SISTEMAS Y METODOS DE AUTENTICACIÓN.

...

gran amenaza ya que una tercera persona puede descubrir el identificador y suplante a un determinado usuario.

Existen métodos o recomendaciones que permiten disminuir en parte el riesgo en su implementación, las cuales van desde la utilización de un número considerable de caracteres, aunque puede ser difícil de recordar, generando combinaciones alfa-numéricas o controlando su tiempo de vida útil.

Ahora bien, la principal forma de evitar este tipo de ataques puede ser:

• La utilización de contraseñas aceptables, en donde la construcción de los passwords no utilicen palabras conocidas inmersas en un diccionario clásico, nombres propios o combinaciones débiles y de ser así la recomendación radica en su combinación con letras minúsculas y mayúsculas, números y/o símbolos. Aunque también podríamos utilizar herramientas gratuitas de internet diseñadas para generar contraseñas, y así obligar a los usuarios a utilizar este tipo de contraseñas.

• La protección de las contraseñas de usuario mediante el método llamado Shadow Password, el cual pretende ocultar o impedir el acceso de los usuarios al sitio o archivo que almacena los datos correspondientes a la claves.

• La implementación de un sistema de envejecimiento de contraseñas, que pretende darles a los password o claves de los usuarios en determinado periodo o tiempo de vida, obligando al usuario a su actualización o cambio.

Sin embargo sin importar el método que utilicemos, las contraseñas son vulnerables a adivinanzas. Actualmente la utilización de códigos maliciosos, los que casi en su totalidad están diseñados para extraer de manera fraudulentamente algún tipo de información, son los más utilizados para descubrir las contraseñas.

Un factor o aspecto importante de valorar frente al ataque de contraseñas, más allá de una amenaza informática, son las conductas inseguras de un usuario. Una contraseña que utilice un número significativo de caracteres puede provocar un comportamiento inadecuado, obligando a muchas personas a utilizar la misma clave en varios servicios, facilitando a un atacante el acceso a muchos recursos en el caso de descubrir dicha contraseña, el uso de contraseñas cortas vulnerables a ataques de fuerza bruta, palabras clásicas o secuencias de caracteres, contraseñas anotadas en papeles o documentos.

Entre los métodos alternativos que podrían ser utilizados con el fin de garantizar un nivel de seguridad más asertivo, podríamos encontrar los sistemas de doble autenticación y la utilización de llaves públicas.

IV. AUTENTICACIÓN MEDIANTE CLAVES PÚBLICAS

Una clave pública o la implementación de una infraestructura de clave pública PKI, es una solución que garantizan las operaciones de cifrado, firma digital y el NO repudio frente a transacciones electrónicas.

Este Procedimiento combina la utilización de hardware y software con políticas y procedimientos de seguridad, creando certificados de identidad para cifrar y descifrar mensajes, firmar digitalmente la información las cuales finalmente permiten la comunicación. Durante este proceso intervienen las siguientes partes:

• Un usuario, encargado de iniciar la operación.

• Un sistema servidor que permiten el inicio de la operación y garantiza la validez de los certificados.

• Un destinatario de los datos cifrados, firmados y garantizados por el usuario iniciador.

Es importante señalar o resaltar que la implementación de un sistema PKI para una entidad u organización trae consigo muchas ventajas frente al tema de seguridad, creando un alto nivel de confianza. Aunque su costo puede ser elevado, puede verse reflejado en los altos niveles de seguridad para una empresa.

La estructura de una PKI se compone básicamente de:

• Autoridad certificadora: Quien es la encargada de verificar la identidad del usuario que solicita el servicio, y así otorgar el certificado solicitado.

• Certificado Digital: como prueba de correspondencia entre el solicitante y la calve pública.

• Punto de Publicación de certificados: como una tabla o directorio en el cual se encuentran referidos o depositados los certificados requeridos y otorgados.

• Lista de certificados revocados: los que por políticas de la entidad se encuentran fuera del periodo de validez, no confiables o cambio de condiciones.

• Aplicaciones para el manejo de certificados y aplicaciones para usar los certificados.

De los elementos antes presentados, uno de los componentes fundaméntales recae sobre el certificado, el cual verifica la correspondencia entre un usuario y su clave pública, se encuentra firmado digitalmente por la autoridad certificadora emisora, se puede comparar con la clave pública de la autoridad certificadora, entre otros.

Los certificados pueden obtenerse a través de HTTP o con la utilización de Active Directory. El solicitante es quien genera su propio par de claves utilizando algoritmos asimétricos, una privada que se guarda localmente y la pública que es enviada a la autoridad certificadora, quien otorga el certificado. Este certificado se compone de un Subject, una clave pública, entidad certificadora, serial, fecha de validez, firma digital de la autoridad certificadora.

Modelos de PKI:

• EuPKI – PKI de la comunidad Europea.

Su objetivo inicial era poveer acceso libre y un software totalmente abierto para asegurar el intercambio de la información, y ofrece las siguientes como características fundamentales: un diseño modular y completo, facilidad en su mantenimiento, fácil adaptación en cualquier entorno, se basa en estándares actuales de interoperabilidad y puede ser aplicado en cualquier tipo de dominio (Financiero, comercio, gobierno, académico...)

• Pretty Good Privacy – PGP.

Es una aplicación informática de libre distribución la cual fue desarrollada por Phil Zimmerman a inicios de 1990. Su característica es que permite el intercambio de ficheros y mensajes con confidencialidad, autenticación, integridad y comodidad. Utiliza criptografía de clave pública RSA, Diffie-hellman o DSS en la firma y cifrado de claves, IDEA,CAST, TRIPLEDES y AES