Alternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Alternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line"

Cristóbal Álvarez Maestre
hace 8 años
Vistas:

1 Alternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line Miguel López Sales Manager Aladdin Europe

2 Índice 1. Qué es la autenticación fuerte? 2. Por qué es necesaria? 3. Alternativas disponibles 4. Combatiendo el Phishing con autenticación fuerte 5. Conclusiones 2

3 Qué es la autenticación fuerte? Autenticación Fuerte o de doble factor Autenticación débil 1 Factor Algo que yo sé Autenticación Fuerte 2 Factores Algo que yo sé + Algo que yo tengo ó Algo que yo soy 3 Factores - Algo que yo sé + Algo que yo tengo + Algo que yo soy 3

Factor Algo que yo sé Autenticación Fuerte 2 Factores Algo que yo

4 Es necesaria la autenticación fuerte? Tengo un Firewall Tengo un sistema de Seguridad de Contenidos Tengo un IDS / IPS Tengo un CPD físicamente seguro Tengo un Sistema de Backup seguro Tengo Control de Acceso al Edificio Tengo una VPN, Discos Cifrados, gestión de logs, etc. 4

un IDS / IPS Tengo un CPD físicamente seguro Tengo un Sistema de

5 Es necesaria la autenticación fuerte? al final todo depende de una CONTRASEÑA que casi siempre está debajo del teclado o en el propio monitor 5

6 Es necesaria la autenticación fuerte? Las contraseñas se comparten con frecuencia por los empleados. Se tiene tendencia a usar contraseñas débiles, fáciles de crackear o adivinar y que no se cambian prácticamente nunca. El usuario tiene tendencia a apuntar las contraseñas en algún sitio de fácil acceso o simplemente a usar siempre la misma en todas las aplicaciones. Son muy vulnerables frente al spyware, troyanos, keyloggers... Son muy vulnerables en el caso de sistema de recuperación basadas en preguntas personales Keylogger HW. Coste en la web 40 $ Todo lo anterior es aún mas cierto en el caso de los accesos externos y desde ordenadores no corporativos (VPN s, portales web de clientes ) la posibilidad de un ataque en estos casos es aún mas alta 6

El usuario tiene tendencia a apuntar las contraseñas en algún sitio de fácil acceso o simplemente a usar siempre la misma en todas las aplicaciones.

7 Es necesaria la autenticación fuerte? Las contraseñas siguen siendo una debilidad fundamental en la seguridad, independientemente de lo fuerte que sea la política de contraseñas. Fuente: Gartner, Assess Authentication Methods for Strong System Security, August 2004 Recomendaciones para reducir el problema de las contraseñas: Autenticación Fuerte: Utilizar contraseñas o PINs combinado con otro método de autenticación, como un token hardware. Administración de Contraseñas: Implementar sistemas de administración de contraseñas para evitar vulnerabilidades técnicas y de procedimiento. 7

Fuente: Gartner, Assess Authentication Methods for Strong System Security, August 2004 Recomendaciones para reducir el problema de las contraseñas:

8 Alternativas a las Contraseñas Autenticación Fuerte de usuarios OTP (One Time Password) HW y SW Smartcards + PKI Tokens USB + PKI Biometría Otros sistemas de Autenticación Teclados Virtuales Tarjetas de coordenadas SMS y Soft OTP en móviles 8

Tokens USB + PKI Biometría Otros sistemas de Autenticación

9 Tokens OTP Método tradicional de autenticación fuerte Se utiliza principalmente para accesos remotos Pueden ser hardware/software Dispositivos OTP Basados en tiempo Basados en eventos Mercado en 2006: 270 M $ Mercado previsto en 2009 : 410 M $ 9

hardware/software Dispositivos OTP Basados en tiempo Basados

10 Tokens OTP Ventajas: Portabilidad no hay que instalar nada en el PC. Compatible con PDA s, smartphones, Blackberry etc Autenticación fuerte desde cualquier PC (hotel, casa, internet café, etc.). Dispositivos de bajo coste (algunos) Inconvenientes: Mantenimiento del dispositivo Funcionalidad limitada - especialmente en autenticación fuerte A veces son complicados Menos seguros que las soluciones PKI + chip inteligente TCO elevado en el tiempo en algunos casos 10

11 Smart Card Europa y Asia aúnan el 75% de los ingresos por Smart Card Estados Unidos representa menos del 4% 17% Crecimiento anual y bajando Posibilidad de incorporar RFID y/o Banda Magnética 11

12 Smart Card Ventajas: Gran seguridad chip criptográfico Permite más funcionalidades que los tokens OTP Bajo mantenimiento Se puede utilizar a efectos de identificación (foto) Personalización sencilla (logos, fotos, RFID, banda magnética) Fácil de llevar Inconvenientes: Es necesario un lector Hay que instalar drivers en el PC En grandes despliegues realizados en etapas pueden generarse problemas de compatibilidad entre lectores nuevos y tarjetas viejas y viceversa 12

banda magnética) Fácil de llevar Inconvenientes: Es necesario un lector Hay que instalar drivers en el PC En grandes

13 Tokens USB El crecimiento de la autenticación basada en tokens USB es el mayor dentro de los dispositivos de autenticación HW 31% Crecimiento anual Es el mercado mas dinámico y de mayor proyección actualmente. Mercado en el millones de $ Crecimientos anuales del 40% (60% en España) Nuevos fabricantes y nuevas soluciones 13

mas dinámico y de mayor proyección actualmente.

14 Tokens USB Ventajas: Seguridad Fuerte chip de Smart card criptográfica Proporciona mucho más que los tokens OTP No necesita de lectores añadidos (Conexión USB) Bajo mantenimiento Posibilidad de personalización (logos, colores, RFID, según fabricante, no todos lo admiten) Inconvenientes: Necesita un driver en el PC (aunque algunos de los nuevos modelos basado en Java-Card pueden realizar algunas funciones sin necesidad de driver) Necesita conexión física a un puerto USB 14

según fabricante, no todos lo admiten) Inconvenientes: Necesita un driver en el PC (aunque algunos de los nuevos

15 Biometría Tras el 11-S se incrementó la aceptación de la identificación biométrica Utiliza características únicas, que no se pueden perder, robar, compartir u olvidar. Área innovativa, la solución es cada vez más barata y fiable Tecnologías biométricas: Huella dactilar (44%) Reconocimiento facial (19%) Geometría de la mano (9%) Verificación de la voz (4%) Análisis de la frecuencia cardiaca ( ) 15

Área innovativa, la solución es cada vez más barata y fiable Tecnologías biométricas: Huella

16 Biometría Ventajas: Fácil de utilizar Bajo mantenimiento Seguridad teórica elevada (dependiendo del coste del lector) Inconvenientes: Todavía poca aceptación Algunas tecnologías aún poco maduras Hardware adicional bastante caro Despliegue, complejo Sólo permite autenticación, no firma Seguridad real cuestionable Con un simple papel celo y una bolsa de agua caliente es Posible engañar al lector 16

Hardware adicional bastante caro Despliegue, complejo Sólo permite autenticación, no firma Seguridad

Acceso Lógico + Físico (RFID) Dispositivos móviles Futuro: Biometría?

17 Tendencias del Mercado Presente: Dispositivos Todo en uno Token PKI + certificado ( ROI, TCO) Autenticación + memoria flash + cifrado del PC y del dispositivo Acceso Lógico + Físico (RFID) Dispositivos móviles Futuro: Biometría? Huella dactilar Reconocimiento facial Geometría de la mano Verificación de la voz Ritmo cardiaco 17

18 Comparativa Dispositivos de Autenticación USB Tokens OTP Tokens Hybrid Tokens Smart card security Batteries not required Limited device lifetime Not required for USB functionality Clientless operation / Authentication in detached mode PKI capabilities (certificate-based authentication, encryption, digital signing, security) Password management capabilities PC security capabilities (boot protection, file/disk encryption, computer lock when token is removed) Back-end server not required Not required for USB functionality 18

(certificate-based authentication, encryption, digital signing, email security) Password management capabilities PC security

19 Usos complementarios Acceso Seguro a la red corporativa: Acceso Web Acceso VPN Logon de Red Datos Seguros: Protección del Boot Cifrado de Archivos Correo Seguro Firma Digital Administración de Contraseñas Integración SSO de terceros Simple Sign On

Cifrado de Archivos Correo Seguro Firma Digital Administración

20 La autenticación fuerte frente al phishing etoken Pro + Certificado digital: el usuario podría acceder para ver movimientos mediante el Web Sign On, el cual rellena usuario y contraseña sólo en la url correcta. Cuando desea hacer una transacción o un movimiento económico de cualquier tipo la web le pide que firme la operación con su certificado, el cual está almacenado en el etoken y no puede extraerse. etoken OTP: el usuario introduce su usuario y contraseña y para firmar las operaciones se utiliza el Password dinámico generado por la pantalla del OTP. Opcionalmente con el NG OTP también sería posible la firma PKI de la transacción. 20

Cuando desea hacer una transacción o un movimiento económico de cualquier tipo la web le pide que firme la operación con su certificado, el cual está almacenado

21 Fin de la presentación Muchas gracias 21

Documentos relacionados

Control Horario. Dispositivos para Control Horario

Control Horario. Dispositivos para Control Horario Control Horario Dispositivos para Control Horario EL DISPOSITIVO DE IDENTIFICACIÓN EN ARQUERO Un sistema de control de horarios ayuda a gestionar de manera eficiente los horarios a cumplir por los trabajadores