No importa qué tipo de avances tecnológicos o de procedimiento se lleven a cabo, ya que ciertos principios de la informática permanecerán: especialmente aquellos relacionados a la seguridad de la información. Últimamente, me he percatado de que, entre todas las promesas que ofrecen los proveedores de seguridad acerca de que su resplandeciente caja podrá resolver todos sus problemas de seguridad, falta un entendimiento sobre los aspectos fundamentales de la informática. Debido a que ésta nunca pierde importancia y a que conocerla puede ayudarle a escoger productos y desarrollar procesos, de vez en cuando cubriré tales temas en esta columna. Este mes me gustaría explorar los conceptos de identidad, autenticación y autorización, para ayudarle a entender las diferencias importantes, al igual que a prevenirle contra la tendencia cada vez más común de combinar las primeras dos.
Los conceptos
Empecemos por definir los conceptos.
Identidad. Un principal de seguridad (por lo general usted o un PC) quiere acceder a un sistema. Debido a que el sistema no lo conoce aún, usted necesita declarar quién es. Su respuesta a la pregunta "Quién es usted" es lo primero que le debe presentar a un sistema cuando lo quiere usar. Algunos ejemplos comunes de identificación son las IDs de usuario, los certificados digitales (los cuales incluyen claves públicas) y las tarjetas ATM. Una característica notable de la identidad es que es pública, y que tiene que ser de esta forma: la identidad es la declaración acerca de usted y hace que esa declaración que utilizó esté disponible de manera pública.
Autenticación. Esta es la respuesta a la pregunta "Bien, ¿cómo puede demostrarlo?" Cuando presenta su identidad a un sistema, el sistema le pedirá que compruebe que en verdad es usted y no alguien más. El sistema lo cuestionará y usted deberá responder de alguna forma. Los autenticadores comunes incluyen contraseñas, claves privadas, y NIPs (Número de identificación personal). Mientras que la identidad es pública, la autenticación es privada: Es un secreto conocido (supuestamente) sólo por usted. En algunos casos, como en las contraseñas, el sistema también conoce el secreto. En otros casos, como en la PKI, el sistema no necesita procesar el secreto, pero puede validar su autenticidad (ésta es una de las muchas razones por las que la PKI es superior). El hecho de que usted posea este secreto es prueba de que usted es quien dice ser.
Autorización. En cuanto se haya autenticado en un sistema, éste controla los recursos a los que usted cuenta con acceso. Por lo general esto se lleva a cabo mediante el uso de un testigo (token) o un mecanismo de vales. El testigo o vale limitan su acceso en todo el sistema. Almacenar “en memoria caché” su identidad auntenticada para las siguientes decisiones de control de acceso, le permite acceder solamente a lo que el administrador determinó que es necesario, aplicando de este modo el principio de menos privilegios.
Se entiende bien la autorización; lo que me preocupa es la tendencia de unir la identidad y la autenticación, así que de esto hablaré a continuación.
Por qué se debe diferenciar la identidad y la autenticación
Piense en un sistema sin contraseñas. Usted inicia sesión al ingresar solamente su ID de usuario. Me imagino que esto funciona bien, si es el único usuario del sistema y nadie más puede acceder a éste. Pero ¿qué hay sobre un sistema de usuarios múltiples o una red? Una persona sólo tendría que ingresar su ID de usuario para tener acceso a su información. Por lo general, las IDs de usuario también son direcciones de correo electrónico, de manera que no puede confiar en el hecho de que las identificaciones de usuario son secretas. Además, ¿qué sucede si dos personas tienen el mismo nombre? ¿Cómo puede crear un ambiente único para cada persona?
Imagine un sistema que requiere que se ingrese sólo una contraseña, sin ID de usuario, para iniciar sesión. Las contraseñas son secretas y no actúan como direcciones de correo electrónico por lo que esto debe funcionar, ¿no es así? Bien, si su contraseña ahora tiene una doble función, identificarlo y autenticarlo, entonces surgen los problemas. Digamos que está cambiando su contraseña a "p4ssw0rd" y, sin saberlo, alguien ya utiliza esa contraseña. ¡Usted no la puede utilizar! En efecto, probablemente surgirá un error en el sistema. "Esa contraseña está en uso. Intente con otra". ¿Qué acaba de aprender? ¡La contraseña para la cuenta de alguien más! Ahora usted puede portarse mal (En realidad, no conozco de algún sistema en el mundo real que utilice contraseñas como identificadores; sin embargo, he leído documentos supuestamente serios que describen cómo un sistema sin identificaciones de usuario es realmente una gran idea. Desde luego, no estoy de acuerdo).
Ahora considere la biométrica. Dadas las definiciones y características de la identidad y autenticación, cuál es biométrica: ¿la identidad o la autenticación?
Antes de que contestemos la pregunta, piense en los atributos de la biométrica. ¿Es pública o privada? Pública, por supuesto. Usted ha dejado varias biométricas por donde quiera que va: sus huellas digitales permanecen en todo lo que toca, su cara se almacena en innumerables sistemas de vigilancia, quizás por lo menos su optometrista conoce los patrones de su retina. Además se cree que, pese a que no hay una evidencia por el momento para soportar tal declaración, las biométricas son únicas. (¿Cómo lo podría probar alguien sin que se examinen las huellas digitales y retinas de todas las personas en el planeta?) Dado a este hecho, se asume que la biométrica es la identidad, no la autenticación, a pesar de las declaraciones de algunos proveedores.
Los problemas surgen cuando se empieza a utilizar la biométrica para la autenticación. Digamos que sólo necesita deslizar su dedo para iniciar sesión, nada más. Sus huellas digitales ahora sirven para identificarlo y demostrar que es usted. ¿Cómo es que un sistema como éste puede comprometer su seguridad? Aparentemente muy fácil: si no hay un secreto que acompañe su huella digital. Diversos reportes de búsqueda muestran que los sistemas biométricos se pueden duplicar (el más notorio involucra la ayuda de un oso de gomita; consulte http://cryptome.org/gummy.htm y http://www.schneier.com/crypto-gram-0205.html#5).
Otro ejemplo para reflexionar: “La policía de Malasia esta cazando a los miembros de una violenta pandilla que cortaron el dedo del propietario de un carro para ingresar al sistema de seguridad de alta tecnología del vehiculo"(http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm). Una vez más, debido a que ningún secreto acompaña el dedo, todo lo que necesitan es el dedo y pueden poseer el carro. ¡Aquí la contramedida de seguridad pasa el riesgo del automóvil al conductor! Esto es cuando la seguridad se vuelve insegura.
La revocación representa otro desafío. Si un sistema confía sólo en un biométrico tanto para la identificación como para la autenticación, ¿cómo puede revocar usted ese factor? Las contraseñas olvidadas se pueden cambiar; las tarjetas inteligentes se pueden revocar y reemplazar. ¿Cómo revoca un dedo?
Claro, puede ser divertido gastar bromas sobre cuántas oportunidades tiene si le roban su autenticador biométrico. Pero refleja un serio malentendido de la informática cuando los fabricantes afirman que las biométricas pueden simplificar la seguridad. Los manufactureros de las tarjetas inteligentes entienden esto: Nunca es suficiente insertar su tarjeta en el lector (presentando de esta manera algo que usted tiene), también debe proporcionar un NIP (algo que conoce) para desbloquear la tarjeta. Una tarjeta robada (un elemento público) es inútil sin el NIP (el secreto implementado). Desafortunadamente para el caballero de Malasia, el fabricante del sistema de seguridad del automóvil malinterpretó este importante principio.
Mi regla general para la biométrica es la siguiente: la biométrica (algo que usted es) será efectiva sólo cuando recordemos combinarla con un segundo factor. Ahora uno de mis colegas propuso recientemente que quizás haya unas cuantas excepciones posibles a la regla general:
Imagine la oficina de un doctor o un hospital donde hay algunas docenas de personas utilizando un PC común. El PC tiene una cámara y cada uno de los usuarios inició sesión y la dejaron ejecutándose. El PC mira a su alrededor y cambia a la sesión iniciada que corresponde a la persona que la inició. El personal médico quiere hacer esto sin tocar la maquina ya que no quieren esparcir gérmenes. El PC muestra a la persona que seleccionó su calendario para esa hora (y talvez, para la siguiente hora).
Es una idea interesante, una que yo apoyaría sólo si la sesión inicial siguiera mi regla general: El rostro es su identificador, y la clave privada de su tarjeta inteligente es su autenticador. Cuando presenta su rostro y la tarjeta inteligente, el sistema crea una sesión para usted y la mantiene desplegada mientras su rostro permanezca frente a la cámara. En cuanto se haya ido, su sesión se bloqueará y el escritorio quedará vacío. Cuando reaparezca frente a la cámara, su rostro desbloqueará su sesión y sus aplicaciones volverán a aparecer. Si ha permanecido alejado de la computadora un largo periodo, su cerrará su sesión y se revocará su acceso con base en el “testigo” de su rostro. Para utilizar la computadora ahora debe realizar otro inicio de sesión por completo.
La identidad y la autenticación son componentes distintos de los pasos necesarios para utilizar el sistema de PC. La identidad sin autenticación no tiene pruebas; la autenticación sin identidad invalida y elimina la capacidad de múltiples usuarios (considere Windows 98, el cual soportaba una contraseña como un autenticador, pero no una ID del usuario). Si la biométrica se vuelve importante para usted conforme empieza a considerar cómo mejorar la identidad y la autenticación en su estrategia de seguridad, recuerde evaluar la manera en que una implementación particular de la biométrica se ve a sí misma. La biométrica por sí misma es sólo una identidad y estará acompañada, como todos los identificadores buenos, de un secreto de cualquier tipo: un NIP, una clave privada en una tarjeta inteligente o, sí, incluso una contraseña.
Fuente: Publicado: 14/02/2006 Por Steve Riley Estratega de seguridad Senior Unidad de tecnología de seguridad Microsoft Corporation
No hay comentarios.:
Publicar un comentario