Alternativas y problemas en medios electrónicos

Identificar a nuestro cliente unívocamente Comprobar que es quien dice ser Brindar flexibilidad en la operatoria

Identificar a nuestro cliente unívocamente

Comprobar que es quien dice ser

Brindar flexibilidad en la operatoria

Tipo 1: Algo que sé Tipo 2: Algo que tengo Tipo 3: Algo que soy

Tipo 1: Algo que sé

Tipo 2: Algo que tengo

Tipo 3: Algo que soy

El concepto: Autenticación fuerte monofactor Passphrases Preguntas secretas Doble clave Imágenes

El concepto: Autenticación fuerte monofactor

Passphrases

Preguntas secretas

Doble clave

Imágenes

Lo Bueno Fácil de implementar Sin mantenimiento Muy bajo costo Lo Malo Recordar múltiples claves Reutiliza el mismo factor Muy susceptible a: Ingeniería social Phishing Segmentado Por Spam Troyanos Usen la imaginación…

Lo Bueno

Fácil de implementar

Sin mantenimiento

Muy bajo costo

Lo Malo

Recordar múltiples claves

Reutiliza el mismo factor

Muy susceptible a:

Ingeniería social

Phishing

Segmentado

Por Spam

Troyanos

Usen la imaginación…

APWG Report© – Marzo 2005 APWG Report© – Diciembre 2005

http://71.99.166.51/cgibin/webscr/

http://www.hispasec.com/laboratorio/troyano_video_en.htm http://descargas.hispasec.com/xss-phishing/phishing_01.swf Banbra.DCY

http://www.hispasec.com/laboratorio/troyano_video_en.htm

http://descargas.hispasec.com/xss-phishing/phishing_01.swf

Banbra.DCY

http://www.hack247.co.uk/2006/10/23/social-engineering-at-mcdonalds/

http://www.hack247.co.uk/2006/10/23/social-engineering-at-mcdonalds/

Tarjeta de claves Tarjeta de coordenadas MachineID fingerprinting Tokens Virtuales Tokens por evento Tokens por tiempo

Tarjeta de claves

Tarjeta de coordenadas

MachineID fingerprinting

Tokens Virtuales

Tokens por evento

Tokens por tiempo

Lo Bueno Buen nivel de protección Mezcla factores Difícil de atacar Ventana de oportunidad reducida Relativa resistencia a ingeniería social y phishing Lo Malo Alto costo Difícil de implementar Problema en caso de pérdida o robo Puede ser visto como una incomodidad por el usuario

Lo Bueno

Buen nivel de protección

Mezcla factores

Difícil de atacar

Ventana de oportunidad reducida

Relativa resistencia a ingeniería social y phishing

Lo Malo

Alto costo

Difícil de implementar

Problema en caso de pérdida o robo

Puede ser visto como una incomodidad por el usuario

Biometría Física Geometría de la mano Huella dactilar Iris/Retina Biometría Dinámica De escritura De voz De tipeo Ojo (Iris) Ojo (Retina) Huellas dactilares Geometría de la mano Escritura y firma Voz Cara Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta Facilidad de uso Media Baja Alta Alta Alta Alta Alta Prevención de ataques Muy alta Muy alta Alta Alta Media Media Media Aceptación Media Media Media Alta Muy alta Alta Muy alta Estabilidad Alta Alta Alta Media Baja Media Media

Biometría Física

Geometría de la mano

Huella dactilar

Iris/Retina

Biometría Dinámica

De escritura

De voz

De tipeo

Demasiado Intrusivo Desconfianza en la tecnología Desconfianza en la empresa Privacidad Mitos y leyendas

Demasiado Intrusivo

Desconfianza en la tecnología

Desconfianza en la empresa

Privacidad

Mitos y leyendas

Ventanas de tiempo en OTPs Re sincronización de tokens Transmisión no segura Errores de programación Parches no aplicados … y mil opciones más!

Ventanas de tiempo en OTPs

Re sincronización de tokens

Transmisión no segura

Errores de programación

Parches no aplicados

… y mil opciones más!

Monitoreo de actividades inusuales (profiling) Limitar las actividades posibles Revisar la implementación del circuito Complementar factores de acuerdo al nivel de riesgo Ayudar al cliente con su seguridad El problema de la parabólica humana: cuanta seguridad puedo resistir?

Monitoreo de actividades inusuales (profiling)

Limitar las actividades posibles

Revisar la implementación del circuito

Complementar factores de acuerdo al nivel de riesgo

Ayudar al cliente con su seguridad

El problema de la parabólica humana: cuanta seguridad puedo resistir?

Multibanda Multifactor Multicanal

Multibanda

Multifactor

Multicanal

Concientizar, Concientizar, Concientizar Autenticar de acuerdo al nivel de riesgo Demasiado puede ser contraproducente Si no lo sabe hacer… no lo haga Cuidado con los costos operativos Gastar en el cliente puede ser la mejor inversión

Concientizar, Concientizar, Concientizar

Autenticar de acuerdo al nivel de riesgo

Demasiado puede ser contraproducente

Si no lo sabe hacer… no lo haga

Cuidado con los costos operativos

Gastar en el cliente puede ser la mejor inversión