Alternativas y problemas en medios electrónicos

1

Identificar a nuestro cliente

unívocamente

Comprobar que es quien dice ser

Brindar flexibilidad en la operatoria

2

Tipo 1: Algo que sé

Tipo 2: Algo que tengo

Tipo 3: Algo que soy

3

El concepto: Autenticación fuerte

monofactor

Passphrases

Preguntas secretas

Doble clave

Imágenes4

Lo Bueno

Fácil de implementar

Sin mantenimiento

Muy bajo costo

Lo Malo

Recordar múltiples

claves

Reutiliza el mismo factor

Muy susceptible a:

Ingeniería social

Phishing

▪ Segmentado

▪ Por Spam

Troyanos

Usen la imaginación…5

APWG Report© – Marzo 2005 APWG Report© – Diciembre 2005

6

7

8

9

http://71.99.166.51/cgibin/webscr/10

11

12

13

http://www.hispasec.com/laboratorio/troyano_video_en.htm http://descargas.hispasec.com/xss-phishing/phishing_01.sw

f Banbra.DCY

14

troyano_video.swf

troyano_video2.swf

http://www.hack247.co.uk/2006/10/23/social-engineering-at-mcdonalds/

15

Tarjeta de claves

Tarjeta de coordenadas

MachineID fingerprinting

Tokens Virtuales

Tokens por evento

Tokens por tiempo16

Lo Bueno

Buen nivel de protección

Mezcla factores

Difícil de atacar

Ventana de oportunidad

reducida

Relativa resistencia a

ingeniería social y

phishing

Lo Malo

Alto costo

Difícil de implementar

Problema en caso de

pérdida o robo

Puede ser visto como

una incomodidad por el

usuario

17

18

Biometría Física Geometría de la

mano Huella dactilar Iris/Retina

Biometría Dinámica De escritura De voz De tipeo

19

Ojo (Iris)Ojo (Retina)

Huellas dactilares

Geometría de la mano

Escritura y firma

Voz Cara

Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta

Facilidad de uso

Media Baja Alta Alta Alta Alta Alta

Prevención de ataques

Muy alta Muy alta Alta Alta Media Media Media

Aceptación

Media Media Media Alta Muy alta Alta Muy alta

Estabilidad

Alta Alta Alta Media Baja Media Media

Demasiado Intrusivo

Desconfianza en la tecnología

Desconfianza en la empresa

Privacidad

Mitos y leyendas

20

Ventanas de tiempo en OTPs

Re sincronización de tokens

Transmisión no segura

Errores de programación

Parches no aplicados

… y mil opciones más!21

Monitoreo de actividades inusuales (profiling) Limitar las actividades posibles Revisar la implementación del circuito Complementar factores de acuerdo al nivel

de riesgo Ayudar al cliente con su seguridad El problema de la parabólica humana: cuanta

seguridad puedo resistir?22

MultibandaMultifactorMulticanal

23

Concientizar, Concientizar, Concientizar

Autenticar de acuerdo al nivel de riesgo

Demasiado puede ser contraproducente

Si no lo sabe hacer… no lo haga

Cuidado con los costos operativos

Gastar en el cliente puede ser la mejor

inversión24

25