• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Alternativas de Autentificación por dos Factores en Portales Web
 

Alternativas de Autentificación por dos Factores en Portales Web

on

  • 1,298 views

Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc. ...

Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc.
Las productos más usados del mercado y una alternativa interesante. HARDkey MIO, solución escalable para remplazar el Usuario y Password en pocas horas hasta incorporar un esquema PKI para Firmar documentos.

Statistics

Views

Total Views
1,298
Views on SlideShare
1,292
Embed Views
6

Actions

Likes
0
Downloads
16
Comments
0

2 Embeds 6

http://www.proteccionsoftware.es 4
http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Alternativas de Autentificación por dos Factores en Portales Web Alternativas de Autentificación por dos Factores en Portales Web Presentation Transcript

    • .
    • ¿QUÉ BUSCAMOS?
    • Aumentar la • Sitios Webseguridad en • Software o Aplicaciones el acceso • Home Banking • Web Mail • Redes y VPN • PC’s y Notebooks • Esquemas SaaS • Cloud Computing.
    • ISO 27001/27002 ex.17799● ISO 27001 es una norma internacional que ofrece recomendacionespara realizar la gestión de la seguridad de la información.● La información es un activo, y la norma define como protegeradecuadamente dicho activo.● Busca la Confidencialidad, Integridad y Disponibilidad de lainformación.● El objetivo de la serie de las normas es proporcionar una base comúnpara desarrollar normas de seguridad dentro de las organizaciones
    • DISPOSITIVOS OTP HARDkey MIOCRIPTOGRÁFICOS (One Time Password)
    • DISPOSITIVOS CRIPTOGRÁFICOSLos Token o llaves Criptográficas como las “iKey” (de SafeNet) oeToken Pro (de Aladdin) son dispositivos USB que además deproteger y trasportar Certificados Digitales, almacenando el par declaves que se utilizan en esquemas de Firmas Digital (PKI – PublicKey Infrastructure).Permiten mediante un SDK o Kit de Desarrollo, implementar unesquema de Autentificación fuerte de Usuarios.La tecnología de firmas digitales es una herramienta para certificaquien es la persona que está realizando una operación, y si eldocumentos firmado no fue vulnerado.
    • DISPOSITIVOS CRIPTOGRÁFICOSPueden ser utilizados: • Firmar Documentos Digitales • Autenticar el Acceso a Sistemas informáticos o sitios web • Validar el acceso a redes • Cifrar información.
    • FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” básicamente lo que busca es igualar lautilización de los “certificados digitales” para firmar documentos o transacciones electrónicas, con la firma de puño y letra. Además de garantizar la identidad del “firmante” permite garantizar que no se puede alterar el contenido del documento o transacción firmada.
    • FIRMA DIGITAL – DESCRIPCIÓN Una “Ley de Firma Digital” y sus normas de reglamentación son el marco general a tener en cuenta en todo proyecto de PKI.Hay que tener presente que el simple hecho de utilizar Certificados Digitales no es una “solución en si misma”, pues hay que contar con tecnologías adecuadas para protegerlos.
    • FIRMA DIGITAL – QUÉ SE NECESITA?Autoridad Certificante InfraestructuraAutoridad Registrante  Desarrollos especiales para firmar documentos con el Llaves esquema PKI Criptográficas  Modificación y adaptación de SOFTWARE DE los software actuales. Certificado TERCEROS Digital  Certificación de procesos PKI Validación del  Contrato de entre partes que acepten las políticas Certificado •Comprobar si el certificado es valido SOFTWARE PROPIO •Validar firma (que corresponda a usuario) •Verificar el Vencimiento del Certificado •Verificar el Ente Certificador
    • FIRMA DIGITAL – QUÉ SE NECESITA?Es importante entender que en todo esquema de “Firma Digital” oPKI, para que realmente se esté validando la identidad de unusuario es necesario contar con dispositivos criptográficos ( comolas llaves USB iKey ) para proteger y transportar los certificadosdigitales de los usuarios.Además, si no se compra el certificado, hay que contar con dispositivos tipoHSM (Hardware Security Module) como los LUNA SA de SafeNet.Para:  Protegen “Certificados Servidor” ( Root )  Aceleran operaciones de cifrado Llave Criptográfica iKey
    • FIRMA DIGITAL – QUÉ SE NECESITA?Según la ley 25.506 de Firma Digital en la Argentina,Es necesario contar: • Dispositivos HSM • Servidores dedicado EN EL SERVIDOR: • Sistema de Backup. • UPS •… • Dispositivos Criptográficos • Certificado digital (arancel anual) EN EL USUARIO: • Software especial para firmar (recomendación) documentos. •…
    • FIRMA DIGITAL – CONCLUSIONES: • Certificación de normas internacionales de seguridad.BENEFICIOS • Firma Digital o Firma Electrónica. • Autenticación de Usuario • Cifrado de Datos • Altos costos START UP • Altos costos de Capacitación.CONTRAS • Requiere personal altamente especializado. • Tiempo de implementación más de 6 meses. • Gastos de Licencias Anuales.
    • DISPOSITIVOS OTP HARDkey MIOCRIPTOGRÁFICOS (One Time Password)
    • OTP – One Time Password- Dispositivos de Hardware queproporcionan una autenticaciónfuerte por un factor físico.- Agregan al usuario y passwordconvencional una clave más quevaría a cada minuto.
    • OTP – One Time PasswordLa clave se genera aleatoriamente en función del instantede tiempo en el que se presiona el botón (cuenta con ClockInterno) y en función de la última clave generada.
    • OTP – One Time Password Además de los token para cada usuario, hay que comprar una licencia de software del lado servidor que es necesario para validar dicha clave.
    • OTP – One Time Password • Certificación de normas internacionales de seguridad.BENEFICIOS • Autenticación Fuerte de Usuario. • Fácil de utilizar para el usuario final. • Altos costos START UP. (Hardware y Software) • Altos costos de Capacitación.CONTRAS • Altos costos de Mantenimiento. • Requiere personal altamente especializado. • Tiempo de implementación 3 a 4 meses.
    • HARDKEY MIO - AUTENTICACIÓN• Es un Dispositivo Electrónico USB diseñado, para hacer unaValidación Fuerte de Usuarios.• Con sólo incorporar unas pocas líneas de código fuente del Logonde una aplicación o Sitio Web, es suficiente para implementarlo lasolución de una manera rápida y sencilla• Es fácilmente incorporable en la mayoría de los lenguajes como ASP,PHP, Java, Visual, C++, C#, .NET, etc.• Para el usuario es totalmente trasparente, cuando tiene que accedersólo debe conectar la llave USB e ingresar su PIN.
    • HARDKEY MIO – CÓMO FUNCIONA?-En el caso de Sitio Web: • El servidor web manda una página de consulta al cliente donde está conectado la llave HARDkey MIO. • El Componente JAVA instalado en el cliente se encarga de verificar la presencia de la llave, leer o grabar información, leer el par de claves, importar o exportar un certificado. El dato, se lo pasa al servidor en forma encriptado y segura para que lo procese. • El servidor lo toma, lo analiza y actúa según se lo programe.
    • HARDKEY MIO – SOLUCIÓN ESCALABLE Se puede dejar para una segunda etapa un esquema con Certificados Digitales, almacenando en la llave la “Clave Privada”. DIVIDIENDO EN ETAPAS EL PROYECTO, distribuyendo la carga de trabajo que implica la implementación. + En una primera instancia se Firma puede implementar simplemente HARDkey el CHEQUEO DEL DISPOSITIVO. + “OTP” Validando, por ejemplo, el número de serie. Validación Fuerte
    • HARDKEY MIO – SOLUCIÓN ESCALABLE Validación Fuerte Automotora Gildemeister (Chile) Subscripciones Digitales
    • HARDKEY MIO – SOLUCIÓN ESCALABLE • Reemplazar el login estándar de Usuario y Password (muy débil) por una Autentificación Fuerte de dos Factores. • Donde el usuario sólo Ingresa una llave y el PIN de acceso. • Se lee de la llave el ID o el Usuario y Contraseña grabada dentro de la misma y continuamos con el proceso de login normal.
    • HARDKEY MIO – SOLUCIÓN ESCALABLE HARDkey “OTP” Validación Fuerte
    • HARDKEY MIO – SOLUCIÓN ESCALABLE • Telefónica de Argentina utilizo nuestras llaves para autenticar el acceso a la Intranet de 200 puestos y Certificó la Norma ISO 17799. • Además de la presencia de la llave agregaron un 3º factor de autenticación, una clave Aleatoria de 64 bytes que la guardan en la memoria de la llave, cambiándola cada vez que hace el login.
    • HARDKEY MIO – SOLUCIÓN ESCALABLE Cambia en cada Sesión _:;ñ´P?=#”$ 8SoClqÑ01+ +=?)!#”#$5
    • HARDKEY MIO – SOLUCIÓN ESCALABLE + Firma Electrónica HARDkey +“OTP” Validación Fuerte
    • HARDKEY MIO – SOLUCIÓN ESCALABLE • La gente de MATba (Mercado a Termino de Buenos Aires) comercializan cereales mediante un sistema web llamado NeSS. • Utilizan las llaves HARDkey para autenticar el acceso y a su vez guardan una clave privada en la memoria de la llave.
    • HARDKEY MIO – SOLUCIÓN ESCALABLE Validan el Acceso Autentifican que el que hace la transacción es el autorizado. (Identidad) Evitan que el documento firmado haya sido modificado. (Vulnerabilidad) Contrato de Entre partes entre socios y la firma. (Legales)
    • HARDKEY MIO – SOLUCIÓN ESCALABLE Firma Electrónica HARDkey “OTP” Validación Fuerte Automotora Gildemeister (Chile)
    • HARDKEY MIO - AUTENTICACIÓN • Autenticación Fuerte de Usuarios. • Costo de Única Vez (compra de llave). • Implementación rápida y sencilla.BENEFICIOS • PLUG & PLAY (no requiere Driver) • Sin caras capacitaciones. • Sin costosas licencias de software • Excelente relación COSTO-BENEFICIO. • No es ampliamente conocido.CONTRAS • No posee certificaciones internacionales. (Sólo implica firmar un contrato entre partes).
    • En la gran mayoría de las instalaciones donde se necesita una“Validación Fuerte de Accesos de Usuarios”, se soluciona con un “Contrato entre Partes”. Por ello se puede optar por opciones más simples de implementar y de menor costo.
    • En el KIT DE DESARROLLO HARDkey NET se incluyenlas librerías y demos (con componentes Java que funcionan encualquier navegador) que permiten utilizar nuestras HARDkeycon una fácil implementación, bajo costo y alta seguridad paraautenticación de usuarios en sistemas basados en EsquemasSaaS y Cloud Computing.Generando “confianza” ya que sólo los usuarios autorizadosque posean la llave HARDkey podrán ingresar a los servicios, ylograr superar la barrera de “temor” que generan las soluciones“web” con accesos con un “Simple Usuario y Password”.
    • PREGUNTAS???
    • MUCHAS GRACIAS !!!SITEPRO S.A. Bartolomé Mitre 777 Piso 2 OF “A” Buenos Aires - ARGENTINATEL: (54-11) 4328-9177 / 4504 / 4979info@sitepro.com.ar