Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

jueves, 15 de marzo de 2012

Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.

Introducción
En la Parte 1 de esta serie, se revisó la evolución del concepto de "identidad" y lo que significa, tanto dentro como fuera de ella. En la Parte 2, hemos hablado de todo lo que usted piensa que sabe acerca de la identidad - y, en particular la idea de que la igualdad de credenciales de identidad - está mal. En este sentido, la Parte 3, vamos a comenzar la discusión acerca de algunas de las soluciones actuales de Gestión de Identidad, así como nuevas formas de aplicar los viejos métodos de verificación de la identidad.

Firma como prueba de identidad
En los pre-electrónicos a veces, el nombre escrito a mano es la representación legal de la identidad de una persona y la intención de un contrato u otro documento. Debido a que la escritura tiende a ser más o menos exclusivo de un individuo a otro, una firma presenta pruebas de que la persona nombrada que había creado y/o leído y aceptado el contenido del documento es la misma.Sin embargo, las firmas pueden ser falsificadas (falso). La falsificación es un delito penal, pero contrariamente a la creencia popular, más que la firma de nombre de otra persona por lo general no constituyen la falsificación de la ley. Por ejemplo, una persona legalmente puede dar a otra persona permiso para firmar en su nombre, ya sea manualmente o utilizando un sello de firma o con una máquina, lo que es práctica común en las oficinas de negocios y agencias gubernamentales cuando la persona cuya firma es necesaria en un gran número de documentos y no pueden pasar todo el tiempo necesario para firmar personalmente. Para ser falsificación, la firma de otro nombre por lo general debe hacerse con fines fraudulentos - es decir, para engañar a alguien y/o a expensas de otro (los elementos específicos del delito se establece en los estatutos legales que hacen que sea un delito , y pueden diferir de una jurisdicción a otra).Para verificar que una firma es de hecho realizada por la persona cuyo nombre que representa, la firma puede ser notariada. Un notario público es un funcionario público que esté habilitado por el gobierno para presenciar la firma de los documentos (entre otras cosas) y autenticar la identidad de la persona que firma, por lo general mediante el examen de documentos de identificación como una licencia de conducir, DNI o pasaporte. El notario estampará la firma propia y el sello para verificar que el firmante es quien él/ella dice ser.

Las firmas digitales
En el mundo de TI, tenemos las firmas digitales para servir con un propósito similar, en calidad de evidencia de que un mensaje electrónico o documento ha sido creado o enviado por la persona o entidad a la que parece haber venido o creado. Las firmas digitales pueden ir un paso más adelante y comprobar que el mensaje o documento no se han modificado en modo alguno desde que se firmó.Las firmas digitales han estado con nosotros, al menos en concepto, desde los años 1970 (Diffie y Hellman) y está disponible en el software comercial desde finales de 1980 (Lotus Notes). Ahora las firmas digitales son cada vez más comunes, con muchas agencias gubernamentales que los utilizan para publicar los documentos oficiales, y en muchas jurisdicciones las firmas digitales son jurídicamente vinculantes, al igual que la firma manuscrita. Las firmas digitales utilizan el esquema de un par de claves pública/privada y por lo tanto se basan en una infraestructura de clave pública (PKI) para emitir los certificados digitales que contienen estas claves para la firma de documentos electrónicos. El papel de la entidad emisora ​​de certificados es algo así como la del notario público - que es un tercero de confianza que le da su "sello de aprobación" para el firmante. La clave privada vinculada solamente a esa persona en particular y su uso para firmar el documento indica que la persona, y nadie más, lo hizo con la firma. Los certificados digitales no se utilizan sólo para la identidad de las personas , sino también las máquinas, tales como servidores web.
La clave para confiar en una firma - ya sea manuscrita o electrónica - como una verificación de identidad en su confianza de que el tercero - un notario público o CA - da fe de ello. Si un notario es laxo en exigir documentos de identidad o no sabe cómo determinar si la identificación es válida, la autenticidad de la firma puede ser dudosa. Si los certificados de la CA tienen problemas a quien lo solicite, bajo cualquier nombre, sin ningún tipo de verificación de que el solicitante está utilizando su verdadera identidad, la firma digital no es buena. Los certificados tipo Extended Validation (EV) son mucho más caros que los otros certificados digitales, ya que implican un trasfondo más profundo para comprobar la identidad legal de una entidad. Estos han existido desde 2007, cuando las directrices para la emisión de ellos fueron ratificados, y se utilizan para identificar sitios web seguros.Como la firma manuscrita, la firma de cada individuo debe ser presenciado por el notario. Con la firma electrónica, la autoridad competente emite el certificado y puede ser utilizado para muchas firmas diferentes. Por lo tanto, es imperativo que la clave privada se mantenga en secreto. La clave privada se guarda en un archivo que se puede guardar en el disco duro de una computadora, en una unidad extraíble, como una llave USB o en una tarjeta inteligente.

Más allá de la firma
Debido a que las firmas pueden ser copiadas o falsificadas, algo más a menudo, es necesario probar su identidad al firmar los documentos, siendo esto de especial importancia. Las agencias que emiten las licencias de conducir, algunos bancos y otras entidades puedan tomar una foto de una persona y/o requerir que él o ella proporcionen una huella digital junto con la firma. En el mundo de TI, la autenticación biométrica va más allá de una firma digital, lo que podría ser robado por un pirata informático inteligente. Como ya comentamos en la Parte 1, aunque la biometría no es un método infalible para verificar la identidad, se puede agregar otra capa al proceso de verificación. Si usted posee la clave privada correcta, su huella dactilar coincide con la almacenada para usted en la base de datos, usted conoce la contraseña, y usted es capaz de responder a algún desafío pregunta/respuesta de las preguntas con la información correcta, es muy probable que usted realmente es la persona que dice ser. De este modo, tal y como vemos en una "defensa en profundidad", la solución para la protección de nuestros sistemas de los ataque, la mejor apuesta para la verificación de la identidad es una "autenticación en profundidad" como estrategia. ¿Cuál es el problema con eso? No hay, desde el punto de vista del administrador de seguridad. Pero a los usuarios no les agradará. E incluso nosotros, los profesionales de la seguridad, si somos honestos, puede ser un poco molesto cuando los sitios de banca nos pide que cambiemos nuestras contraseñas, volvamos a introducir el número de teléfono asociado a nuestras cuentas, y el nombre del perro de la tía de nuestro primer novio de antes que nos permiten la entrada para ver nuestros saldos.Un sistema de identidad de una buena gestión debe ser transparente para el usuario, al igual que un buen plan de seguridad global no puede sacrificar la facilidad de uso, o en última instancia, se producirá un error, como Bruce Schneier, dio a entender cuando dijo: "Mientras más seguro lo quiera hacer, se convierte en menos seguro."

Hacia una solución integral de gestión de identidad
Gestión de la identidad es algo más que sólo la autenticación de identidad, aunque la autenticación es un componente importante. El sistema de gestión de la identidad debe primero establecer la identidad de las personas o entidades (como computadoras) y luego usar esa información para controlar el acceso a los recursos del sistema. Suena simple, pero su aplicación efectiva puede ser muy complejo.En mundo de las TI de hoy en día, es todo acerca de EaaS - todo como un Servicio. El sistema de gestión de identidad debe estar integrado para ofrecer los servicios a los usuarios a la perfección, en la demanda, mientras se determina quién tiene acceso a los servicios y en qué grado. Y va en ambos sentidos, los usuarios deben ser capaces de verificar la identidad de los proveedores de servicios.Incluso las redes domésticas de hoy requieren de algún sistema de gestión de identidades. Los controles para padres se basan en la autenticación de identidad para dar a los padres la posibilidad de restringir los juegos que los niños puedan jugar, qué sitios web puedan visitar, cuánto tiempo podrían permanecer en línea, y así sucesivamente.En la Parte 4 de esta serie, vamos a mirar más de cerca los criterios para elegir una solución de gestión de identidad integral de una organización, la gestión de identidad federada, y el efecto de la nube de problemas de identidad en TI. Entonces, brevemente discutir el futuro de la identidad.

Continuará....

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.La cuarta parte se entregará proximamente.

No hay comentarios.: