WP Strongauth Es
WP Strongauth Es
WP Strongauth Es
Autentificación más
utilizados Evidian white paper
Sumario
La buena autentificación sobre el buen
puesto de trabajo
La fuerte autenticación: desde la
contraseña hacia la autenticación
multi-factores, multi-soporte.
Los 7 métodos de autentificación más
utilizados
Un ejemplo de política de autenticación
El SSO de empresa integra la
autenticación fuerte en la política de
seguridad
© Evidian
La información contenida en este documento refleja la opinión de Evidian sobre las cuestiones abordadas en la fecha
de publicación. Debido a la evolución constante de las condiciones de mercado a las cuales Evidian debe adaptarse,
no representan sin embargo un compromiso por parte de Evidian que no puede garantizar la exactitud de esta
información, última la fecha de publicación.
Se reconocen los derechos de los propietarios de las marcas citadas en esta publicación.
Autentificación fuerte https://www.evidian.com/
Índice
Advertencia ............................................ 5
La buena autentificación sobre el buen puesto de trabajo 6
La autentificación es la primera etapa del proceso de
conexión de un usuario ..................................6
El nivel de seguridad ...................................7
Su Política de seguridad ...............................7
Las leyes y reglamentaciones ........................... 7
Arbitraje con los costes de aplicación y de explotación .7
La fuerte autenticación: desde la contraseña hacia la
autenticación multi-factores, multi-soporte. ............ 9
¿Autenticación o identificación? ........................9
Siete elementos de autenticación ........................9
La autenticación multi-factores ........................11
El Token ...............................................12
El SSO de empresa permite aplicar la autenticación
fuerte para controlar el acceso
a todas las aplicaciones ...............................13
Función de SSO y política de seguridad: un ejemplo ..... 13
Un ejemplo de política de Seguridad de los accesos ..... 14
El SSO de Empresa permite integrar la autenticación
fuerte en la política de seguridad..................... 16
Los 7 métodos de autentificación más utilizados ........ 17
La infraestructura de autentificación Windows ..........17
(1) Identificador y contraseña .........................17
(2) Identificador y OTP (One-Time Password) ............17
Arquitectura y principio .............................. 17
Puesta en marcha y explotación......................... 18
(3) El Token USB o tarjeta inteligente PKI .............18
Los distintos tipos de tarjetas........................ 19
La infraestructura de PKI ............................. 19
Las funciones del CMS ................................. 19
El módulo de autentificación .......................... 19
(4) La Llave “Confidencial Defensa” ....................21
(5) La tarjeta inteligente con identificador
y contraseña ...........................................21
(6) Las soluciones biométricas .........................21
Las tres familias de solución de biométrica ............ 22
Las soluciones de biométrica con servidor .............. 22
Las soluciones locales ................................22
Las soluciones de biométrica con tarjeta inteligente. .. 22
(7) El RFID Activo .....................................23
39 E2 87LT Rev01 3
Autentificación fuerte https://www.evidian.com/
39 E2 87LT Rev01 4
Autentificación fuerte https://www.evidian.com/
Advertencia
Para más información sobre un método en particular, referirse a los documentos más
especializados.
39 E2 87LT Rev01 5
Autentificación fuerte https://www.evidian.com/
1. Abertura de una sesión sobre del puesto de trabajo y autenticación del usuario
2. Se comprueba los derechos del usuario y lo conecta a sus recursos
Existen numerosos métodos de autenticación. Cada una de estos métodos posee sus
características propias.
39 E2 87LT Rev01 6
Autentificación fuerte https://www.evidian.com/
El nivel de seguridad
Su Política de seguridad
Toda organización tiene, o debería tener, una política de seguridad relativa a la
protección de los puestos de trabajo, de las aplicaciones, de los datos o también de
los sistemas del SI. Esta política de seguridad puede definir niveles mínimos de
autenticación en función de la criticidad del recurso utilizado.
Por ejemplo, es posible imaginar, como en muy buena película de espionaje, que se
coloca un puesto de trabajo crítico en una sala protegida por un acceso controlado por
un código confidencial, por la introducción de una tarjeta inteligente y por una
definición biométrica del ojo derecho. La protección es entonces a su máximo, ya que
para registrar es necesario proporcionar un elemento que se sabe (el código), que se
posee (la tarjeta) y que es (el ojo).
La autenticación del usuario es uno de los elementos claves que deben tenerse en
cuenta.
39 E2 87LT Rev01 7
Autentificación fuerte https://www.evidian.com/
Estos esfuerzos deben percibirse como inversiones que van a permitir proteger los
datos más sensibles de la empresa y aplicar la política de seguridad correspondiente.
39 E2 87LT Rev01 8
Autentificación fuerte https://www.evidian.com/
Encontramos así estos elementos bajo distintas formas. Ahí tienes el más
ampliamente utilizados:
Tipo Descripción
El identificador y El identificador y la contraseña son el par de autenticación más
la contraseña conocido.
Simple, robusto, incluso rústico, su más grande defecto es que
el nivel de seguridad depende directamente de la complejidad
de la contraseña. Contraseñas simples son escasas, y
contraseñas demasiado complejas conducen a los usuarios a
aplicar estrategias no siempre correctas para gestionarlas:
Post-it® , lista en un archivo Excel o en el SmartPhone,…
El identificador y El OTP permite asegurar el uso de la contraseña en la red. En
la contraseña efecto, con un sistema OTP el usuario posee un calculador
OTP (One-Time especializado que le proporciona bajo petición una contraseña.
1
Password) Esta contraseña es válida solo durante una duración limitada, y
para una única utilización.
Esta solución se aplica en general para el proceso de
autenticación inicial para los accesos externos mediante
IP/VPN
1
OTP: One-Time Password o también Contraseña de un solo uso.
39 E2 87LT Rev01 9
Autentificación fuerte https://www.evidian.com/
39 E2 87LT Rev01 10
Autentificación fuerte https://www.evidian.com/
oficina).
El interés principal del RFID activo es permitir un acta de
ausencia para los puestos de trabajo en zonas accesibles al
público
La autenticación multi-factores
Un factor de autenticación es un elemento que se sabe (código secreto), que se
posee (apoyo físico) o que es (biométrica).
39 E2 87LT Rev01 11
Autentificación fuerte https://www.evidian.com/
El Token
Una vez establecida la autenticación inicial del usuario, es necesario transmitir el
token a las aplicaciones.
La aplicación debe poder recuperar este token, disponible sobre el puesto de trabajo,
luego ir dirigido a un distribuidor especializado que confirmará la validez del token así
como la identidad asociada.
Los token más comunes hoy son Kerberos y los token SAML.
El enfoque por token requiere que las aplicaciones sean capaces de leer el “token” y
de dialogar con el servidor de autenticación. Desgraciadamente, las aplicaciones ya
existentes (e incluso algunas nuevas aplicaciones) no pueden siempre adaptarse
simplemente.
El SSO de empresa permite hacer el vínculo entre la autenticación inicial del usuario y
las aplicaciones de la manera más universal posible. El SSO de empresa interfaz
directamente la ventana de demanda de identificador/contraseña de la aplicación y no
tiene necesidad de modificación ninguna.
39 E2 87LT Rev01 12
Autentificación fuerte https://www.evidian.com/
Autoaprendizaje
Cuentas múltiples
El usuario puede, a partir de su puesto de trabajo, delegar sus accesos a otro usuario
para un período dado y para una aplicación dada. El usuario delegado no tiene que
conocer el identificador y la contraseña del usuario que delega para conectarse a las
aplicaciones deseadas.
39 E2 87LT Rev01 13
Autentificación fuerte https://www.evidian.com/
El sistema de SSO puede limitar el acceso a las aplicaciones más críticas a partir de
un subconjunto dado de puesto de trabajo. Por ejemplo, las aplicaciones de I+D no
pueden ser accesibles sino a partir de los puestos de trabajos de I+D.
39 E2 87LT Rev01 14
Autentificación fuerte https://www.evidian.com/
39 E2 87LT Rev01 15
Autentificación fuerte https://www.evidian.com/
Una autenticación RFID Activo que permite administrar el acceso a los puestos de
trabajo compartidos
Una autenticación por tarjeta inteligente X.509 para proteger los accesos Internet
Web sobre un navegador cualquiera.
La re-autentificación
En la ejecución de una aplicación sensible, el motor de SSO puede volver a pedir una
re-autentificación. Para los puestos equipados de un módulo de autenticación fuerte,
es este tipo de re-autenticación que entonces se vuelve a pedir.
39 E2 87LT Rev01 16
Autentificación fuerte https://www.evidian.com/
2
Este módulo también se conoce bajo el nombre de GINA.
39 E2 87LT Rev01 17
Autentificación fuerte https://www.evidian.com/
Servidor de
autentificación
Validación del
identificador y la
contraseña única
Uno de los usos principales de este sistema por las organizaciones es la protección de
los accesos sobre IP/VPN a partir de los PC situados fuera de la oficina.
La tarjeta con su lector así como el código informático asociado que debe
instalarse sobre el puesto de trabajo.
El servidor de autenticación.
39 E2 87LT Rev01 18
Autentificación fuerte https://www.evidian.com/
La infraestructura de PKI
Una infraestructura a llave pública por regla general está formada por tres entidades
distintas:
Puesta en lista negra (blacklist) de una tarjeta perdida (o retirada de la lista negra si
se encuentra)
Debe ser utilizable por el servicio de help-desk para gestionar las funciones de
desbloqueo de un código PIN y por las estructuras de servicio en los distintos lugares
para la creación, la asignación o el préstamo de una tarjeta.
El módulo de autentificación
El módulo de autentificación del puesto debe autentificar al usuario:
39 E2 87LT Rev01 19
Autentificación fuerte https://www.evidian.com/
El reseteo a distancia del código PIN de una tarjeta por el help desk.
La protección del puesto de trabajo cuando se quita la tarjeta del lector: cierre de la
sesión Windows, o bloqueo simple.
Verificar la
Contesta a peticiones de
validez del
re-autentificación
certificado y del
P.I.N.
Modulo de
autentificación
Inicializar la autenticación
Re-Autenticación
Reseteo del P.I.N.
Abandono de tarjeta
39 E2 87LT Rev01 20
Autentificación fuerte https://www.evidian.com/
Esta llave es capaz de transportar de manera segura los distintos elementos del SSO
de empresa que se vuelve entonces portable y utilizable sobre cualquier puesto.
Este tipo de llave, verdadera caja fuerte electrónica, permite poner en marcha una
solución portable, integrada y asegurada de Autenticación fuerte y SSO de Empresa.
La tarjeta se utilizará entonces para proteger los datos de seguridad, como por
ejemplo, las contraseñas SSO.
3
el “key logger” es un código malware que se instala sobre el PC que registra las
teclas usadas por el usuario y enviadas a un servidor.
39 E2 87LT Rev01 21
Autentificación fuerte https://www.evidian.com/
Un servidor central,
39 E2 87LT Rev01 22
Autentificación fuerte https://www.evidian.com/
La tarjeta del usuario posee una alimentación propia que le permite dialogar con una
antena conectada al PC.
Los elementos físicos como las tarjetas de los usuarios y la antena para cada PC
39 E2 87LT Rev01 23
Autentificación fuerte https://www.evidian.com/
Por el contrario, el usuario deberá y podrá aplicar efectivamente esta política para su
autentificación Windows.
El acceso Web del motor de SSO va a permitir establecer una autenticación con
tarjeta X.509 sin tener que modificar las aplicaciones que podrán funcionar con su
identificador y contraseña. Estos últimos son los mismos que los proporcionados por
el usuario desde su PC dentro de la organización o por Internet.
El motor de E-SSO va a permitir limitar el acceso a las aplicaciones I+D a los puestos
de I+D equipados de lectores biométricos para la autenticación. Un usuario podrá
utilizar un PC normal para conectarse a sus aplicaciones clásicas o utilizar un PC con
lector biométrico cuando desea conectarse a sus aplicaciones I+D, además de sus
aplicaciones.
El SSO de empresa permitirá a los usuarios utilizar la definición por tarjeta RFID activa
para acceder a las solas aplicaciones autorizadas en zona pública.
39 E2 87LT Rev01 24
Autentificación fuerte https://www.evidian.com/
39 E2 87LT Rev01 25
Para más información, consultar el sitio https://www.evidian.com/