SlideShare uma empresa Scribd logo

Alternativas de Autentificación por dos Factores en Portales Web

Andres Gallo
Andres Gallo

Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc. Las productos más usados del mercado y una alternativa interesante. HARDkey MIO, solución escalable para remplazar el Usuario y Password en pocas horas hasta incorporar un esquema PKI para Firmar documentos.

Tecnologia
1 de 48
Baixar para ler offline
.
  
 Más de 20 Años de Trayectoria en el Mercado  Diseñamos, Fabricamos y Comercializamos nuestros Productos y Soluciones clasificados en las siguientes líneas principales: Protección de Software y Datos Autenticación Fuerte de Accesos a Aplicaciones y Sitios Web Protección de Certificados Digitales en Esquemas PKI Protección de Datos Personales y Accesos a PCs  Distribuidores Oficiales de SAFENET / RAINBOW
   
¿QUÉ BUSCAMOS?
Aumentar la • Sitios Web seguridad en • Software o Aplicaciones el acceso • Home Banking • Web Mail • Redes y VPN • PC’s y Notebooks
Falta de conciencia en materia de seguridad • La sociedad no toma conciencia respecto a la importancia de proteger la información que maneja diariamente. El presupuesto • Se destinan escasos fondos a herramientas de seguridad. Se considera un gasto y no como lo que es, una inversión.
ISO 27001/27002 ex.17799 ● ISO 27001 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información. ● La información es un activo, y la norma define como proteger adecuadamente dicho activo. ● Busca la Confidencialidad, Integridad y Disponibilidad de la información. ● El objetivo de la serie de normas 27000 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones
ISO 27001/27002 ex.17799 Entre los diez dominios de control que establece para la Gestión de Seguridad de Información destacaremos:
• Controlar los accesos a la información. • Evitar accesos no autorizados a los sistemas de información. • Protección de los servicios en red. • Evitar accesos no autorizados a ordenadores. • Evitar el acceso no autorizado a la información contenida en los sistemas. • Detectar actividades no autorizadas. • Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.
• Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. • Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. • Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. • Utilizar elementos físicos de autenticación para acceder a la información.
Cifrado Simétrico (1 Clave) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Texto 3%$hd Texto Plano @(987k Plano  Una sola clave para Cifrado y Descifrado Problema: Cómo facilitar una clave de cifrado a los usuarios y cómo asegurarse que no se “filtre” a otros usuarios?
Cifrado Asimétrico 2 Claves (Pública y Privada) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Clave Clave Pública Privada Texto 3%$hd Texto Plano @(987k Plano Cifrar con “Clave Pública” Publicar la Clave Pública en directorios/agendas. Descifrar con “Clave Privada” Mantener la Clave Privada bajo control.
Cifrado Asimétrico 2 Claves (Pública y Privada) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Cifrado con Clave Clave Privada Pública Cálculo 3%$hd Firma HASH de Digital Descifrado @(987k Doc HASH Comparar Documento Original Cálculo de HASH
DISPOSITIVOS OTP HARDkey MIO CRIPTOGRÁFICOS (One Time Password)
DISPOSITIVOS CRIPTOGRÁFICOS Los Token o llaves Criptográficas como las “iKey” (de SafeNet) o eToken Pro (de Aladdin) son dispositivos USB que además de proteger y trasportar Certificados Digitales, almacenando el par de claves que se utilizan en esquemas de Firmas Digital (PKI – Public Key Infrastructure). Permiten mediante un SDK o Kit de Desarrollo, implementar un esquema de Autentificación fuerte de Usuarios. La tecnología de firmas digitales es una herramienta para certifica quien es la persona que está realizando una operación, y si el documentos firmado no fue vulnerado.
DISPOSITIVOS CRIPTOGRÁFICOS Pueden ser utilizados: • Firmar Documentos Digitales • Autenticar el Acceso a Sistemas informáticos o sitios web • Validar el acceso a redes • Cifrar información.
FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” básicamente lo que busca es igualar la utilización de los “certificados digitales” para firmar documentos o transacciones electrónicas, con la firma de puño y letra. Además de garantizar la identidad del “firmante” permite garantizar que no se puede alterar el contenido del documento o transacción firmada.
FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” y sus normas de reglamentación son el marco general a tener en cuenta en todo proyecto de PKI. Hay que tener presente que el simple hecho de utilizar Certificados Digitales no es una “solución en si misma”, pues hay que contar con tecnologías adecuadas para protegerlos.
FIRMA DIGITAL – QUÉ SE NECESITA? Autoridad Certificante Infraestructura Autoridad Registrante  Desarrollos especiales para firmar documentos con el Llaves esquema PKI Criptográficas  Modificación y adaptación de SOFTWARE DE los software actuales. Certificado TERCEROS Digital  Certificación de procesos PKI Validación del  Contrato de entre partes que acepten las políticas Certificado •Comprobar si el certificado es valido SOFTWARE PROPIO •Validar firma (que corresponda a usuario) •Verificar el Vencimiento del Certificado •Verificar el Ente Certificador
FIRMA DIGITAL – QUÉ SE NECESITA? Es importante entender que en todo esquema de “Firma Digital” o PKI, para que realmente se esté validando la identidad de un usuario es necesario contar con dispositivos criptográficos ( como las llaves USB iKey ) para proteger y transportar los certificados digitales de los usuarios. Además, si no se compra el certificado, hay que contar con dispositivos tipo HSM (Hardware Security Module) como los LUNA SA de SafeNet. Para:  Protegen “Certificados Servidor” ( Root )  Aceleran operaciones de cifrado Llave Criptográfica iKey
FIRMA DIGITAL – QUÉ SE NECESITA? Según la ley 25.506 de Firma Digital en la Argentina, Es necesario contar: • Dispositivos HSM • Servidores dedicado EN EL SERVIDOR: • Sistema de Backup. • UPS •… • Dispositivos Criptográficos • Certificado digital (arancel anual) EN EL USUARIO: • Software especial para firmar (recomendación) documentos. •…
FIRMA DIGITAL – CONCLUSIONES: • Certificación de normas internacionales de seguridad. BENEFICIOS • Firma Digital o Firma Electrónica. • Autenticación de Usuario • Cifrado de Datos • Altos costos START UP • Altos costos de Capacitación. CONTRAS • Requiere personal altamente especializado. • Tiempo de implementación más de 6 meses. • Gastos de Licencias Anuales.
DISPOSITIVOS OTP HARDkey MIO CRIPTOGRÁFICOS (One Time Password)
OTP – One Time Password - Dispositivos de Hardware que proporcionan una autenticación fuerte por un factor físico. - Agregan al usuario y password convencional una clave más que varía a cada minuto.
OTP – One Time Password La clave se genera aleatoriamente en función del instante de tiempo en el que se presiona el botón (cuenta con Clock Interno) y en función de la última clave generada.
OTP – One Time Password Además de los token para cada usuario, hay que comprar una licencia de software del lado servidor que es necesario para validar dicha clave.
OTP – One Time Password • Certificación de normas internacionales de seguridad. BENEFICIOS • Autenticación Fuerte de Usuario. • Fácil de utilizar para el usuario final. • Altos costos START UP. (Hardware y Software) • Altos costos de Capacitación. CONTRAS • Altos costos de Mantenimiento. • Requiere personal altamente especializado. • Tiempo de implementación 3 a 4 meses.
HARDKEY MIO - AUTENTICACIÓN • Es un Dispositivo Electrónico USB diseñado, para hacer una Validación Fuerte de Usuarios. • Con sólo incorporar unas pocas líneas de código fuente del Logon de una aplicación o Sitio Web, es suficiente para implementarlo la solución de una manera rápida y sencilla • Es fácilmente incorporable en la mayoría de los lenguajes como ASP, PHP, Java, Visual, C++, C#, .NET, etc. • Para el usuario es totalmente trasparente, cuando tiene que acceder sólo debe conectar la llave USB e ingresar su PIN.
HARDKEY MIO – CÓMO FUNCIONA? -En el caso de Sitio Web: • El servidor web manda una página de consulta al cliente donde está conectado la llave HARDkey MIO. • El OCX o componente JAVA instalado en el cliente se encarga de verificar la presencia de la llave, leer o grabar información, leer la clave privada, importar o exportar un certificado. El dato, se lo pasa al servidor en forma encriptado y segura para que lo procese. • El servidor lo toma, lo analiza y actúa según se lo programe.
HARDKEY MIO – SOLUCIÓN ESCALABLE Se puede dejar para una segunda etapa un esquema con Certificados Digitales, almacenando en la llave la “Clave Privada”. De esta forma se divide en etapas el proyecto, distribuyendo el tiempo de la carga de trabajo que implica la implementación. + Con HARDkey en una primera Firma instancia se puede implementar HARDkey simplemente el chequeo de la + “OTP” llave y su PIN. Validando, por ejemplo, el número de serie. Validación Fuerte
HARDKEY MIO – SOLUCIÓN ESCALABLE Validación Fuerte Automotora Gildemeister (Chile) Revista OnLine
HARDKEY MIO – SOLUCIÓN ESCALABLE • Reemplazar el login estándar de Usuario y Password (muy débil) por una Autentificación Fuerte de dos Factores. • Donde el usuario sólo Ingresa una llave y el PIN de acceso. • Se lee de la llave el ID o el Usuario y Contraseña grabada dentro de la misma y continuamos con el proceso de login normal.
HARDKEY MIO – SOLUCIÓN ESCALABLE HARDkey “OTP” Validación Fuerte
HARDKEY MIO – SOLUCIÓN ESCALABLE • Telefónica de Argentina utilizo nuestras llaves para autenticar el acceso a la Intranet de 200 puestos y Certificó la Norma ISO 17799. • Además de la presencia de la llave agregaron un 3º factor de autenticación, una clave Aleatoria de 64 bytes que la guardan en la memoria de la llave, cambiándola cada vez que hace el login.
HARDKEY MIO – SOLUCIÓN ESCALABLE Cambia en cada Sesión _:;ñ´P?=#”$ 8SoClqÑ01+ +=?)!#”#$5
HARDKEY MIO – SOLUCIÓN ESCALABLE + Firma Electrónica HARDkey +“OTP” Validación Fuerte
HARDKEY MIO – SOLUCIÓN ESCALABLE • La gente de MATba (Mercado a Termino de Buenos Aires) comercializan cereales mediante un sistema web llamado NeSS. • Utilizan las llaves HARDkey para autenticar el acceso y a su vez guardan una clave privada en la memoria de la llave.
HARDKEY MIO – SOLUCIÓN ESCALABLE Validan el Acceso Autentifican que el que hace la transacción es el autorizado. (Identidad) Evitan que el documento firmado haya sido modificado. (Vulnerabilidad) Contrato de Entre partes entre socios y la firma. (Legales)
HARDKEY MIO – SOLUCIÓN ESCALABLE Firma Electrónica HARDkey “OTP” Validación Fuerte Automotora Gildemeister (Chile)
HARDKEY MIO - AUTENTICACIÓN • Autenticación Fuerte de Usuarios. • Costo de Unica Vez (compra de llave). • Implementación rápida y sencilla. BENEFICIOS • PLUG & PLAY (no requiere Driver) • Sin caras capacitaciones. • Sin costosas licencias de software • Excelente relación COSTO-BENEFICIO. • No es ampliamente conocido. CONTRAS • No posee certificaciones internacionales. (Sólo implica firmar un contrato entre partes).
En la gran mayoría de las instalaciones donde se necesita una “Validación Fuerte de Accesos de Usuarios”, se soluciona con un “Contrato entre Partes”. Por ello se puede optar por opciones más simples de implementar y de menor costo.
Si bien existe siempre el deseo de implementar tecnologías ampliamente difundidas, normalmente no se destinan recursos económicos para lograrlo. Y se termina dejando siempre “para el año que viene” la implementación de soluciones de seguridad por no optar por opciones al alcance de las economías Latinoamericanas. Es preferible implementar soluciones “provisorias para siempre” antes que seguir utilizando esquemas endebles como el de Usuario y Password.
PREGUNTAS???
MUCHAS GRACIAS !!! Andrés Gallo Ejecutivo de Cuentas SITEPRO S.A. Bartolomé Mitre 777 Piso 2 OF “A” Buenos Aires - ARGENTINA TEL: (54-11) 4328-9177 / 4504 / 4979 agallo@sitepro.com.ar

Recomendados

Seminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiSeminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales Pki
Jose Zelada Peralta
 
Infraestructura PIkx
Infraestructura PIkxInfraestructura PIkx
Infraestructura PIkx
Adela Cueva
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
dansterec
 
DNI-e
DNI-eDNI-e
DNI-e
Gonzalo Marugan
 
Pki
PkiPki
Pki
danielmon1
 
Pki
PkiPki
Pki
G Hoyos A
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ix
ptrujillo82
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
CecyCueva
 

Recomendados

Seminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales PkiSeminario Firmas Y Certificados Digitales Pki
Seminario Firmas Y Certificados Digitales Pki
Jose Zelada Peralta
 
Infraestructura PIkx
Infraestructura PIkxInfraestructura PIkx
Infraestructura PIkx
Adela Cueva
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
dansterec
 
DNI-e
DNI-eDNI-e
DNI-e
Gonzalo Marugan
 
Pki
PkiPki
Pki
danielmon1
 
Pki
PkiPki
Pki
G Hoyos A
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ix
ptrujillo82
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
CecyCueva
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
Cinthia Duque
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
gcalahorrano
 
Pki
PkiPki
Pki
Myrian Medina
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
Freddy Guillermo Lojan Zuñiga
 
GNU Privacy Guard Intercambiando mensajes y documentos de forma segura
GNU Privacy Guard Intercambiando mensajes y documentos de forma seguraGNU Privacy Guard Intercambiando mensajes y documentos de forma segura
GNU Privacy Guard Intercambiando mensajes y documentos de forma segura
Esteban Saavedra
 
Firma digital
Firma digitalFirma digital
Firma digital
Sulma Jimena Díaz Puma
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
MariluzBlacidoGabrie
 
04 pgp
04 pgp04 pgp
04 pgp
MariluzBlacidoGabrie
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ix
JorgeGValarezo
 
Firmadigital andrea
Firmadigital andreaFirmadigital andrea
Firmadigital andrea
arriaguita21
 
Como ingresar a aulas virtuales
Como ingresar a aulas virtualesComo ingresar a aulas virtuales
Como ingresar a aulas virtuales
AnaMasalgado
 
Como ingresar a aulas virtuales
Como ingresar a aulas virtualesComo ingresar a aulas virtuales
Como ingresar a aulas virtuales
anniesalgado
 
Terminologia
TerminologiaTerminologia
Terminologia
yariela2222
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Logicalis Latam
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
Oscar
 
Firma digital 17 ag
Firma digital 17 agFirma digital 17 ag
Firma digital 17 ag
Aidee Amparito
 
Firma Digital
Firma DigitalFirma Digital
Firma Digital
mizar1
 
Norah zelaya Luisaga
Norah zelaya LuisagaNorah zelaya Luisaga
Norah zelaya Luisaga
Uagrm G.A
 
Unidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesUnidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones Comerciales
Waldo Caballero
 
Capitulo1
Capitulo1Capitulo1
Capitulo1
lucero1548
 
Modelos de medios y actores de la crisis
Modelos de medios y actores de la crisisModelos de medios y actores de la crisis
Modelos de medios y actores de la crisis
Sebastián Lehuedé
 

Mais conteúdo relacionado

Mais procurados

3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
gcalahorrano
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ix
JorgeGValarezo
 
Firmadigital andrea
Firmadigital andreaFirmadigital andrea
Firmadigital andrea
arriaguita21
 
Como ingresar a aulas virtuales
Como ingresar a aulas virtualesComo ingresar a aulas virtuales
Como ingresar a aulas virtuales
anniesalgado
 

Mais procurados (20)

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
 
Pki
PkiPki
Pki
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
 
GNU Privacy Guard Intercambiando mensajes y documentos de forma segura
GNU Privacy Guard Intercambiando mensajes y documentos de forma seguraGNU Privacy Guard Intercambiando mensajes y documentos de forma segura
GNU Privacy Guard Intercambiando mensajes y documentos de forma segura
 
Firma digital
Firma digitalFirma digital
Firma digital
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
 
04 pgp
04 pgp04 pgp
04 pgp
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ix
 
Firmadigital andrea
Firmadigital andreaFirmadigital andrea
Firmadigital andrea
 
Como ingresar a aulas virtuales
Como ingresar a aulas virtualesComo ingresar a aulas virtuales
Como ingresar a aulas virtuales
 
Como ingresar a aulas virtuales
Como ingresar a aulas virtualesComo ingresar a aulas virtuales
Como ingresar a aulas virtuales
 
Terminologia
TerminologiaTerminologia
Terminologia
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
 
Firma digital 17 ag
Firma digital 17 agFirma digital 17 ag
Firma digital 17 ag
 
Firma Digital
Firma DigitalFirma Digital
Firma Digital
 
Norah zelaya Luisaga
Norah zelaya LuisagaNorah zelaya Luisaga
Norah zelaya Luisaga
 
Unidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesUnidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones Comerciales
 

Destaque

Modelos de medios y actores de la crisis
Modelos de medios y actores de la crisisModelos de medios y actores de la crisis
Modelos de medios y actores de la crisis
Sebastián Lehuedé
 
Sgbd ud3 boletin_4_sql_ii
Sgbd ud3 boletin_4_sql_iiSgbd ud3 boletin_4_sql_ii
Sgbd ud3 boletin_4_sql_ii
violetaco
 
Filosofia primer semestre
Filosofia primer semestreFilosofia primer semestre
Filosofia primer semestre
Amapola Ibarias
 
Consulta criterio estado civil
Consulta criterio estado civilConsulta criterio estado civil
Consulta criterio estado civil
MarianaGEcopetrol
 
Protocolos y Servicios
Protocolos y ServiciosProtocolos y Servicios
Protocolos y Servicios
Softtek
 
Password recovery
Password recoveryPassword recovery
Password recovery
ingrverg
 
Presentación catalogo en línea ciria
Presentación catalogo en línea ciriaPresentación catalogo en línea ciria
Presentación catalogo en línea ciria
antonioandreu555
 
Unidad tematica
Unidad tematicaUnidad tematica
Unidad tematica
ENSST
 

Destaque (20)

Capitulo1
Capitulo1Capitulo1
Capitulo1
 
Modelos de medios y actores de la crisis
Modelos de medios y actores de la crisisModelos de medios y actores de la crisis
Modelos de medios y actores de la crisis
 
Prensa Pol ka
Prensa Pol kaPrensa Pol ka
Prensa Pol ka
 
Juego de vasos
Juego de vasosJuego de vasos
Juego de vasos
 
Sgbd ud3 boletin_4_sql_ii
Sgbd ud3 boletin_4_sql_iiSgbd ud3 boletin_4_sql_ii
Sgbd ud3 boletin_4_sql_ii
 
Ejercicios
EjerciciosEjercicios
Ejercicios
 
Filosofia primer semestre
Filosofia primer semestreFilosofia primer semestre
Filosofia primer semestre
 
Cristian
CristianCristian
Cristian
 
Cuaderno ingles
Cuaderno inglesCuaderno ingles
Cuaderno ingles
 
Img 0003
Img 0003Img 0003
Img 0003
 
Consulta criterio estado civil
Consulta criterio estado civilConsulta criterio estado civil
Consulta criterio estado civil
 
Capitulo ii
Capitulo iiCapitulo ii
Capitulo ii
 
Protocolos y Servicios
Protocolos y ServiciosProtocolos y Servicios
Protocolos y Servicios
 
Planificacion gabriela meza seccion 15
Planificacion gabriela meza seccion 15Planificacion gabriela meza seccion 15
Planificacion gabriela meza seccion 15
 
Password recovery
Password recoveryPassword recovery
Password recovery
 
La tarjeta nexys 2
La tarjeta nexys 2La tarjeta nexys 2
La tarjeta nexys 2
 
Enfoques de la tecnologia educativa
Enfoques de la tecnologia educativaEnfoques de la tecnologia educativa
Enfoques de la tecnologia educativa
 
Presentación catalogo en línea ciria
Presentación catalogo en línea ciriaPresentación catalogo en línea ciria
Presentación catalogo en línea ciria
 
Mo matem 15
Mo matem 15Mo matem 15
Mo matem 15
 
Unidad tematica
Unidad tematicaUnidad tematica
Unidad tematica
 

Semelhante a Alternativas de Autentificación por dos Factores en Portales Web

Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publica
Abraham Fernández
 
Actividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIActividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKI
davichoman
 
Seguridad de usuario en el acceso a internet 1
Seguridad de usuario en el acceso a internet 1Seguridad de usuario en el acceso a internet 1
Seguridad de usuario en el acceso a internet 1
Cein
 
Retos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronicoRetos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronico
domingosuarez
 

Semelhante a Alternativas de Autentificación por dos Factores en Portales Web (20)

Alternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales WebAlternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales Web
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publica
 
TIC
TICTIC
TIC
 
Act 5 pac ce f garcia
Act 5 pac ce f garciaAct 5 pac ce f garcia
Act 5 pac ce f garcia
 
Act 5 pac ce f garcia
Act 5 pac ce f garciaAct 5 pac ce f garcia
Act 5 pac ce f garcia
 
Victor barrios
Victor barriosVictor barrios
Victor barrios
 
Victor barrios
Victor barriosVictor barrios
Victor barrios
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIx
 
Actividas n5
Actividas n5Actividas n5
Actividas n5
 
Actividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIActividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKI
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.ppt
 
Pac.toscano.guanin.mario.comercio electronicoa5
Pac.toscano.guanin.mario.comercio electronicoa5Pac.toscano.guanin.mario.comercio electronicoa5
Pac.toscano.guanin.mario.comercio electronicoa5
 
Seguridad de usuario en el acceso a internet 1
Seguridad de usuario en el acceso a internet 1Seguridad de usuario en el acceso a internet 1
Seguridad de usuario en el acceso a internet 1
 
cifrado y certificado dijital
cifrado y certificado dijitalcifrado y certificado dijital
cifrado y certificado dijital
 
ESPOSICION PARTE 3.pptx
ESPOSICION PARTE 3.pptxESPOSICION PARTE 3.pptx
ESPOSICION PARTE 3.pptx
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivos
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
 
Retos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronicoRetos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronico
 
La firma digital
La firma digitalLa firma digital
La firma digital
 

Mais de Andres Gallo

Mais de Andres Gallo (6)

Herramientas de Licenciamiento y Protección en la Nube... HARDkeyWEB!
Herramientas de Licenciamiento y Protección en la Nube... HARDkeyWEB! Herramientas de Licenciamiento y Protección en la Nube... HARDkeyWEB!
Herramientas de Licenciamiento y Protección en la Nube... HARDkeyWEB!
 
Herramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkeyHerramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkey
 
Herramientas para mejorar el Licenciamiento de Software - HARDKey Protección ...
Herramientas para mejorar el Licenciamiento de Software - HARDKey Protección ...Herramientas para mejorar el Licenciamiento de Software - HARDKey Protección ...
Herramientas para mejorar el Licenciamiento de Software - HARDKey Protección ...
 
Guia Rapida Del Disco Cifrado
Guia Rapida Del Disco CifradoGuia Rapida Del Disco Cifrado
Guia Rapida Del Disco Cifrado
 
Presentacion HARDkeyMIO Security suite
Presentacion HARDkeyMIO Security suitePresentacion HARDkeyMIO Security suite
Presentacion HARDkeyMIO Security suite
 
HARDkey.NET - Protección de Software
HARDkey.NET - Protección de SoftwareHARDkey.NET - Protección de Software
HARDkey.NET - Protección de Software
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (10)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 

Alternativas de Autentificación por dos Factores en Portales Web

  • 1. .
  • 2.
  • 4. Más de 20 Años de Trayectoria en el Mercado  Diseñamos, Fabricamos y Comercializamos nuestros Productos y Soluciones clasificados en las siguientes líneas principales: Protección de Software y Datos Autenticación Fuerte de Accesos a Aplicaciones y Sitios Web Protección de Certificados Digitales en Esquemas PKI Protección de Datos Personales y Accesos a PCs  Distribuidores Oficiales de SAFENET / RAINBOW
  • 5.
  • 7.
  • 9. Aumentar la • Sitios Web seguridad en • Software o Aplicaciones el acceso • Home Banking • Web Mail • Redes y VPN • PC’s y Notebooks
  • 10. Falta de conciencia en materia de seguridad • La sociedad no toma conciencia respecto a la importancia de proteger la información que maneja diariamente. El presupuesto • Se destinan escasos fondos a herramientas de seguridad. Se considera un gasto y no como lo que es, una inversión.
  • 11. ISO 27001/27002 ex.17799 ● ISO 27001 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información. ● La información es un activo, y la norma define como proteger adecuadamente dicho activo. ● Busca la Confidencialidad, Integridad y Disponibilidad de la información. ● El objetivo de la serie de normas 27000 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones
  • 12. ISO 27001/27002 ex.17799 Entre los diez dominios de control que establece para la Gestión de Seguridad de Información destacaremos:
  • 13. • Controlar los accesos a la información. • Evitar accesos no autorizados a los sistemas de información. • Protección de los servicios en red. • Evitar accesos no autorizados a ordenadores. • Evitar el acceso no autorizado a la información contenida en los sistemas. • Detectar actividades no autorizadas. • Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.
  • 14. • Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. • Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. • Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. • Utilizar elementos físicos de autenticación para acceder a la información.
  • 15. Cifrado Simétrico (1 Clave) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Texto 3%$hd Texto Plano @(987k Plano  Una sola clave para Cifrado y Descifrado Problema: Cómo facilitar una clave de cifrado a los usuarios y cómo asegurarse que no se “filtre” a otros usuarios?
  • 16. Cifrado Asimétrico 2 Claves (Pública y Privada) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Clave Clave Pública Privada Texto 3%$hd Texto Plano @(987k Plano Cifrar con “Clave Pública” Publicar la Clave Pública en directorios/agendas. Descifrar con “Clave Privada” Mantener la Clave Privada bajo control.
  • 17. Cifrado Asimétrico 2 Claves (Pública y Privada) CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS Cifrado con Clave Clave Privada Pública Cálculo 3%$hd Firma HASH de Digital Descifrado @(987k Doc HASH Comparar Documento Original Cálculo de HASH
  • 18. DISPOSITIVOS OTP HARDkey MIO CRIPTOGRÁFICOS (One Time Password)
  • 19. DISPOSITIVOS CRIPTOGRÁFICOS Los Token o llaves Criptográficas como las “iKey” (de SafeNet) o eToken Pro (de Aladdin) son dispositivos USB que además de proteger y trasportar Certificados Digitales, almacenando el par de claves que se utilizan en esquemas de Firmas Digital (PKI – Public Key Infrastructure). Permiten mediante un SDK o Kit de Desarrollo, implementar un esquema de Autentificación fuerte de Usuarios. La tecnología de firmas digitales es una herramienta para certifica quien es la persona que está realizando una operación, y si el documentos firmado no fue vulnerado.
  • 20. DISPOSITIVOS CRIPTOGRÁFICOS Pueden ser utilizados: • Firmar Documentos Digitales • Autenticar el Acceso a Sistemas informáticos o sitios web • Validar el acceso a redes • Cifrar información.
  • 21. FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” básicamente lo que busca es igualar la utilización de los “certificados digitales” para firmar documentos o transacciones electrónicas, con la firma de puño y letra. Además de garantizar la identidad del “firmante” permite garantizar que no se puede alterar el contenido del documento o transacción firmada.
  • 22. FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” y sus normas de reglamentación son el marco general a tener en cuenta en todo proyecto de PKI. Hay que tener presente que el simple hecho de utilizar Certificados Digitales no es una “solución en si misma”, pues hay que contar con tecnologías adecuadas para protegerlos.
  • 23. FIRMA DIGITAL – QUÉ SE NECESITA? Autoridad Certificante Infraestructura Autoridad Registrante  Desarrollos especiales para firmar documentos con el Llaves esquema PKI Criptográficas  Modificación y adaptación de SOFTWARE DE los software actuales. Certificado TERCEROS Digital  Certificación de procesos PKI Validación del  Contrato de entre partes que acepten las políticas Certificado •Comprobar si el certificado es valido SOFTWARE PROPIO •Validar firma (que corresponda a usuario) •Verificar el Vencimiento del Certificado •Verificar el Ente Certificador
  • 24. FIRMA DIGITAL – QUÉ SE NECESITA? Es importante entender que en todo esquema de “Firma Digital” o PKI, para que realmente se esté validando la identidad de un usuario es necesario contar con dispositivos criptográficos ( como las llaves USB iKey ) para proteger y transportar los certificados digitales de los usuarios. Además, si no se compra el certificado, hay que contar con dispositivos tipo HSM (Hardware Security Module) como los LUNA SA de SafeNet. Para:  Protegen “Certificados Servidor” ( Root )  Aceleran operaciones de cifrado Llave Criptográfica iKey
  • 25. FIRMA DIGITAL – QUÉ SE NECESITA? Según la ley 25.506 de Firma Digital en la Argentina, Es necesario contar: • Dispositivos HSM • Servidores dedicado EN EL SERVIDOR: • Sistema de Backup. • UPS •… • Dispositivos Criptográficos • Certificado digital (arancel anual) EN EL USUARIO: • Software especial para firmar (recomendación) documentos. •…
  • 26. FIRMA DIGITAL – CONCLUSIONES: • Certificación de normas internacionales de seguridad. BENEFICIOS • Firma Digital o Firma Electrónica. • Autenticación de Usuario • Cifrado de Datos • Altos costos START UP • Altos costos de Capacitación. CONTRAS • Requiere personal altamente especializado. • Tiempo de implementación más de 6 meses. • Gastos de Licencias Anuales.
  • 27. DISPOSITIVOS OTP HARDkey MIO CRIPTOGRÁFICOS (One Time Password)
  • 28. OTP – One Time Password - Dispositivos de Hardware que proporcionan una autenticación fuerte por un factor físico. - Agregan al usuario y password convencional una clave más que varía a cada minuto.
  • 29. OTP – One Time Password La clave se genera aleatoriamente en función del instante de tiempo en el que se presiona el botón (cuenta con Clock Interno) y en función de la última clave generada.
  • 30. OTP – One Time Password Además de los token para cada usuario, hay que comprar una licencia de software del lado servidor que es necesario para validar dicha clave.
  • 31. OTP – One Time Password • Certificación de normas internacionales de seguridad. BENEFICIOS • Autenticación Fuerte de Usuario. • Fácil de utilizar para el usuario final. • Altos costos START UP. (Hardware y Software) • Altos costos de Capacitación. CONTRAS • Altos costos de Mantenimiento. • Requiere personal altamente especializado. • Tiempo de implementación 3 a 4 meses.
  • 32. HARDKEY MIO - AUTENTICACIÓN • Es un Dispositivo Electrónico USB diseñado, para hacer una Validación Fuerte de Usuarios. • Con sólo incorporar unas pocas líneas de código fuente del Logon de una aplicación o Sitio Web, es suficiente para implementarlo la solución de una manera rápida y sencilla • Es fácilmente incorporable en la mayoría de los lenguajes como ASP, PHP, Java, Visual, C++, C#, .NET, etc. • Para el usuario es totalmente trasparente, cuando tiene que acceder sólo debe conectar la llave USB e ingresar su PIN.
  • 33. HARDKEY MIO – CÓMO FUNCIONA? -En el caso de Sitio Web: • El servidor web manda una página de consulta al cliente donde está conectado la llave HARDkey MIO. • El OCX o componente JAVA instalado en el cliente se encarga de verificar la presencia de la llave, leer o grabar información, leer la clave privada, importar o exportar un certificado. El dato, se lo pasa al servidor en forma encriptado y segura para que lo procese. • El servidor lo toma, lo analiza y actúa según se lo programe.
  • 34. HARDKEY MIO – SOLUCIÓN ESCALABLE Se puede dejar para una segunda etapa un esquema con Certificados Digitales, almacenando en la llave la “Clave Privada”. De esta forma se divide en etapas el proyecto, distribuyendo el tiempo de la carga de trabajo que implica la implementación. + Con HARDkey en una primera Firma instancia se puede implementar HARDkey simplemente el chequeo de la + “OTP” llave y su PIN. Validando, por ejemplo, el número de serie. Validación Fuerte
  • 35. HARDKEY MIO – SOLUCIÓN ESCALABLE Validación Fuerte Automotora Gildemeister (Chile) Revista OnLine
  • 36. HARDKEY MIO – SOLUCIÓN ESCALABLE • Reemplazar el login estándar de Usuario y Password (muy débil) por una Autentificación Fuerte de dos Factores. • Donde el usuario sólo Ingresa una llave y el PIN de acceso. • Se lee de la llave el ID o el Usuario y Contraseña grabada dentro de la misma y continuamos con el proceso de login normal.
  • 37. HARDKEY MIO – SOLUCIÓN ESCALABLE HARDkey “OTP” Validación Fuerte
  • 38. HARDKEY MIO – SOLUCIÓN ESCALABLE • Telefónica de Argentina utilizo nuestras llaves para autenticar el acceso a la Intranet de 200 puestos y Certificó la Norma ISO 17799. • Además de la presencia de la llave agregaron un 3º factor de autenticación, una clave Aleatoria de 64 bytes que la guardan en la memoria de la llave, cambiándola cada vez que hace el login.
  • 39. HARDKEY MIO – SOLUCIÓN ESCALABLE Cambia en cada Sesión _:;ñ´P?=#”$ 8SoClqÑ01+ +=?)!#”#$5
  • 40. HARDKEY MIO – SOLUCIÓN ESCALABLE + Firma Electrónica HARDkey +“OTP” Validación Fuerte
  • 41. HARDKEY MIO – SOLUCIÓN ESCALABLE • La gente de MATba (Mercado a Termino de Buenos Aires) comercializan cereales mediante un sistema web llamado NeSS. • Utilizan las llaves HARDkey para autenticar el acceso y a su vez guardan una clave privada en la memoria de la llave.
  • 42. HARDKEY MIO – SOLUCIÓN ESCALABLE Validan el Acceso Autentifican que el que hace la transacción es el autorizado. (Identidad) Evitan que el documento firmado haya sido modificado. (Vulnerabilidad) Contrato de Entre partes entre socios y la firma. (Legales)
  • 43. HARDKEY MIO – SOLUCIÓN ESCALABLE Firma Electrónica HARDkey “OTP” Validación Fuerte Automotora Gildemeister (Chile)
  • 44. HARDKEY MIO - AUTENTICACIÓN • Autenticación Fuerte de Usuarios. • Costo de Unica Vez (compra de llave). • Implementación rápida y sencilla. BENEFICIOS • PLUG & PLAY (no requiere Driver) • Sin caras capacitaciones. • Sin costosas licencias de software • Excelente relación COSTO-BENEFICIO. • No es ampliamente conocido. CONTRAS • No posee certificaciones internacionales. (Sólo implica firmar un contrato entre partes).
  • 45. En la gran mayoría de las instalaciones donde se necesita una “Validación Fuerte de Accesos de Usuarios”, se soluciona con un “Contrato entre Partes”. Por ello se puede optar por opciones más simples de implementar y de menor costo.
  • 46. Si bien existe siempre el deseo de implementar tecnologías ampliamente difundidas, normalmente no se destinan recursos económicos para lograrlo. Y se termina dejando siempre “para el año que viene” la implementación de soluciones de seguridad por no optar por opciones al alcance de las economías Latinoamericanas. Es preferible implementar soluciones “provisorias para siempre” antes que seguir utilizando esquemas endebles como el de Usuario y Password.
  • 48. MUCHAS GRACIAS !!! Andrés Gallo Ejecutivo de Cuentas SITEPRO S.A. Bartolomé Mitre 777 Piso 2 OF “A” Buenos Aires - ARGENTINA TEL: (54-11) 4328-9177 / 4504 / 4979 agallo@sitepro.com.ar