Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 15 de febrero de 2012

Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal

Introducción
En la Parte 1 de esta serie, hemos profundizado en el significado de la "identidad" - tanto en el esquema general de las interacciones humanas, en el mundo de las redes de computadoras - cómo en los significados que han evolucionado a lo largo de los años. Desafortunadamente, mucho de lo que creemos saber sobre la identidad, prueba, luego de un examen más detenido, que sólo una parte es parcialmente verdadero o falso en su totalidad. Tal vez el mayor obstáculo para el personal de TI a superar es la idea de que la identidad es sólo acerca de los nombres y contraseñas de cuentas (o las credenciales de autenticación de terceros).

Nombres no es lo mismo que Identidad
Los nombres son el principal medio por el cual la mayoría de nosotros identifican a las personas (como a los objetos también). En el idioma Inglés (en Español se definen de la misma manera)(1), los nombres que identifican a determinados individuos o entidades se llaman "nombres propios". La investigación ha demostrado que incluso algunas especies no humanas (como los delfines) aparece el uso de nombres, de una especie, para diferenciarse entre uno y otros. En algunas sociedades, los nombres están muy bien guardados y solo se confían a personas cuando las mismas son de confianza.
(1) Referencia del traductor.

En IT, los nombres se requieren a menudo para obtener acceso a un recurso. Los nombres de cuenta de los usuario son una parte del conjunto de la información necesaria para iniciar sesión en una computadora o tener acceso a un recurso protegido en el sistema o a través de la red. Los nombres de los servidores pueden ser necesarios para localizar un recurso de red. La combinación de nombre de servidor, nombre de dominio y el nombre del archivo está obligando a acceder a una página web - aunque a veces no están obligados a proporcionar toda la información, por ejemplo, si apuntamos un navegador web para www.mydomain.com, que han proporcionado el nombre del servidor Web (WWW) y los nombres de dominio (mydomain y com.) pero no tiene que escribir el nombre del archivo (por ejemplo, default.htm o index.html), ya que se supone que si no lo hacemos, puede entrar en otro nombre de archivo.

En el "mundo real", muchas personas diferentes pueden tener exactamente el mismo nombre, escrito de la misma manera. Todos los John Smiths por ahí puede ser fácilmente confundido con otras personas. En un sistema de TI, los nombres de las cuentas de usuario se requieren generalmente para ser único dentro de ese sistema. Vemos, pues, los nombres de usuario, tales como jsmith392.

Tan importante como son los nombres, es importante recordar que un nombre en realidad es sólo un descriptor. Ya sea que se refieren a mí como "Debra Shinder", como "el autor de Crisis de Identidad (Gestión)" o como "el 5'4 "mujer pelirroja de suéter verde", que estamos hablando de la misma persona. Sin embargo, sólo dos de las tres descripciones son específicos (no es probable que sean muchas las mujeres que usan 5'4 "suéteres verdes en el mundo en un día determinado"). Sólo uno de ellos es permanente - que podría teñirme el pelo, o incluso cambiar legalmente mi nombre, pero una vez que he escrito este artículo, siempre voy a ser el autor. Sólo uno es "oficial", en el que está en mis documentos emitidos por el gobierno. Los nombres se pueden cambiar - a través de una orden judicial, a través del matrimonio, o en algunas jurisdicciones en común, sólo mediante la adopción y el uso de uno nuevo. El punto es que su nombre no es usted.

En TI, los nombres de usuario también se puede cambiar. En la mayoría de los sistemas, esto se puede hacer con bastante facilidad, precisamente porque, aunque el nombre es la información que usan los humanos para identificar la cuenta, no es lo que utiliza el sistema. El sistema utiliza generalmente una cadena alfanumérica de caracteres subyacente, que en los sistemas Windows se llama el SID o el identificador de seguridad. El nombre asociado con el SID es sólo una de sus propiedades y se puede cambiar.

Las credenciales de autenticación no es igual a Identidad
Lo que comúnmente se denomina como "robo de identidad" en general es realmente el robo de credenciales que se asocian con una identidad particular. Robar tu contraseña no constituye realmente el robo de tu identidad - pero permite al ladrón hacerse pasar por Usted. Esto sólo funciona con un sistema sofisticado / sin saber que se basa únicamente en esas credenciales para identificarse y hacer la suposición de que Usted es el único que podría saber la contraseña.

Volviendo a la comparación del mundo real, si alguien utiliza su nombre y tal vez tiene una de sus tarjetas de crédito en su posesión, un comerciante no sabe por que razón puede tener la tarjeta o si la misma ha sido robada y la considera válida. Un comerciante más consciente de los riesgos, puede pedir una identificación con una foto, junto con la tarjeta de crédito, para verificar que realmente es Usted. Un comerciante que en realidad sabe que no es Usted, sabrá de inmediato que no es usted, incluso si el ladrón de la apariencia física en general es similar a la suya o no.

Incluso si una persona tuvo una cirugía plástica para él/ella se mira igual que Usted, sus amigos cercanos y miembros de la familia sabrán que no es la persona que dice ser, al menos después de un poco de interacción, porque esa persona podría tener todos sus recuerdos, o recordar todas las experiencias compartidas, y demás que componen una relación.

Un sistema de autenticación de TI sofisticado debe exigir algo más que el nombre y la contraseña correcta. Usted probablemente ha notado que recientemente, ciertos sitios web protegidos han empezado a utilizar otros métodos, adicionales para verificar su identidad junto con las credenciales habituales. Le puede solicitar la respuesta a una pregunta personal, como el monto de su pago hipotecario mensual. Puede ser que hayan seleccionado una foto que usted tendrá que escoger de un grupo de imágenes cada vez que se inicie la sesión. Hay muchas maneras diferentes de hacer el proceso de verificación de identidad más difícil para un impostor se pueda hacer pasar como Usted. El truco es hacer que sea muy difícil para un impostor, pero muy fácil para el "verdadero yo". En la Parte 3, vamos a estar mirando a los diferentes métodos y la forma de determinar cuál funciona mejor en una situación determinada.

El dilema de la Identidad múltiple
Una cosa que complica la gestión de identidad es el gran número de identidades que cada uno de nosotros puede asumir en el curso legítimo al momento de vivir nuestras vidas. En la vida real, aunque la mayoría de nosotros usamos el mismo nombre para la mayoría de nuestras interacciones, jugamos muchos roles diferentes en función de dónde estamos y con quien estamos interactuando.

A veces estas diferencias son tan extremas que las descripciones de la misma persona en diferentes situaciones nos llevaría a creer que usted puede ser tímido y reservado en casa, pero extrovertido y bullicioso en público "No debemos estar hablando de la misma Mary Smith." - O viceversa. Usted puede ser formal y correcto delante de sus padres, pero provocativo u ofensivo, incluso después de unas copas en un bar.

Algunas personas incluso viven de verdad una "doble vida", no sólo actúan de manera diferente, pero usan oficialmente distintas identidades. Todos lo hemos visto en las películas - por lo general la participación de un espía del gobierno o agente de espionaje corporativo. Hemos leído los artículos periodísticos sobre el vendedor afable que tiene esposas y familias en diferentes ciudades. Y, por supuesto, no es la condición psiquiátrica, lo que se llamó una vez "doble personalidad" o "trastorno de personalidad múltiple" y que ahora se denomina "trastorno de identidad disociativo", en el que una persona muestra "alterna" - distintas personalidades separadas, cada una con su propias percepciones del mundo.

La mayoría de nosotros tenemos muchas identidades diferentes - que generalmente se traduce en muchos conjuntos de nombres de usuario y contraseñas (y / u otras credenciales de autenticación). Tenemos un nombre y una contraseña para iniciar sesión en nuestros ordenadores, otro para el registro en los equipos de trabajo, otro para la línea de sitios Web bancarios, otro para el pago de nuestra factura de electricidad, uno para comprar cosas de Amazon, uno para compartir con los amigos en las redes sociales, y sigue y sigue y sigue. No es nada raro tener veinte o más cuentas diferentes en línea para la gestión de los diferentes aspectos de nuestras vidas digitales.

Sólo la gestión de todas sus identidades personales puede ser un desafío. Los departamentos de TI tienen más de un desafío, con la necesidad de gestionar cientos o miles de identidades de los usuarios. Algunas personas toman el camino más fácil, y usar el mismo nombre y la contraseña para todas sus cuentas. Simplifican las cosas, pero plantea una gran amenaza a la seguridad: Si el conjunto de las credenciales se ve comprometida, todas sus cuentas están en riesgo.

Otros utilizan un método improvisado de "niveles" de credenciales. Es posible que tenga un nombre de usuario/contraseña que utiliza para las cuentas no muy importantes, como el inicio de sesión en un sitio de noticias para leer sus historias o de TI en el foro para hacer/responder a las preguntas de alta tecnología. Entonces usted tiene otra cuenta que se utiliza para los sitios de alta seguridad, tales como Facebook o Google (en el que compartir información personal). Esa contraseña puede ser mayor y más compleja. Usted podría tener otro conjunto de credenciales, más difícil como contraseña/frase, para los sitios de banca o en los que debe introducir la información de tarjetas de crédito u otros datos financieros.

Una identidad para gobernarlos a todas
Single Sign-on es considerado por algunos como el Santo Grial de la gestión de la identidad. Esto se refiere a la capacidad de iniciar sesión una vez y acceder a múltiples sistemas. Esto difiere de utilizar las mismas credenciales para varias cuentas en que hay:

1.Credenciales idénticas, usted todavía tiene que iniciar sesión en cada sistema por separado, simplemente no tiene que recordar múltiples nombres y contraseñas.
2.Inicio de sesión único, usted todavía tiene unas credenciales distintas para cada uno de los sistemas, pero todos estos son almacenados por el sistema de SSO y entró automáticamente en el sistema adecuado después de haber iniciado sesión con su cuenta "maestra" de SSO.
Vamos a mirar más de cerca soluciones de sesión única en la parte 3.

A veces, tener una sola identidad, incluso dentro de un único sistema, puede ser problemático. Algunas redes sociales populares, como Facebook y Google+, han recogido quejas de los usuarios acerca de sus políticas que prohíben que los usuarios tengan varias cuentas y/o requiere a los usuarios utilizar sus "reales" (legal) nombres de cuenta. Muchas personas, por ejemplo, desean tener una cuenta de compañeros de trabajo y otro para los amigos personales. Algunos quieren usar un seudónimo, como un nombre de cuenta, porque ese es el nombre con el que el público los conoce (los autores que utilizan seudónimos, los actores que tienen nombres artísticos, etc.) En algunos casos, incluso puede ser peligroso para una persona a usar su nombre real debido a las leyes dictatoriales o por las cuestiones políticas en países en los que cualquier atisbo de disidencia puede ser castigada con la muerte.

ResumiendoSu identidad es mucho más que un conjunto de credenciales, pero la protección de sus credenciales es una parte importante para operar de forma segura en línea. En la Parte 3, vamos a ver algunas de las soluciones de gestión de identidad, y en la parte 4, vamos a terminar esta serie con algunas especulaciones sobre el futuro de la identidad en un mundo cada vez más interconectado.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La tercera y cuarta parte se entregarán proximamente.

No hay comentarios.: