Escrito por Level 3 Global Crossing Lunes, 21 de Diciembre de 2009 00:00
Blog - Seguridad | Informática
Por Oscar Lovera, Gerente General de Procert
Con frecuencia, escuchamos a los expertos mencionar el término de autenticación, a los fines de señalar el o los mecanismos que son requeridos para que un usuario sea reconocido y acceda a determinados sistemas. Es por ello que se mencionan comúnmente la autenticación simple de un solo factor, autenticación de doble factor y la autenticación de tres factores.
La autenticación, como concepto, es creada con los fines de prevenir usurpaciones de identidad digital, de impedir la vulneración de los activos de información de las organizaciones y también para autorizar el acceso a los usuarios. No obstante, la creciente sofisticación en los ataques electrónicos y sistemas de defraudación por Internet, obligaron a los usuarios a descartar sistemas simples de autenticación (login y password) y migrar hacia sistemas que ofrezcan mayor resistencia y seguridad ante eventuales ataques; tal es el caso de certificados electrónicos generados bajo PKI (Public Key Infraestructure) por una Autoridad de Certificación.
El certificado ofrece al usuario múltiples factores de autenticación —que dependen del despliegue tecnológico asociado y el hardware criptográfico utilizado (tarjeta inteligente o token)— y pueden generar, en determinados casos, los tres factores de autenticación conocidos, es decir: algo que el usuario sabe (Login y Password), algo que el usuario posee (Llave Privada criptográfica, la cual genera el no repudio) y una característica física o acto involuntario del usuario (lector biométrico de huella o pupila).
Otra de las posibilidades que proporciona el certificado es el cifrado de información y la firma de documentos electrónicos, garantizando la autenticación, integridad y no repudio del usuario o de la información que proviene de éste. Por otra parte, existen legislaciones que contemplan la firma electrónica, otorgando plena prueba y valor legal a las transacciones realizadas y firmadas con certificados electrónicos contemplando que los certificados no sean exportables.
Adicionalmente el certificado electrónico generado bajo PKI (Public Key Infraestructure) por una Autoridad de Certificación, requiere —por el estándar X-509— la posibilidad de verificar la vigencia del mismo (si está activo, revocado o expirado en su vigencia), ya sea a través de la Lista de Certificados Revocados (LCR) o por vía de la utilización del Protocolo OCSP para verificación en línea. Esto redunda en mayores niveles de seguridad y confianza entre usuarios de un nodo o entre usuarios que no guardan relación entre sí. Y si a un usuario se le revoca el certificado, dependiendo de la configuración del sistema, perderá el acceso a los sistemas y todos los usuarios conocerán acerca de la revocación, previniendo posibles actos de defraudación o ataques.
La tecnología de certificación se encuentra más accesible al usuario promedio gracias al progreso tecnológico. No obstante, ciertos riesgos se encuentran asociados al uso no ajustado al estándar de dicha tecnología. Tal sería el caso de sistemas que le permiten al usuario, generar la llave privada criptográfica exportable, facilitando la duplicación de la misma y permitiendo su asociación al mismo certificado con la consecuente posibilidad de la usurpación de identidad digital.
Fuente: Global Crossing
| < Prev | Próximo > |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 1 registrados
Este mes: 13 registrados
Visitas
 | Hoy | 4363 |
 | Ayer | 8356 |
 | Esta semana | 4363 |
 | Ultima semana | 45779 |
 | Este mes | 145780 |
 | Ultimo mes | 238584 |
 | Todos los días | 8377329 |
Hoy: May 21, 2012