viernes, 18 de marzo de 2005

Reflexiones entorno a la autenticación...

Aparece esta semana en el blog de Bruce Schneier una interesante reflexión entorno a las contraseñas y los métodos de autenticación de doble factor.

Es evidente que el uso de contraseñas como mecanismo de seguridad ya no está funcionando. Las contraseñas no son un mecanismo eficaz principalmente por dos motivos:
- su uso ha sido tan extendido que para el usuario se ha hecho inmanegable el recordar tantas contraseñas diferentes para todos los procesos de control de acceso que suele tener que sufrir. Además, cuando intenta poder hacer gestión de tantas palabras de acceso, se acaba por caer en dos tentaciones que hacen vulnerable este mecanismo. O bien se elige siempre la misma contraseña para todo, o bien se ponen contraseñas triviales asociadas al sitio en el que se está.

- el segundo motivo está relacionado con la perdida del control sobre la contraseña. Dado que son palabras secretas, a menudo se comparten, se envían por correo, se apuntan en post-it para recordarlas...etc. Por tanto, enseguida dejan de tenerse controladas.


LLegadas a esta situación aparece la necesidad imperiosa de adoptar mecanismos más robustos y fuertes relacionados con la autenticación. Para ello, se recurre a la autenticación de doble factor que como ya comenté en un post anterior, significa utilizar de los tres criterios posibles que sirven para autenticar al menos dos.

La autenticación de doble factor llevada al usuario final se traducirá seguramente en la existencia de un certificado digital cuyo acceso requerirá el uso de una contraseña o pin (Algo que se sabe) que se almacene en algun soporte electrónico de almacenamiento seguro (Algo que se tiene). Otra posibilidad es que el acceso a ese certificado requiera en vez de un pin una prueba biométrica (algo que se es). En cualquier caso, estos son metodos mucho más robustos de autenticación en la medida en la que son mucho más complejos de adivinar o de comprometer.

En cualquier caso, el uso de estos nuevos métodos reducirán algunos riesgos relacionados con el robo de identidades, pero no todos. Riesgos asociados a amenazas como los ataques de "hombre del medio" o el uso de "troyanos" no se reducen con el uso de estos mecanismos de autenticación. Por lo tanto, aunque se avanza, no se gana la batalla. En cualquier caso, en la medida en que se reducen el número de incidentes y se dificulta el robo de identidades, en parte se está mejorando la seguridad dado que se abortan ataques desde las primeras fases de elaboración.

El artículo completo puede leerse en Schneier on Security: The Failure of Two-Factor Authentication.
 
;