Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mautner Autenticacion

1,071 views

Published on

Métodos de autenticación de clientes.

Published in: Technology, News & Politics
  • Be the first to comment

  • Be the first to like this

Mautner Autenticacion

  1. 1. Alternativas y problemas en medios electrónicos
  2. 2. <ul><li>Identificar a nuestro cliente unívocamente </li></ul><ul><li>Comprobar que es quien dice ser </li></ul><ul><li>Brindar flexibilidad en la operatoria </li></ul>
  3. 3. <ul><li>Tipo 1: Algo que sé </li></ul><ul><li>Tipo 2: Algo que tengo </li></ul><ul><li>Tipo 3: Algo que soy </li></ul>
  4. 4. <ul><li>El concepto: Autenticación fuerte monofactor </li></ul><ul><li>Passphrases </li></ul><ul><li>Preguntas secretas </li></ul><ul><li>Doble clave </li></ul><ul><li>Imágenes </li></ul>
  5. 5. <ul><li>Lo Bueno </li></ul><ul><li>Fácil de implementar </li></ul><ul><li>Sin mantenimiento </li></ul><ul><li>Muy bajo costo </li></ul><ul><li>Lo Malo </li></ul><ul><li>Recordar múltiples claves </li></ul><ul><li>Reutiliza el mismo factor </li></ul><ul><li>Muy susceptible a: </li></ul><ul><ul><li>Ingeniería social </li></ul></ul><ul><ul><li>Phishing </li></ul></ul><ul><ul><ul><li>Segmentado </li></ul></ul></ul><ul><ul><ul><li>Por Spam </li></ul></ul></ul><ul><ul><li>Troyanos </li></ul></ul><ul><ul><li>Usen la imaginación… </li></ul></ul>
  6. 6. APWG Report© – Marzo 2005 APWG Report© – Diciembre 2005
  7. 7.
  8. 8.
  9. 9.
  10. 10. http://71.99.166.51/cgibin/webscr/
  11. 11.
  12. 12.
  13. 13.
  14. 14. <ul><li>http://www.hispasec.com/laboratorio/troyano_video_en.htm </li></ul><ul><li>http://descargas.hispasec.com/xss-phishing/phishing_01.swf </li></ul><ul><li>Banbra.DCY </li></ul>
  15. 15. <ul><li>http://www.hack247.co.uk/2006/10/23/social-engineering-at-mcdonalds/ </li></ul>
  16. 16. <ul><li>Tarjeta de claves </li></ul><ul><li>Tarjeta de coordenadas </li></ul><ul><li>MachineID fingerprinting </li></ul><ul><li>Tokens Virtuales </li></ul><ul><li>Tokens por evento </li></ul><ul><li>Tokens por tiempo </li></ul>
  17. 17. <ul><li>Lo Bueno </li></ul><ul><li>Buen nivel de protección </li></ul><ul><li>Mezcla factores </li></ul><ul><li>Difícil de atacar </li></ul><ul><li>Ventana de oportunidad reducida </li></ul><ul><li>Relativa resistencia a ingeniería social y phishing </li></ul><ul><li>Lo Malo </li></ul><ul><li>Alto costo </li></ul><ul><li>Difícil de implementar </li></ul><ul><li>Problema en caso de pérdida o robo </li></ul><ul><li>Puede ser visto como una incomodidad por el usuario </li></ul>
  18. 18.
  19. 19. <ul><li>Biometría Física </li></ul><ul><ul><li>Geometría de la mano </li></ul></ul><ul><ul><li>Huella dactilar </li></ul></ul><ul><ul><li>Iris/Retina </li></ul></ul><ul><li>Biometría Dinámica </li></ul><ul><ul><li>De escritura </li></ul></ul><ul><ul><li>De voz </li></ul></ul><ul><ul><li>De tipeo </li></ul></ul>Ojo (Iris) Ojo (Retina) Huellas dactilares Geometría de la mano Escritura y firma Voz Cara Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta Facilidad de uso Media Baja Alta Alta Alta Alta Alta Prevención de ataques Muy alta Muy alta Alta Alta Media Media Media Aceptación Media Media Media Alta Muy alta Alta Muy alta Estabilidad Alta Alta Alta Media Baja Media Media
  20. 20. <ul><li>Demasiado Intrusivo </li></ul><ul><li>Desconfianza en la tecnología </li></ul><ul><li>Desconfianza en la empresa </li></ul><ul><li>Privacidad </li></ul><ul><li>Mitos y leyendas </li></ul>
  21. 21. <ul><li>Ventanas de tiempo en OTPs </li></ul><ul><li>Re sincronización de tokens </li></ul><ul><li>Transmisión no segura </li></ul><ul><li>Errores de programación </li></ul><ul><li>Parches no aplicados </li></ul><ul><li>… y mil opciones más! </li></ul>
  22. 22. <ul><li>Monitoreo de actividades inusuales (profiling) </li></ul><ul><li>Limitar las actividades posibles </li></ul><ul><li>Revisar la implementación del circuito </li></ul><ul><li>Complementar factores de acuerdo al nivel de riesgo </li></ul><ul><li>Ayudar al cliente con su seguridad </li></ul><ul><li>El problema de la parabólica humana: cuanta seguridad puedo resistir? </li></ul>
  23. 23. <ul><li>Multibanda </li></ul><ul><li>Multifactor </li></ul><ul><li>Multicanal </li></ul>
  24. 24. <ul><li>Concientizar, Concientizar, Concientizar </li></ul><ul><li>Autenticar de acuerdo al nivel de riesgo </li></ul><ul><li>Demasiado puede ser contraproducente </li></ul><ul><li>Si no lo sabe hacer… no lo haga </li></ul><ul><li>Cuidado con los costos operativos </li></ul><ul><li>Gastar en el cliente puede ser la mejor inversión </li></ul>

×