mautner autenticacion
DESCRIPTION
Métodos de autenticación de clientes.TRANSCRIPT
Alternativas y problemas en medios electrónicos
1
Identificar a nuestro cliente
unívocamente
Comprobar que es quien dice ser
Brindar flexibilidad en la operatoria
2
Tipo 1: Algo que sé
Tipo 2: Algo que tengo
Tipo 3: Algo que soy
3
El concepto: Autenticación fuerte
monofactor
Passphrases
Preguntas secretas
Doble clave
Imágenes4
Lo Bueno
Fácil de implementar
Sin mantenimiento
Muy bajo costo
Lo Malo
Recordar múltiples
claves
Reutiliza el mismo factor
Muy susceptible a:
Ingeniería social
Phishing
▪ Segmentado
▪ Por Spam
Troyanos
Usen la imaginación…5
APWG Report© – Marzo 2005 APWG Report© – Diciembre 2005
6
7
8
9
http://71.99.166.51/cgibin/webscr/10
11
12
13
http://www.hispasec.com/laboratorio/troyano_video_en.htm http://descargas.hispasec.com/xss-phishing/phishing_01.sw
f Banbra.DCY
14
troyano_video.swf
troyano_video2.swf
http://www.hack247.co.uk/2006/10/23/social-engineering-at-mcdonalds/
15
Tarjeta de claves
Tarjeta de coordenadas
MachineID fingerprinting
Tokens Virtuales
Tokens por evento
Tokens por tiempo16
Lo Bueno
Buen nivel de protección
Mezcla factores
Difícil de atacar
Ventana de oportunidad
reducida
Relativa resistencia a
ingeniería social y
phishing
Lo Malo
Alto costo
Difícil de implementar
Problema en caso de
pérdida o robo
Puede ser visto como
una incomodidad por el
usuario
17
18
Biometría Física Geometría de la
mano Huella dactilar Iris/Retina
Biometría Dinámica De escritura De voz De tipeo
19
Ojo (Iris)Ojo (Retina)
Huellas dactilares
Geometría de la mano
Escritura y firma
Voz Cara
Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta
Facilidad de uso
Media Baja Alta Alta Alta Alta Alta
Prevención de ataques
Muy alta Muy alta Alta Alta Media Media Media
Aceptación
Media Media Media Alta Muy alta Alta Muy alta
Estabilidad
Alta Alta Alta Media Baja Media Media
Demasiado Intrusivo
Desconfianza en la tecnología
Desconfianza en la empresa
Privacidad
Mitos y leyendas
20
Ventanas de tiempo en OTPs
Re sincronización de tokens
Transmisión no segura
Errores de programación
Parches no aplicados
… y mil opciones más!21
Monitoreo de actividades inusuales (profiling) Limitar las actividades posibles Revisar la implementación del circuito Complementar factores de acuerdo al nivel
de riesgo Ayudar al cliente con su seguridad El problema de la parabólica humana: cuanta
seguridad puedo resistir?22
MultibandaMultifactorMulticanal
23
Concientizar, Concientizar, Concientizar
Autenticar de acuerdo al nivel de riesgo
Demasiado puede ser contraproducente
Si no lo sabe hacer… no lo haga
Cuidado con los costos operativos
Gastar en el cliente puede ser la mejor
inversión24
25