Alternativas de Autentificación por dos Factores en Portales Web

Más de 20 Años de Trayectoria en el Mercado

Diseñamos, Fabricamos y Comercializamos nuestros Productos

y Soluciones clasificados en las siguientes líneas principales:

Protección de Software y Datos

Autenticación Fuerte de Accesos a Aplicaciones y Sitios Web

Protección de Certificados Digitales en Esquemas PKI

Distribuidores Oficiales de SAFENET / RAINBOW

Protección de Datos Personales y Accesos a PCs

¿QUÉ BUSCAMOS?

• Sitios Web

• Software o Aplicaciones

• Home Banking

• Web Mail

• Redes y VPN

• PC’s y Notebooks

Aumentar la

seguridad en

el acceso

Falta de conciencia en materia de seguridad

• La sociedad no toma conciencia respecto a la importancia de proteger la información que maneja diariamente.

El presupuesto

• Se destinan escasos fondos a herramientas de seguridad. Se considera un gasto y no como lo que es, una inversión.

● ISO 27001 es una norma internacional que ofrece recomendaciones

para realizar la gestión de la seguridad de la información.

● La información es un activo, y la norma define como proteger

adecuadamente dicho activo.

● Busca la Confidencialidad, Integridad y Disponibilidad de la

información.

● El objetivo de la serie de normas 27000 es proporcionar una base

común para desarrollar normas de seguridad dentro de las organizaciones

ISO 27001/27002 ex.17799

Entre los diez dominios de control que establece para la Gestión de

Seguridad de Información destacaremos:

ISO 27001/27002 ex.17799

• Controlar los accesos a la información.

• Evitar accesos no autorizados a los sistemas de información.

• Protección de los servicios en red.

• Evitar accesos no autorizados a ordenadores.

• Evitar el acceso no autorizado a la información contenida en los sistemas.

• Detectar actividades no autorizadas.

• Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.

• Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

• Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

• Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.

• Utilizar elementos físicos de autenticación para acceder a la información.

CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS

Una sola clave para Cifrado y Descifrado

Problema: Cómo facilitar una clave de cifrado a los usuarios y cómo

asegurarse que no se “filtre” a otros usuarios?

Cifrado

Simétrico (1 Clave)

Texto

Plano

3%$hd

@(987k

Texto

Plano


Cifrado

Asimétrico

2 Claves

(Pública y Privada)

Texto

Plano

3%$hd

@(987k

Texto

Plano

Clave Pública

Clave Privada

Cifrar con “Clave Pública” Publicar la Clave Pública

en directorios/agendas.

Descifrar con “Clave Privada” Mantener la Clave Privada bajo

control.


Cifrado

Asimétrico

2 Claves

(Pública y Privada)

Cifrado con Clave Privada

Comparar

HASH

Descifrado

Cálculo de

HASH

Documento Original

Firma Digital

Clave Pública

Cálculo

de

HASH

3%$hd

@(987k Doc

DISPOSITIVOS CRIPTOGRÁFICOS

OTP (One Time Password)

HARDkey MIO


Los Token o llaves Criptográficas como las “iKey” (de SafeNet) o

eToken Pro (de Aladdin) son dispositivos USB que además de

proteger y trasportar Certificados Digitales, almacenando el par de

claves que se utilizan en esquemas de Firmas Digital (PKI – Public

Key Infrastructure).

Permiten mediante un SDK o Kit de Desarrollo, implementar un

esquema de Autentificación fuerte de Usuarios.

La tecnología de firmas digitales es una herramienta para certifica

quien es la persona que está realizando una operación, y si el

documentos firmado no fue vulnerado.


Pueden ser utilizados:

• Firmar Documentos Digitales

• Autenticar el Acceso a Sistemas

informáticos o sitios web

• Validar el acceso a redes

• Cifrar información.

Una “Ley de Firma Digital” básicamente lo que busca es igualar la

utilización de los “certificados digitales” para firmar documentos o

transacciones electrónicas, con la firma de puño y letra.

Además de garantizar la

identidad del “firmante”

permite garantizar que no se

puede alterar el contenido

del documento o transacción

firmada.

FIRMA DIGITAL – DESCRIPCIÓN

FIRMA DIGITAL – DESCRIPCIÓN

Una “Ley de Firma Digital” y sus

normas de reglamentación son el

marco general a tener en cuenta en

todo proyecto de PKI.

Hay que tener presente que el simple

hecho de utilizar Certificados

Digitales no es una “solución en si

misma”, pues hay que contar con

tecnologías adecuadas para

protegerlos.

FIRMA DIGITAL – QUÉ SE NECESITA?

Certificado

Digital

Llaves

Criptográficas

Desarrollos especiales para firmar documentos con el esquema PKI Modificación y adaptación de los software actuales.

Certificación de procesos PKI

Contrato de entre partes que acepten las políticas

SOFTWARE PROPIO

Autoridad Registrante

Autoridad Certificante Infraestructura

•Comprobar si el certificado es valido

•Validar firma (que corresponda a usuario)

•Verificar el Vencimiento del Certificado

•Verificar el Ente Certificador

Validación del Certificado

SOFTWARE DE TERCEROS

Es importante entender que en todo esquema de “Firma Digital” o

PKI, para que realmente se esté validando la identidad de un

usuario es necesario contar con dispositivos criptográficos ( como

las llaves USB iKey ) para proteger y transportar los certificados

digitales de los usuarios.

Llave Criptográfica iKey


Además, si no se compra el certificado, hay que contar con dispositivos tipo

HSM (Hardware Security Module) como los LUNA SA de SafeNet.

Para:

Protegen “Certificados Servidor” ( Root )

Aceleran operaciones de cifrado


Según la ley 25.506 de Firma Digital en la Argentina,

Es necesario contar:

EN EL SERVIDOR:

EN EL USUARIO: (recomendación)

• Dispositivos HSM

• Servidores dedicado

• Sistema de Backup.

• UPS

• …

• Dispositivos Criptográficos

• Certificado digital (arancel anual)

• Software especial para firmar

documentos.

• …

FIRMA DIGITAL – CONCLUSIONES:

• Altos costos START UP • Altos costos de Capacitación. • Requiere personal altamente especializado. • Tiempo de implementación más de 6 meses. • Gastos de Licencias Anuales.

• Certificación de normas internacionales de seguridad.

• Firma Digital o Firma Electrónica.

• Autenticación de Usuario

• Cifrado de Datos

BENEFICIOS

CONTRAS


OTP (One Time Password)

HARDkey MIO

OTP – One Time Password

- Dispositivos de Hardware que

proporcionan una autenticación

fuerte por un factor físico.

- Agregan al usuario y password

convencional una clave más que

varía a cada minuto.


La clave se genera aleatoriamente en función del instante

de tiempo en el que se presiona el botón (cuenta con Clock

Interno) y en función de la última clave generada.


Además de los token para

cada usuario, hay que

comprar una licencia de

software del lado servidor

que es necesario para

validar dicha clave.

• Altos costos START UP. (Hardware y Software)

• Altos costos de Capacitación. • Altos costos de Mantenimiento. • Requiere personal altamente especializado. • Tiempo de implementación 3 a 4 meses.

• Certificación de normas internacionales de seguridad.

• Autenticación Fuerte de Usuario.

• Fácil de utilizar para el usuario final.

CONTRAS


BENEFICIOS

HARDKEY MIO - AUTENTICACIÓN

• Es un Dispositivo Electrónico USB diseñado, para hacer una

Validación Fuerte de Usuarios.

• Con sólo incorporar unas pocas líneas de código fuente del Logon

de una aplicación o Sitio Web, es suficiente para implementarlo la

solución de una manera rápida y sencilla

• Es fácilmente incorporable en la mayoría de los lenguajes como ASP,

PHP, Java, Visual, C++, C#, .NET, etc.

• Para el usuario es totalmente trasparente, cuando tiene que acceder

sólo debe conectar la llave USB e ingresar su PIN.

HARDKEY MIO – CÓMO FUNCIONA?

-En el caso de Sitio Web:

• El servidor web manda una página de consulta al cliente donde está

conectado la llave HARDkey MIO.

• El OCX o componente JAVA instalado en el cliente se encarga de

verificar la presencia de la llave, leer o grabar información, leer la clave

privada, importar o exportar un certificado. El dato, se lo pasa al servidor

en forma encriptado y segura para que lo procese.

• El servidor lo toma, lo analiza y actúa según se lo programe.

De esta forma se divide en etapas el proyecto, distribuyendo

el tiempo de la carga de trabajo que implica la implementación.

HARDKEY MIO – SOLUCIÓN ESCALABLE

Con HARDkey en una primera

instancia se puede implementar

simplemente el chequeo de la

llave y su PIN. Validando, por

ejemplo, el número de serie.

Se puede dejar para una segunda etapa un esquema con

Certificados Digitales, almacenando en la llave la “Clave Privada”.

+ Firma

HARDkey + “OTP”

Validación Fuerte


Validación Fuerte

Automotora

Gildemeister

(Chile)

Revista OnLine

• Reemplazar el login estándar de Usuario y Password (muy débil) por una Autentificación Fuerte de dos Factores.

• Donde el usuario sólo Ingresa una llave y el PIN de acceso.

• Se lee de la llave el ID o el Usuario y Contraseña grabada dentro de la misma y continuamos con el proceso de login normal.



Validación Fuerte

HARDkey

“OTP”

• Telefónica de Argentina utilizo nuestras llaves para autenticar el acceso a la Intranet de 200 puestos y Certificó la Norma ISO 17799. • Además de la presencia de la llave agregaron un 3º factor de autenticación, una clave Aleatoria de 64 bytes que la guardan en la memoria de la llave, cambiándola cada vez que hace el login.



_:;ñ´P?=#”$8SoClqÑ01++=?)!#”#$5

Cambia en cada Sesión


Validación Fuerte

HARDkey

+“OTP”

+

Firma

Electrónica

• La gente de MATba (Mercado a Termino de Buenos Aires) comercializan cereales mediante un sistema web llamado NeSS. • Utilizan las llaves HARDkey para autenticar el acceso y a su vez guardan una clave privada en la memoria de la llave.


Validan el Acceso

Autentifican que el que hace la transacción es el autorizado. (Identidad)

Evitan que el documento firmado haya sido modificado. (Vulnerabilidad)

Contrato de Entre partes entre socios y la firma. (Legales)



Validación Fuerte

HARDkey

“OTP”

Firma

Electrónica

Automotora

Gildemeister

(Chile)

• No es ampliamente conocido.

• No posee certificaciones internacionales. (Sólo implica firmar un contrato entre partes).

• Autenticación Fuerte de Usuarios.

• Costo de Unica Vez (compra de llave).

• Implementación rápida y sencilla.

• PLUG & PLAY (no requiere Driver)

• Sin caras capacitaciones.

• Sin costosas licencias de software

• Excelente relación COSTO-BENEFICIO.

CONTRAS

HARDKEY MIO - AUTENTICACIÓN

BENEFICIOS

En la gran mayoría de las instalaciones donde se necesita una

“Validación Fuerte de Accesos de Usuarios”, se soluciona

con un “Contrato entre Partes”.

Por ello se puede optar

por opciones más simples

de implementar

y de menor costo.

Si bien existe siempre el deseo de implementar tecnologías

ampliamente difundidas, normalmente no se destinan recursos

económicos para lograrlo.

Y se termina dejando siempre “para el año que viene” la

implementación de soluciones de seguridad por no optar por

opciones al alcance de las economías Latinoamericanas.

Es preferible implementar soluciones “provisorias para siempre”

antes que seguir utilizando esquemas endebles como el de

Usuario y Password.

PREGUNTAS???

MUCHAS GRACIAS !!!

Andrés Gallo

Ejecutivo de Cuentas

SITEPRO S.A. Bartolomé Mitre 777 Piso 2 OF “A” Buenos Aires - ARGENTINA

TEL: (54-11) 4328-9177 / 4504 / 4979

[email protected]

Alternativas de Autentificación por dos Factores en Portales Web

Technology

Transcript of Alternativas de Autentificación por dos Factores en Portales Web