Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

martes, 7 de febrero de 2012

Crisis de Identidad (Gestión) (Parte 1): La evolución de los conceptos de identidad

Introducción
El robo de identidad, gestión de identidad, protección de la identidad son términos que observamos o escuchamos últimamente, y vemos que la identidad es un elemento crucial en la mayoría de los mecanismos de seguridad informática. Los controles de acceso dependerán de la identificación de los usuarios o dispositivos que se les permita ver o utilizar los recursos. Se nos pide "probar" nuestra identidad cada vez que vamos a bordo de un avión, en un hotel,al hacer una compra a través de un cheque o una tarjeta de crédito, o ingrese a una computadora o un sitio web seguro. Sin embargo, la valoración de la prueba suele ser muy baja, y en el mundo de las TI, parece que tenemos una idea equivocada acerca de lo que la identidad es en realidad y cual es el caso de que no lo es.
En este artículo, serie de tres partes, en primer lugar vamos a observar cómo el concepto de identidad se ha convertido - particularmente en los ámbitos legales y tecnológicos. En la segunda parte , vamos a demostrar por qué todo lo que usted piensa que usted sabe acerca de identidad está mal. Luego en la tercera parte, vamos a ver las soluciones de TI comunes de gestión de identidades, donde no logran cubrir las expectativas o necesidades, y cómo se podría mejorarlo.

Identidad: ¿Qué significa eso realmente?
"Identidad" tiene diferentes significados, dependiendo del contexto en el que se lo utiliza. Se trata de un concepto filosófico, un concepto psicológico, un concepto jurídico, incluso un concepto religioso - y luego está ovbiamente, la forma en que se lo utiliza en TI. En términos filosóficos, simplemente se refiere a lo que hace que una entidad reconocible y distinguible de otras entidades. En psicología, se trata de la propia imagen de una persona, los roles sociales y las características de la personalidad, y hay una gran cantidad de teorías y modelos que van desde la ruptura freudiana de la psique en ello, el yo y el super yo, con el marco Eriksoniana para separar la identidad personal y social o cultural. En la teología, se trata del alma.

Eso es todo muy interesante, pero voy a dejar esos debates a la gente que está especializada en estas disciplinas. Más pertinente para aquellos que tiene que ver con el crimen cibernético es lo que significa la identidad en un sentido legal, y cómo ve el mundo de TI y de los intentos de "manejar" la identidad. Sin embargo, una breve mirada a la historia y la evolución de la sociedad de definiciones de la identidad es útil en la comprensión de la ley y su correspondiente práctica.

Historia y evolución de la identidad

Cuando usted entra en una relación con alguien - de negocios o personales - siempre es importante saber con quién estás tratando. Los seres humanos se diferencian de muchas maneras. Antes de desarrollar el lenguaje, podemos asumir que la gente se identificaban con otras personas por el aspecto que tenían, como se comportaban; sonaban (bajos gruñidos agudos frente a altos tonos?), incluso por su olor. Sabemos que muchos animales hoy en día, como los perros, se basan en la nariz para interpretar el mundo y esto incluye el reconocimiento de personas y otros animales por la forma en que huelen.

Con la palabra hablada y escrita fue la práctica de dar nombres a objetos y personas. En una población pequeña, los nombres podrían ser únicos para que cuando se habla de "John Smith", todos sabían de quien se estaba hablando. Las poblaciones tempranas también fueron en general menos móviles (la gente no se iba de la ciudad), por lo que todos en el pueblo no sólo sabía quién era John - que lo habían conocido desde su nacimiento y estaban familiarizados con todas las características que definieron a "Juan", como su voz, su modo de andar, los gestos divertidos que hizo con sus manos y sus comportamientos generales. Las personas fueron identificadas a menudo no sólo por sus nombres y características, sino también por su ascendencia: por ejemplo, John Smith, hijo de Robert y Mary Smith.

A medida que la población se hizo más grande y más móvil, los nombres se duplicaron y la gente entraba y salía de la ciudad. Ellos fueron identificados a veces por sus lugares de origen: es decir, Joe Jones, de Riverside. Pero a medida que más y más extranjeros llegaron a la ciudad, no teníamos la historia con ellos y no había manera de identificarlos, excepto por los nombres y otra información que proporcionaban, lo que podría o no podría ser su "verdadero" nombre. Por lo tanto hemos desarrollado la necesidad de credenciales de identidad.

Alguna vez, las credenciales podían ser cualquier cosa, desde una carta de presentación de alguien que había conocido durante un tiempo sustancial a una anotación en una Biblia de la familia. Pero los gobiernos se convirtieron en las burocracias y los burócratas les gusta llevar un registro, por lo que los documentos de identidad se convirtieron en algo común y obligatorio. Los certificados de nacimiento proporcionaban un registro escrito de un nombre, lugar / fecha / hora de nacimiento, hasta un linaje. Cuando la mayoría de los bebés nacían en su casas, muchas personas no tenían certificados de nacimiento, pero a medida que el proceso de parto se trasladó a las instituciones (hospitales), se hizo más fácil para los gobiernos para vigilar los nacimientos.

El advenimiento del automóvil tuvo la consecuencia imprevista de la creación de un modelo de documento, documento oficial de identidad, licencia de conducir. Ese documento se transformó en un pedazo de papel con su nombre, fecha de nacimiento, dirección y firma en él hasta llegar a una tarjeta de plástico con una foto, y ahora en muchas jurisdicciones se incluye una huella digital, banda magnética con información codificada, impresiones holográficas y / o transmisores de RFID.

Hoy tenemos una gran cantidad de credenciales de identidad. Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la obra social, para nuestros hijos mucho antes de ser apto para obtener un trabajo, y a pesar de que originalmente la ley prohíbe expresamente su uso como identificación, se ha convertido en una credencial de identidad de facto que no podemos usar para obtener beneficios del gobierno y pagar nuestros impuestos, pero al tomar una clase, podemos solicitar un crédito o incluso (en algunos casos) firmar un servicio como el de televisión por cable o para el servicio teléfonico. Los que trabajan para las grandes empresas tienen tarjetas de identificación de empleados. Si pertenecemos a una organización, tenemos también tarjetas de membresía. Para viajar fuera del país, es necesario el pasaporte.

Nos estamos ahogando en un mar de credenciales de identidad.

La credibilidad de las credenciales
No todas las credenciales de identidad han sido creadas iguales. ID emitidos por el gobierno son generalmente considerados como la mejor prueba de su identidad, pero ¿lo son realmente?.Los Estados han reforzado sus procedimientos, pero tan sólo unos pocos años atrás (antes de 11 de septiembre), en muchas jurisdicciones no era tan difícil conseguir una licencia de conducir con en el nombre que uno quisiera. Recuerdo que cuando me casé en la década de 1990 y me fui a DMV para cambiar mi nombre. La persona que me atendió no me pidió mi licencia de matrimonio o cualquier otra documentación del cambio de nombre que justificara mi cambio, yo simplemente les dije cual era el nuevo nombre y diligentemente se introdujo en el sistema y emitió una nueva licencia como le solicité. Por supuesto, en aquel entonces era perfectamente legal para cambiar el nombre en Texas a través de la ley común - es decir, sólo mediante la adopción y el uso del nuevo nombre. No se requiere orden judicial (a menos que usted fuera un menor de edad).

Hoy en día tienes que saltar a través de algunos aros más para obtener una licencia o cambiar su nombre, pero no es como se lo hacen en un cheque de fondo. La adición de una huella digital a la base de datos de la licencia de conducir lo hace un poco más difícil para que Usted pueda falsificar su identidad en el DMV - si alguna vez te han tomado las huellas digitales de impresión y que estás permanezcan aún en el archivo. Sin embargo, muchas personas no tienen, a menos que hayan estado en el ejército, fue arrestado alguna vez, trabajó como oficial de cumplimiento de la ley o en una posición con la autorización de seguridad, en la que se obtiene una licencia para portar un arma oculta, etc. Un día es probable que todo el mundo tomará las huellas digitales de niños, en el momento en que aún es opcional, pero esto es alentado por muchos programas de seguridad escolar del niño.

Pensamos en los métodos de alta tecnología de hoy de identificar a las personas como superiores a las de años pasados, pero ¿son realmente?. Como ya hemos mencionado, la base de la verificación de la identidad antes de que todas estas tarjetas de fantasía y los métodos científicos fuera certificado. Es interesante, vamos a regresar en torno a ver el valor de un mundo donde las credenciales de papel, plástico y electrónicos pueden ser fácilmente falsificadas.

El enfoque de TI a la identidad
Si tenías la mayoría de edad en la época de cuando la PC de IBM era el rey, es probable que recuerden arrancar el sistema operativo y empezar a trabajar. Usted no tenía que identificarse con el sistema (a menos que un software especial se hubiera cargado y te lo exigiera). Los primeros ordenadores domésticos eran compartidos por lo general por todos los miembros de la familia, y nadie tenía cuentas de usuario.

Pero en un entorno empresarial, es importante identificar quién está usando una computadora, aunque sólo sea para saber quién era responsable si el sistema estaba mal. Configuración de cuentas de usuario separadas, bien se logró esto, pero los usuarios no tenían manera de probar su identidad cuando se lo despidió y sus cuentas quedaron huérfanas, en donde cualquier persona podría utilizar cuenta de otra persona (y a menudo lo hicieron). Por lo tanto la obligación de proporcionar las credenciales para demostrar que eras realmente el usuario propietario de esa cuenta era subjetivo.

El uso de contraseñas (o "códigos secretos") para verificar la identidad ha estado por mucho más tiempo que las computadoras. Por lo tanto, era lógico (y fácil) para utilizar el sistema de contraseñas para la autenticación de los usuarios de computadoras. Los PIN son sólo el equivalente numérico de las contraseñas alfabéticas. Sin embargo, los problemas con las contraseñas y números de identificación como un mecanismo de autenticación son leyenda. Si las contraseñas son breves y sencillas, son fáciles de romper con un ataque de fuerza bruta. Si son largos y complejos, los usuarios las olvidan y/o las escriben en algún lugar simple para recordarlas. Las frases proveen más complejidad al mismo tiempo dejan de ser relativamente fácil de recordar, pero no resolvemos del todo el problema.

La necesidad de un mecanismo de autenticación mejorado es llevado al concepto de autenticación de múltiples factores. Además de "algo que usted sabe" (PIN, contraseña o frase de contraseña), los usuarios pueden ser obligados a proporcionar algo de lo que tiene: una tarjeta inteligente o token, o un teléfono celular que se identifica por un número de serie único o una señal generada por el software . El sistema de tarjeta / token tiene sus propios inconvenientes, sin embargo, la credencial de física se puede dejar en el hogar, perdidos o robados.

Información biométrica se ha considerado el Santo Grial de la autenticación, porque se dice que se basa en "algo que se" - características fisiológicas o de comportamiento que se cree que son exclusivos de una persona en particular y que no cambian. Sin embargo, incluso los datos biométricos no ofrecen un método infalible para verificar la identidad. Las huellas dactilares se pueden reproducir a través de los moldes (o siendo más dramático, al estilo Hollywood, un tipo malo solo podría cortar el dedo y utilizarla para tener acceso). La enfermedad y las lesiones pueden causar cambios en las características fisiológicas - huellas dactilares, patrones de la retina, voz, modo de andar, etc. Existe la posibilidad en minutos, pero real, de la duplicación, por lo menos en la medida utilizada para declarar un partido en la base de datos. Por ejemplo, un sensor de huellas digitales, como cualquier pieza de equipo electrónico, pueden fallar. El software utilizado para procesar la impresión y la comparamos con otros en la base de datos podría tener errores. Los falsos positivos son posibles. Lo mismo es cierto para otros métodos biométricos.

Resumen
No hay ningún medio perfecto e infalible de la autenticación de la identidad de un usuario. Y esto es complicado por factores que vamos a discutir en la segunda parte.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La segunda parte se entregará proximamente.

2 comentarios:

Lic. Alex dijo...

Asi es, en las computadoras existe las complejas Gotchas para verificar "si soy humano", la incógnita sera saber después cuales serán los mecanismos de validación

Anónimo dijo...

Muy Buena información, auque desalienta que no se pueda confiar en los sistemas actuales tal vez la mezcla de muchos o varios de estos es la clave para evitar la suplantación.

Fabian