Autenticación

En futuras entradas, vamos a utilizar a los siguientes personajes para explicar como se establece comunicación entre partes:

Ana & Juan - Chicos buenos
Eva - Chismosa pasiva
María - Chismosa activa
Tomas - Ana & Juan confían en él

Autenticación

Nos permite verificar la identidad de una persona ante un sistema computacional. Para esto es necesario asegurar que la comunicación entre Ana & Juan es verificada sin que terceras partes (Eva o María) sustituyan la identidad de alguno. Básicamente podemos clasificar a las formas genéricas en tres:

- Algo que “Sabes” (por ejemplo, contraseñas).
- Algo que “Tienes” (por ejemplo, token).
- Algo que “Eres” (por ejemplo, biométricos).

Algo que “Sabes”

El ejemplo clásico son las “Contraseñas”: Son fáciles de implementar ya que su uso generalizado permite a las personas entender su utilización. En contra pueden darse a conocer si tienen pocos caracteres o si son utilizados en muchos sitios y alguno de ellos es comprometido.

Algo que “Tienes”

Esta forma permite generar información dinámica con respecto a un elemento al que se tiene acceso, por ejemplo un mensaje SMS enviado al teléfono celular, también se tienen tokens digitales, “Smart Cards” o aplicaciones generadoras de PIN. Esto permite incrementar la dificultad para que un atacante sea autentificado.

Algo que “Eres”

Existen varios métodos que permiten identificar a un usuario por medio de los parámetros biométricos que son parte de la persona, por ejemplo un escáner retinal, detector de huellas dactilares o reconocimiento facial, entre otros. Aquí se tiene como principal ventaja el hecho de incrementar la seguridad del sistema; por otro lado, los datos obtenidos puede generar un alto número de falsos positivos, así como gozar de menor popularidad entre usuarios cuando tienden a ser muy intrusivos (escáner de iris).

Es importante recordar los siguientes casos:

- Falso Positivo: Un usuario auténtico es rechazado como tal.
- Falso Negativo: Un impostor es autentificado.

Notas importantes

Diferentes formas genéricas de autenticación pueden ser utilizadas al mismo tiempo para aumentar la seguridad del sistema. También se debe considerar al tipo de usuario que se quiere autorizar, si es persona a computadora ó entre computadoras. Esto nos permite diferenciar tres tipos:

- Clientes: Un servidor verifica el identificador del cliente
- Servidores: Un cliente verifica el identificador del servidor
- Mutua: Ambas partes verifican la autenticidad del otro.

Una vez que el usuario a sido autentificado, se le considera “Principal”.