Latest Comments
No hay comentarios que mostrar.

Tags:

El siguiente artículo fue preparado y presentado en la 1ra Jornada de Ciberseguridad Universidad Nacional de Colombia, con el fin de proponer un sistema de doble factor de autenticación enfocado en satisfacer las falencias del modelo tradicional de usuario y contraseña.

Abstract. Este documento muestra la importancia de usar controles fuertes de autenticación que permita alcanzar un mayor nivel de seguridad al momento de proteger las identidades digitales, para esto se mostrara el estado del arte en el tema de autenticación y también se propone una solución que permite ofrecer esta tecnología como servicio con el fin de masificar su uso.

Keywords: Múltiples factores de autenticación., Soft-token, Segundo factor de autenticación como servicio

1      Introducción

Debido al auge de las tecnologías de información y a su carácter indispensable para la sociedad moderna, cada vez toman más relevancia los datos digitales. Estos representan nuestras actuaciones en el ciberespacio y nuestras identidades digitales, la cual nos da el derecho de acceder a estos datos y crear actuaciones en la red que pueden afectar la forma en que se nos percibe en el ciberespacio y en el mundo físico. Por lo que se deben implementar controles que ofrezcan mayores niveles de seguridad que permitan salvaguardarlas.

2      Factores de Autenticación

El proceso de autenticación digital consiste en uno o más retos que un sistema de información requiere de un usuario con el fin de determinar si este es quien dice ser y por lo tanto le permite decidir si un usuario tiene o no derecho de acceder a una identidad digital especifica.

Los diferentes controles de autenticación se encuentran clasificados por medio del sistema Múltiple-factor autenticación (MFA) que los categoriza en 4 diferentes factores. Cada uno de estos factores tienen independencias unos de otros y pueden usarse por separado o en conjunto aplicando los lineamientos de seguridad en profundidad como capas independientes.

El primer factor es el más básico de todos y fue el primero en existir se conoce como “knowledge factor”, este consta de dos partes; una publica que es conocida por todos los usuarios del sistema y se conoce como username o nombre de usuario, y la segunda se conoce como contraseña y es de carácter privado o secreto. Cuando el sistema recibe una solicitud de autenticación, valida si la clave proporcionada por el usuario corresponde a la generada previamente en esa identidad digital, de esta forma el sistema determina si el usuario tiene el derecho o no de acceder a la identidad digital.

El segundo factor es conocido como “possession factor” y consiste en que un usuario debe demostrar que posee un dispositivo físico o virtual que se encuentra vinculado a la identidad digital, este concepto es una abstracción de las llaves físicas que nos permiten el acceso para ingresar a través de una puerta. Este mecanismo es muy eficiente y es uno de los más implementados en los sistemas financieros en conjunto con el primer factor, un ejemplo claro de este es el mecanismo que usan los cajeros electrónicos en los que se puede realizar un retiro demostrando que tenemos una tarjeta de crédito (segundo factor) y que poseemos la clave que nos da el acceso a la cuenta (primer factor).

El tercer factor es conocido como “inherent factor” y consiste en un método que permite demostrar nuestra identidad mediante la digitalización de alguna de las características únicas que poseen los seres humanos, estos mecanismos se conocen como sensores biométricos y los más usados son los que permiten digitalizar la huella, el rostro e iris.

El cuarto factor, es el más reciente y es conocido en ámbito académico como “social factor”, consiste en usar la relación humana (de confianza) como método de autenticación. Este mecanismo requiere que un usuario de confianza realice una solicitud de acceso para el usuario que intenta ingresar al sistema, un ejemplo análogo en el fundo físico equivale a sostener la puerta abierta para un colega o amigo con el fin de que este pueda ingresar.

Cada uno de estos controles permite validar diferentes características del usuario propietario de la identidad digital, por consiguiente, al implementar varios controles en conjunto se consigue un mayor nivel de fiabilidad, lo cual se considera muy importante para garantizar la identidad de los usuarios en un mundo digital.

3      Motivación

El esquema de autenticación más usado en los sistemas de cómputo es el primer factor debido a su sencillez y  la facilidad para su implementación, sin embargo este esquema tiene debilidades asociadas a la dificultad de memorización de las claves, por lo cual los usuarios suelen escoger contraseñas con bajo nivel de entropía lo que permite a un atacante hacer uso de ataques muy eficientes, como el ataque de diccionario y “rainbow tables” que le permiten conseguir las contraseñas en minutos o incluso segundos.  Otra dificultad de este factor es que un atacante podría conseguir la contraseña de los usuarios mediante tácticas como el phishing o interceptación del canal de comunicación. Sin embargo, todos estos ataques se pueden mitigar aplicando un segundo factor de autenticación con el fin de dificultar al atacante conseguir el acceso al sistema.

Esta tecnología actualmente la ofrecen varios proveedores importantes como como Google, Symantec, RSA y Entrust, sin embargo, a pesar de que estas tecnologías ya están muy desarrolladas no ha podido ser masificadas debido a su costo, o a las dificultades técnicas que requieren para su implementación e integrarlos con los sistemas existentes.

Este documento busca proponer el diseño de una solución que facilite la integración de esta tecnología con cualquier sistema de información y que pueda ser usado bajo demanda  o como servicio de bajo costo y con pocos requerimientos técnicos.

4      Modelo del sistema

Se plantea el siguiente modelo de sistema que consiste en una solución de segundo factor de autenticación basado en software con el fin de reducir los costos de implementación, y que se ofrezca en modalidad de SaaS (Software as a Service) que permita a las empresas integrarlo rápidamente y configurarlo fácilmente sin necesidad de requerir personal experto en el tema.

Debido a los requerimientos anteriormente mencionados se propone una solución basada en software haciendo uso de los dispositivos móviles (Smartphone) con el fin de crear un segundo factor mediante software o Soft-token. Este dispositivo busca emular a los dispositivos físicos token ampliamente usados en los sistemas financieros. Este tipo de token consiste en un dispositivo electrónico que posee un algoritmo de generación de claves pseudo aleatorias, esto se logra mediante el uso de una semilla aleatoria que se usa a modo de identificador único asociado a cada una de las identidades digitales, tomando como insumo la hora del sistema se logra la generación de claves temporales que son válidas durante una ventana corta de tiempo, normalmente 1 minuto.  Cuando el usuario intenta ingresar al sistema este le solicita ingresar la clave temporal activa y el usuario demuestra que tiene posesión del token ingresando la clave correcta.

El sistema propuesto consta de: las aplicaciones del cliente, el soft-token, un agente y el servidor de autenticación.

Figura 1. Modelo de la solución Soft-token como servicio

En la figura 1 se detalla el modelo de alto nivel de la solución. Consta de 3 actores principales que se representan en cada una de las columnas de la figura. El usuario es la persona que haciendo uso de la solución de segundo factor se autenticara en alguna aplicación. El proveedor del servicio es quien tiene algunos sistemas de información que consumirán el servicio de segundo factor ofrecido por la solución propuesta con el fin de autenticar a sus usuarios.

El actor Servicio MFA es quien ofrece el servicio de autenticación, es decir es quien se encarga de validar las claves temporales ingresadas por los usuarios durante el proceso de autenticación mediante un servicio web.

El dispositivo móvil es quien ejecutará la aplicación de Soft-token la cual está encargada de generar las claves temporales a petición del usuario. La generación de la clave se basará en la fecha y hora al momento de la solicitud. La ventana de tiempo de validez de estas claves temporales podrá ajustarse de acuerdo con los requerimientos de usabilidad y seguridad de la aplicación a integrar. Entre más pequeña esta ventana, será más segura debido a que esta corresponde a la cantidad de tiempo que tendrá un atacante para tratar de encontrar la clave mediante mecanismos como la fuerza bruta o ingeniería social, por lo tanto, tendrá menor probabilidad de conseguir acceso al sistema. Sin embargo, al ser más pequeña también afecta la probabilidad de falsos negativos debido a la diferencia entre la hora del servidor de autenticación y el soft-token.

La aplicación cliente corresponde al sistema de información que usa el primer factor de autenticación y el cual hará uso del servicio de segundo factor, una vez el sistema se integra a la solución este recibirá todas las peticiones del cliente al cual además del primer factor le solicitará la clave temporal generada por el soft-token.

El proceso de autenticación funcionara de la siguiente forma, la aplicación solicitará al usuario sus datos de usuario y contraseña para validar el primer factor, una vez este ha sido validado satisfactoriamente la aplicación solicitara al usuario la clave temporal, la cual validara a través del agente quien se encargara de enviarlas al servidor de autenticación que genera las mismas claves que el soft-token y al compararlas, determinara si es válida o no.

Este sistema debe contar con una fase de registro que se ejecuta una vez el usuario instala la aplicación móvil soft-token, esta fase consiste en enlazar el soft-token a la identidad digital en el servidor de autenticación para posteriormente sincronizar la fecha y hora entre los dos sistemas.

5      Conclusiones

Con la solución propuesta se consigue un mejor proceso de integración de un segundo factor de autenticación debido a que se están reduciendo potencialmente los costos de implementación, integración, configuración y mantenimiento de este tipo de soluciones.  Esta propuesta busca incentivar la apropiación y uso de estas tecnologías en las pymes colombianas las cuales tiene profundas necesidades de seguridad, pero no poseen los recursos económicos y tecnológicos para implementar este tipo de soluciones.

Trabajo Futuro

Para mejorar este modelo se busca adaptarlo a un sistema de autenticación de triple factor mediante el uso de los sensores biométricos disponibles en los dispositivos móviles. Por otra parte, también se plantea la construcción de un prototipo funcional de este sistema.

Referencias

  1. Brainard, J., Rivets, R., Yung M.: Fourth-Factor Authentication: Somebody You Know (2006)
  2. Abhishek, K., Roshan, S.: A Comprehensive Study on Multifactor Authentication Scheme, (2013)
  3. Raihi, D., Machani, S.: TOTP: Time-Based One-Time password Algorithm. ( 2011)
  4. Lopes, R., Lunk, L.:Multi-Factor Authentication in Key Management Systems. (2013)
  5. Uymatiao, M.,Yu,M.: Time-based OTP Authentication via Secure Tunnel (TOAST): A Mobile TOTP Scheme Using TLS. (2014)
  6. Paul R.: A Guidance Framework for Selecting User Authentication Solutions.(2017), de Gartner

Categories

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *