta a cada usuario para que se registre al iniciar y finalizar su turno.
Conclusión
• Más que un problema de tecnología, la seguridad en la transmisión de la información por la Red se debe a la falta de cultura de las organizaciones y de las personas que la integran.
• El eslabón más débil de esta cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener una cultura de seguridad, porque no existe en muchas empresas un responsable de seguridad.
Esto se ve potenciado cuando se habla de Identificación y Autenticación de usuarios, ya que la responsabilidad de adoptar la política es de cada usuario, es imposible poder controlar a todos los empleados (excepto cuando la organización es muy pequeña). Por eso es fundamental crear una conciencia en la organización de la seguridad de sus datos y de cuánto éstos valen para la empresa.
También lo potencia el hecho de que los enemigos de un sistema son muchos: los Hackers, los Crackers, empleados infieles y el espionaje Industrial y comercial; y cualquier irresponsabilidad le puede costar caro a la organización.
Como prueba de lo dicho anteriormente "En el año 2000 se destinó al mercado de Servicios de Seguridad en Internet $140 millones de dólares, y Yankee prevé que para el año 2005 se gastará $1.7 Billones de dólares