SlideShare a Scribd company logo
1 of 25
Download to read offline
Chema Alonso
@chemaalonso
chema@11paths.com
http://www.elladodelmal.com
Incidentes de Seguridad
Dumps de identidades
BYOM (Bring Your Own Malware)
El enemigo a las puertas
Superficie de exposición
• Los servicios están activos
24 x 7 x 365
• Solo usamos nuestras
identidades un breve
espacio de tiempo
• Las cuentas deberían
poder apagarse
Passwords+OTP
SMS TOKEN
8762134
2FA “classics”
• Usuario necesita introducir un código
• Despliege de SMS
• Matriz de coordenadas es estática
• Hardware tokens son caros
• Usuario necesita introducir un código
• Usuario no le gusta introducir un código
A la gente le gusta dormir la
siesta (con el mando de la tele)
KISS (Keep It Spanish, Stupid)
Taking a cab
To make her trip easier she decides to pay everything using a service, on her way to the
office at the destination point she switches service on, so she can pay the taxi fare.
Once done she switches her account off, minimizing the exposure to improper usage.
An alert of the service used!
Fortunately her account was blocked by Latch, as Anna easily requested
using the app. Alas, in the stopover someone tried to hack her service
account. The attack was under control and no misuse was ever fulfilled.
¿Cómo proteger una identidad?
“Latch” de una cuenta
Latch
Server
1.- Generate
pairing code
2.- Temporary
Pariring token
My Site
User Settings:
Login: XXXX
Pass: YYYY
Latch:
4.-AppID+Temp pairing Token
5.- OK+Unique Latch
6.-ID Latch
appears in app
U
L
a
t
c
h
Login en una Web
Latch
Server
Latch app
Latch1: OFF
Latch2:ON
Latch3:OTP
Latch4:OFF
….
My Bank
Users DB:
Login: XXXX
Pass: YYYY
Latch: Latch1
Login Page:
Login:AAAA
Pass:BBBB
1.- Client sends
Login/password
2.- Web checks
Credentials with
Its users DB
3.- asks about Latch1 status
4.- Latch 1 is OFF
5.- Login Error
6.- Someone try to get
Access to Latch 1 id.
2.- Check user/pass
Vamos a “Latchear”…
Hacer login con OTP
Latch
Server
Latch app
Latch1: OFF
Latch2:ON
Latch3:OTP
Latch4:OFF
….
My Bank
Users DB:
Login: XXXX
Pass: YYYY
Latch: Latch1
Login Page:
Login:AAAA
Pass:BBBB
1.- Client sends
Login/password
2.- Web checks
Credentials with
Its users DB
3.- asks about Latch1 status
5.- Latch 1 is ON(OTP)
6.- OTP?
7.- Use this (OTP).
4.- Latch
Server
Generates
OTP
2.- Check user/pass
Control Parental
User
Pass
Login: User
Pass: Pass
Latch: Latch
User1
Pass1
User2
Pass2
Login: User2
Pass: Pass2
Latch: Latch2
Login: User1
Pass: Pass1
Latch: Latch1
Verificación de 4 ojos
2 keys activation
User1
Pass1
User2
Pass2
Asset
Latch:
Latch1
Latch: Latch
2
Operaciones latcheadas
Latch
Server
Latch app
Latch1: ON
Op1:OFF
Op2:ON
OP3:OTP
Latch 2:
OFF
….
My Bank
Login: XXXX
Pass: YYYY
Latch: Latch1
Int_Trnas: Op1
Online
Banking
Send Money:
1231124343
1.- Client orders
International
Transactions
3.- asks Latch1:Op1 status
4.- Latch 1:Op1 is OFF
5.- Denied
6.- Someone try to
do a Latch 1:Op1
Operation
User
Pass
Login: User
Pass: Pass
Latch: Latch
Op1:Unlock
Op2: OTP
Supervision
Why?
Answer
OTP
Monitoring Switch
• With one latch
– As many granularity as needed
– Two status
– OTP
– User confs
• Schedulle
• AutoLock
• Possible to re-act at status
If Lock then {}
Else {}
Goto fail;
Goto fail:
Sobre Latch
• Privacidad:
– AppIDs conoce los UniqueLatches pero no los
UserLatches.
– Latch Server conoce Latchets y AppID, pero no
los usuarios/passwords
• Robustez:
– Si el servidor de Latch es comprometido la
seguridad del sitio protegido sigue intacta.
– No se guarda ningún dato sensible en Latch
Server.
¿Preguntas?
• Chema Alonso
• @chemaalonso
• chema@11paths.com
• http://www.elladodelmal.com
• http://www.elevenpaths.com
• https://latch.elevenpahts.com

More Related Content

Viewers also liked

XSS Google Persistentes
XSS Google PersistentesXSS Google Persistentes
XSS Google PersistentesChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
No me indexes que me cacheo
No me indexes que me cacheoNo me indexes que me cacheo
No me indexes que me cacheoChema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
Hachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACHachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACChema Alonso
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always winChema Alonso
 
De paseo por la Deep Web
De paseo por la Deep WebDe paseo por la Deep Web
De paseo por la Deep WebChema Alonso
 
Guía de uso de Latch en la UNIR
Guía de uso de Latch en la UNIRGuía de uso de Latch en la UNIR
Guía de uso de Latch en la UNIRChema Alonso
 
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...Chema Alonso
 
LDAP Injection Techniques
LDAP Injection TechniquesLDAP Injection Techniques
LDAP Injection TechniquesChema Alonso
 

Viewers also liked (20)

XSS Google Persistentes
XSS Google PersistentesXSS Google Persistentes
XSS Google Persistentes
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
No me indexes que me cacheo
No me indexes que me cacheoNo me indexes que me cacheo
No me indexes que me cacheo
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
Hachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACHachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAAC
 
Why Cyberspies always win
Why Cyberspies always winWhy Cyberspies always win
Why Cyberspies always win
 
De paseo por la Deep Web
De paseo por la Deep WebDe paseo por la Deep Web
De paseo por la Deep Web
 
Transformadores en aceite
Transformadores en aceiteTransformadores en aceite
Transformadores en aceite
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Guía de uso de Latch en la UNIR
Guía de uso de Latch en la UNIRGuía de uso de Latch en la UNIR
Guía de uso de Latch en la UNIR
 
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...
Modelado de amenazas en el contexto de la indexación de páginas y propuesta d...
 
LDAP Injection Techniques
LDAP Injection TechniquesLDAP Injection Techniques
LDAP Injection Techniques
 

Similar to Digital latches for your digital Life

Delitos a Cajeros Homebanking
Delitos a Cajeros HomebankingDelitos a Cajeros Homebanking
Delitos a Cajeros HomebankingCristian Basualdo
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Eventos Creativos
 
Gremlin Botnets: El club de los poetas muertos
Gremlin Botnets: El club de los poetas muertosGremlin Botnets: El club de los poetas muertos
Gremlin Botnets: El club de los poetas muertosTelefónica
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
8 seguridad transaccional y medios de pago
8 seguridad transaccional y medios de pago8 seguridad transaccional y medios de pago
8 seguridad transaccional y medios de pagoYulianFlorez
 
Cambio de clave en BAPRO
Cambio de clave en BAPROCambio de clave en BAPRO
Cambio de clave en BAPROkontenidos
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]Enrique Gustavo Dutra
 
Investigación 3 ce 07170164
Investigación 3 ce 07170164Investigación 3 ce 07170164
Investigación 3 ce 07170164lgpaz12
 
La importancia de la seguridad en los json payloads
La importancia de la seguridad en los json payloadsLa importancia de la seguridad en los json payloads
La importancia de la seguridad en los json payloadsVictor Pacajoj
 
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...RootedCON
 

Similar to Digital latches for your digital Life (20)

Delitos a Cajeros Homebanking
Delitos a Cajeros HomebankingDelitos a Cajeros Homebanking
Delitos a Cajeros Homebanking
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.
 
OTAS - Online Travel Agencies
OTAS - Online Travel Agencies OTAS - Online Travel Agencies
OTAS - Online Travel Agencies
 
Gremlin Botnets: El club de los poetas muertos
Gremlin Botnets: El club de los poetas muertosGremlin Botnets: El club de los poetas muertos
Gremlin Botnets: El club de los poetas muertos
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una Intrusion
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 
Fraudes informaticos
Fraudes informaticosFraudes informaticos
Fraudes informaticos
 
Ataquesyvulnerabilidad
AtaquesyvulnerabilidadAtaquesyvulnerabilidad
Ataquesyvulnerabilidad
 
8 seguridad transaccional y medios de pago
8 seguridad transaccional y medios de pago8 seguridad transaccional y medios de pago
8 seguridad transaccional y medios de pago
 
iOS Notifications
iOS NotificationsiOS Notifications
iOS Notifications
 
Virus
VirusVirus
Virus
 
Cambio de clave en BAPRO
Cambio de clave en BAPROCambio de clave en BAPRO
Cambio de clave en BAPRO
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
TICs Y Banca
TICs Y BancaTICs Y Banca
TICs Y Banca
 
Investigación 3 ce 07170164
Investigación 3 ce 07170164Investigación 3 ce 07170164
Investigación 3 ce 07170164
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
La importancia de la seguridad en los json payloads
La importancia de la seguridad en los json payloadsLa importancia de la seguridad en los json payloads
La importancia de la seguridad en los json payloads
 
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million E...
 

More from Chema Alonso

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Chema Alonso
 
Curso Online de Especialización en Seguridad Informática para la Ciberdefensa
Curso Online de Especialización en Seguridad Informática para la CiberdefensaCurso Online de Especialización en Seguridad Informática para la Ciberdefensa
Curso Online de Especialización en Seguridad Informática para la CiberdefensaChema Alonso
 
X Forum AUSAPE 2014
X Forum AUSAPE 2014X Forum AUSAPE 2014
X Forum AUSAPE 2014Chema Alonso
 

More from Chema Alonso (13)

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...Analizando la efectividad de ataques de correlación pasivos en la red de ano...
Analizando la efectividad de ataques de correlación pasivos en la red de ano...
 
Curso Online de Especialización en Seguridad Informática para la Ciberdefensa
Curso Online de Especialización en Seguridad Informática para la CiberdefensaCurso Online de Especialización en Seguridad Informática para la Ciberdefensa
Curso Online de Especialización en Seguridad Informática para la Ciberdefensa
 
X Forum AUSAPE 2014
X Forum AUSAPE 2014X Forum AUSAPE 2014
X Forum AUSAPE 2014
 

Recently uploaded

CALCULADORA CIENTIFICA trabajo grupal 9-6.docx
CALCULADORA CIENTIFICA trabajo grupal 9-6.docxCALCULADORA CIENTIFICA trabajo grupal 9-6.docx
CALCULADORA CIENTIFICA trabajo grupal 9-6.docxzoecaicedosalazar
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfNicolleAndrade7
 
Estadistica , excel avanzado estudios estadisticos
Estadistica , excel avanzado  estudios estadisticosEstadistica , excel avanzado  estudios estadisticos
Estadistica , excel avanzado estudios estadisticosElizabethAcostaQuinc
 
Taller De La Electricidad Y Electrónica 10-4.pdf
Taller De La Electricidad Y Electrónica  10-4.pdfTaller De La Electricidad Y Electrónica  10-4.pdf
Taller De La Electricidad Y Electrónica 10-4.pdfAnaSofiaRodriguezzap
 
Basisschulung zum Datenschutz DE_SPA.pptx
Basisschulung zum Datenschutz  DE_SPA.pptxBasisschulung zum Datenschutz  DE_SPA.pptx
Basisschulung zum Datenschutz DE_SPA.pptxsergioagudo4
 
Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.MariannaGutierrezGom
 
Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...NicolleAndrade7
 
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaNovedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaBaltasar Ortega
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxJuanstevanGarcaarcin
 
INFORME DE LA ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdf
INFORME DE LA  ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdfINFORME DE LA  ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdf
INFORME DE LA ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdfGabrielHernndez206156
 
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfVerde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfmiriamsarahihm2008
 
PLATAFORMAS SOCIALES.pdf Mundos digitales
PLATAFORMAS SOCIALES.pdf Mundos digitalesPLATAFORMAS SOCIALES.pdf Mundos digitales
PLATAFORMAS SOCIALES.pdf Mundos digitalesCamilaGV4
 
Trabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosTrabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosJuanCamilomurillo2
 
Garcia_Garcia_PracticasWeb7Reportes.pptx
Garcia_Garcia_PracticasWeb7Reportes.pptxGarcia_Garcia_PracticasWeb7Reportes.pptx
Garcia_Garcia_PracticasWeb7Reportes.pptxANDREADELCARMENGARCI
 
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptx
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptxSegunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptx
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptxsergioagudo4
 
Tecnología 2024 11-2 .pdf.......................
Tecnología 2024  11-2 .pdf.......................Tecnología 2024  11-2 .pdf.......................
Tecnología 2024 11-2 .pdf.......................GabrielHernndez206156
 
carta combinada para empleados de una empresa
carta combinada para empleados de una empresacarta combinada para empleados de una empresa
carta combinada para empleados de una empresafspro99
 
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptx
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptxcuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptx
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptxange07u
 
TareaSesión8_ListaDinamica_Garcia_Garcia.pptx
TareaSesión8_ListaDinamica_Garcia_Garcia.pptxTareaSesión8_ListaDinamica_Garcia_Garcia.pptx
TareaSesión8_ListaDinamica_Garcia_Garcia.pptxANDREADELCARMENGARCI
 
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaExcel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaNicolleAndrade7
 

Recently uploaded (20)

CALCULADORA CIENTIFICA trabajo grupal 9-6.docx
CALCULADORA CIENTIFICA trabajo grupal 9-6.docxCALCULADORA CIENTIFICA trabajo grupal 9-6.docx
CALCULADORA CIENTIFICA trabajo grupal 9-6.docx
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdf
 
Estadistica , excel avanzado estudios estadisticos
Estadistica , excel avanzado  estudios estadisticosEstadistica , excel avanzado  estudios estadisticos
Estadistica , excel avanzado estudios estadisticos
 
Taller De La Electricidad Y Electrónica 10-4.pdf
Taller De La Electricidad Y Electrónica  10-4.pdfTaller De La Electricidad Y Electrónica  10-4.pdf
Taller De La Electricidad Y Electrónica 10-4.pdf
 
Basisschulung zum Datenschutz DE_SPA.pptx
Basisschulung zum Datenschutz  DE_SPA.pptxBasisschulung zum Datenschutz  DE_SPA.pptx
Basisschulung zum Datenschutz DE_SPA.pptx
 
Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.
 
Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...
 
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaNovedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
 
INFORME DE LA ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdf
INFORME DE LA  ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdfINFORME DE LA  ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdf
INFORME DE LA ACTIVIDAD GRUPAL; EXCEL AVANZADO Y MÉTODOS ESTADÍSTICO.pdf
 
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfVerde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
 
PLATAFORMAS SOCIALES.pdf Mundos digitales
PLATAFORMAS SOCIALES.pdf Mundos digitalesPLATAFORMAS SOCIALES.pdf Mundos digitales
PLATAFORMAS SOCIALES.pdf Mundos digitales
 
Trabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosTrabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticos
 
Garcia_Garcia_PracticasWeb7Reportes.pptx
Garcia_Garcia_PracticasWeb7Reportes.pptxGarcia_Garcia_PracticasWeb7Reportes.pptx
Garcia_Garcia_PracticasWeb7Reportes.pptx
 
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptx
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptxSegunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptx
Segunda_P_Wahrnehmung der Betroffenenrechte DE_SPA.pptx
 
Tecnología 2024 11-2 .pdf.......................
Tecnología 2024  11-2 .pdf.......................Tecnología 2024  11-2 .pdf.......................
Tecnología 2024 11-2 .pdf.......................
 
carta combinada para empleados de una empresa
carta combinada para empleados de una empresacarta combinada para empleados de una empresa
carta combinada para empleados de una empresa
 
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptx
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptxcuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptx
cuadro comparativo de web 1.0 web 2.0 web 3.0 web 4.0......pptx
 
TareaSesión8_ListaDinamica_Garcia_Garcia.pptx
TareaSesión8_ListaDinamica_Garcia_Garcia.pptxTareaSesión8_ListaDinamica_Garcia_Garcia.pptx
TareaSesión8_ListaDinamica_Garcia_Garcia.pptx
 
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaExcel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
 

Digital latches for your digital Life

  • 4. BYOM (Bring Your Own Malware)
  • 5. El enemigo a las puertas
  • 6. Superficie de exposición • Los servicios están activos 24 x 7 x 365 • Solo usamos nuestras identidades un breve espacio de tiempo • Las cuentas deberían poder apagarse
  • 8. 2FA “classics” • Usuario necesita introducir un código • Despliege de SMS • Matriz de coordenadas es estática • Hardware tokens son caros • Usuario necesita introducir un código • Usuario no le gusta introducir un código
  • 9. A la gente le gusta dormir la siesta (con el mando de la tele)
  • 10. KISS (Keep It Spanish, Stupid)
  • 11. Taking a cab To make her trip easier she decides to pay everything using a service, on her way to the office at the destination point she switches service on, so she can pay the taxi fare. Once done she switches her account off, minimizing the exposure to improper usage.
  • 12. An alert of the service used! Fortunately her account was blocked by Latch, as Anna easily requested using the app. Alas, in the stopover someone tried to hack her service account. The attack was under control and no misuse was ever fulfilled.
  • 13. ¿Cómo proteger una identidad?
  • 14. “Latch” de una cuenta Latch Server 1.- Generate pairing code 2.- Temporary Pariring token My Site User Settings: Login: XXXX Pass: YYYY Latch: 4.-AppID+Temp pairing Token 5.- OK+Unique Latch 6.-ID Latch appears in app U L a t c h
  • 15. Login en una Web Latch Server Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF …. My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 Login Page: Login:AAAA Pass:BBBB 1.- Client sends Login/password 2.- Web checks Credentials with Its users DB 3.- asks about Latch1 status 4.- Latch 1 is OFF 5.- Login Error 6.- Someone try to get Access to Latch 1 id. 2.- Check user/pass
  • 17. Hacer login con OTP Latch Server Latch app Latch1: OFF Latch2:ON Latch3:OTP Latch4:OFF …. My Bank Users DB: Login: XXXX Pass: YYYY Latch: Latch1 Login Page: Login:AAAA Pass:BBBB 1.- Client sends Login/password 2.- Web checks Credentials with Its users DB 3.- asks about Latch1 status 5.- Latch 1 is ON(OTP) 6.- OTP? 7.- Use this (OTP). 4.- Latch Server Generates OTP 2.- Check user/pass
  • 19. User1 Pass1 User2 Pass2 Login: User2 Pass: Pass2 Latch: Latch2 Login: User1 Pass: Pass1 Latch: Latch1 Verificación de 4 ojos
  • 21. Operaciones latcheadas Latch Server Latch app Latch1: ON Op1:OFF Op2:ON OP3:OTP Latch 2: OFF …. My Bank Login: XXXX Pass: YYYY Latch: Latch1 Int_Trnas: Op1 Online Banking Send Money: 1231124343 1.- Client orders International Transactions 3.- asks Latch1:Op1 status 4.- Latch 1:Op1 is OFF 5.- Denied 6.- Someone try to do a Latch 1:Op1 Operation
  • 22. User Pass Login: User Pass: Pass Latch: Latch Op1:Unlock Op2: OTP Supervision Why? Answer OTP
  • 23. Monitoring Switch • With one latch – As many granularity as needed – Two status – OTP – User confs • Schedulle • AutoLock • Possible to re-act at status If Lock then {} Else {} Goto fail; Goto fail:
  • 24. Sobre Latch • Privacidad: – AppIDs conoce los UniqueLatches pero no los UserLatches. – Latch Server conoce Latchets y AppID, pero no los usuarios/passwords • Robustez: – Si el servidor de Latch es comprometido la seguridad del sitio protegido sigue intacta. – No se guarda ningún dato sensible en Latch Server.
  • 25. ¿Preguntas? • Chema Alonso • @chemaalonso • chema@11paths.com • http://www.elladodelmal.com • http://www.elevenpaths.com • https://latch.elevenpahts.com