Академический Документы
Профессиональный Документы
Культура Документы
Autenticacin1 o autentificacin2 es el acto de establecimiento o confirmacin de algo (o alguien) como autntico. La autenticacin de un objeto puede significar (pensar) la confirmacin de su procedencia, mientras que la autenticacin de una persona a menudo consiste en verificar su identidad. La autenticacin depende de uno o varios factores.
Definiciones
Autenticacin, autentificacin(no recomendado) o mejor dicho acreditacin, en trminos de seguridad de redes de datos, se puede considerar uno de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada: 1. Autenticacin En la seguridad de ordenador, la autenticacin es el proceso de intento de verificar la identidad digital del remitente de una comunicacin como una peticin para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por s mismo o un programa del ordenador. En un web de confianza, "autenticacin" es un modo de asegurar que los usuarios son quin ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorizacin para hacer as. 2. Autorizacin Proceso por el cual la red de datos autoriza al usuario identificado a acceder a determinados recursos de la misma. 3. Auditora Mediante la cual la red o sistemas asociados registran todos y cada uno de los accesos a los recursos que realiza el usuario autorizados o no. El problema de la autorizacin a menudo, es idntico a la de autenticacin; muchos protocolos de seguridad extensamente adoptados estndar, regulaciones obligatorias, y hasta estatutos estn basados en esta asuncin. Sin embargo, el uso ms exacto describe la autenticacin como el proceso de verificar la identidad de una persona, mientras la autorizacin es el proceso de verificacin que una persona conocida tiene la autoridad para realizar una cierta operacin. La autenticacin, por lo tanto, debe preceder la autorizacin. Para distinguir la autenticacin de la autorizacin de trmino estrechamente relacionada, existen unas notaciones de taquigrafa que son: A1 para la autenticacin y A2 para la autorizacin que de vez en cuando son usadas,tambin existen los trminos AuthN y AuthZ que son usados en algunas comunidades.
Mtodos de autenticacin
Los mtodos de autenticacin estn en funcin de lo que utilizan para la verificacin y estos se dividen en tres categoras: Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP). Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una tarjeta inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle criptogrfico.
Sistemas basados en una caracterstica fsica del usuario o un acto involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de huellas, de patrones oculares.
Caractersticas de autenticacin
Cualquier sistema de identificacin ha de poseer unas determinadas caractersticas para ser viable: Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en los sistemas menos seguros). Econmicamente factible para la organizacin (si su precio es superior al valor de lo que se intenta proteger, tenemos un sistema incorrecto). Soportar con xito cierto tipo de ataques. Ser aceptable para los usuarios, que sern al fin y al cabo quienes lo utilicen.
Control de acceso
Un ejemplo familiar es el control de acceso. Un sistema informtico supuesto para ser utilizado solamente por aquellos autorizados, debe procurar detectar y excluir el desautorizado. El acceso a l por lo tanto es controlado generalmente insistiendo en un procedimiento de la autentificacin para establecer con un cierto grado establecido de confianza la identidad del usuario, por lo tanto concediendo esos privilegios como
puede ser autorizado a esa identidad. Los ejemplos comunes del control de acceso que implican la autenticacin incluyen:
Retirar de dinero de un cajero automtico. Control de un computador remoto sin Internet. Uso de un sistema Internet banking.
Sin embargo, observar que mucha de la discusin sobre estos asuntos es engaosa porque los trminos se utilizan sin la precisin. Parte de esta confusin puede ser debido al tono de la aplicacin de ley de mucha de la discusin. Ninguna computadora, programa de computadora, o poder del usuario de la computadora confirman la identidad de otro partido. No es posible establece o probar una identidad, cualquiera. Hay ediciones difciles que estn al acecho debajo de qu aparece ser una superficie directa. Es solamente posible aplicar una o ms pruebas que, si estn pasadas, se han declarado previamente para ser suficientes proceder. El problema es determinarse qu pruebas son suficientes, y muchos tales son inadecuadas. Tienen sido muchos casos de tales pruebas que son spoofed con xito; tienen por su falta demostrada, ineludible, ser inadecuadas. Mucha gente contina mirando las pruebas -- y la decisin para mirar xito en pasar -como aceptable, y para culpar su falta en sloppiness o incompetencia de parte alguien. El problema es que la prueba fue supuesta para trabajar en la prctica -- no bajo condiciones ideales de ningn sloppiness o incompetencia-y no. Es la prueba que ha fallado en tales casos. Considerar la caja muy comn de un email de la confirmacin a el cual deba ser contestado para activar una cuenta en lnea de una cierta clase. Puesto que el email se puede arreglar fcilmente para ir a o para venir de direcciones falsas y untraceable, ste es justo sobre la menos autenticacin robusta posible. El xito en pasar esta prueba significa poco, sin consideracin alguna hacia sloppiness o incompetencia.
y Autenticacin mediante dos factores "algo que tengo" la llave + "algo que s" un nmero de PIN (token criptogrfico)
Autenticacin triple factor "algo que tengo" el dispositivo criptogrfico + "algo que s" una clave de autenticacin tipo PIN (al token criptogrfico) + "quin soy" la huella dactilar que me permite autenticarme al dispositivo de forma unvoca.
Una combinacin de mtodos se utiliza a veces, ejemplo, una tarjeta de banco y un PIN, en este caso se utiliza el trmino autenticacin de dos factores. Histricamente, las huellas digitales se han utilizado como el mtodo ms autoritario de autenticacin, pero procesos legales recientes en los E.E.U.U. y a otra parte han levantado dudas fundamentales sobre fiabilidad de la huella digital. Otros mtodos biomtricos son prometedores (las exploraciones retinianas y de la huella digital son un ejemplo), pero han demostrado ser fcilmente engaados en la prctica. En un contexto de los datos de la computadora, se han desarrollado protocolos de desafo-respuesta que permiten el acceso si el que se quiere autenticar responde correctamente a un desafo propuesto por el verificador. Hay protocolos desafo-respuesta basados en algoritmos criptogrficos llamndose protocolos criptogrficos de desafo-respuesta. La seguridad de los protocolos criptogrficos de desafo-respuesta se basa en la seguridad de los algoritmos criptogrficos que usa.
Autenticacin
El Authentication fue definido por Arnnei Speiser en 2003 mientras que la Web bas el servicio que proporciona en la autenticacin de usuarios finales que tienen acceso (Login) a un servicio de Internet. La Autenticacin es similar a la verificacin de la tarjeta de crdito para los Web site del eCommerce. La verificacin es hecha por un servicio dedicado que reciba la entrada y vuelva la indicacin del xito o de fallo. Por ejemplo, un usuario final desea entrar en su Web site. l consigue entrar en una pgina Web de la conexin que requiere para acceso, su user-id y una contrasea o a los sitios asegurados y su contrasea a la vez. La informacin se transmite al servicio del eAuthentication como pregunta. Si el servicio vuelve xito, permiten al usuario final entrar en el servicio de esa pgina Web con sus privilegios como usuario.
Para cifrar las claves de acceso de sus usuarios, el sistema operativo Unix emplea un criptosistema irreversible que utiliza la funcin estndar de C crypt, basada en el algoritmo DES. Para una descripcin exhaustiva del funcionamiento de crypt. Esta funcin toma como clave los ocho primeros caracteres de la contrasea elegida por el usuario (si la longitud de sta es menor, se completa con ceros) para cifrar un bloque de texto en claro de 64 bits puestos a cero; para evitar que dos passwords iguales resulten en un mismo texto cifrado, se realiza una permutacin durante el proceso de cifrado elegida de forma automtica y aleatoria para cada usuario, basada en un campo formado por un nmero de 12 bits (con lo que conseguimos 4096 permutaciones diferentes) llamado salt. El cifrado resultante se vuelve a cifrar utilizando la contrasea del usuario de nuevo como clave, y permutando con el mismo salt, repitindose el proceso 25 veces. El bloque cifrado final, de 64 bits, se concatena con dos bits cero, obteniendo 66 bits que se hacen representables en 11 caracteres de 6 bits cada uno y que, junto con el salt, pasan a constituir el campo password del fichero de contraseas, usualmente /etc/passwd. As, los dos primeros caracteres de este campo estarn constituidos por el salt y los 11 restantes por la contrasea cifrada
Shadow Password
Otro mtodo cada da ms utilizado para proteger las contraseas de los usuarios el denominado Shadow Password u oscurecimiento de contraseas. La idea bsica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el fichero donde se almacenan las claves cifradas.
Envejecimiento de contraseas
En casi todas las implementaciones de Shadow Password actuales se suele incluir la implementacin para otro mecanismo de proteccin de las claves denominado envejecimiento de contraseas (Password Aging). La idea bsica de este mecanismo es proteger los passwords de los usuarios dndoles un determinado periodo de vida: una contrasea slo va a ser vlida durante un cierto tiempo, pasado el cual expirar y el usuario deber cambiarla. Realmente, el envejecimiento previene ms que problemas con las claves problemas con la transmisin de stas por la red: cuando conectamos mediante mecanismos como telnet, ftp o rlogin a un sistema Unix, cualquier equipo entre el nuestro y el servidor
puede leer los paquetes que enviamos por la red, incluyendo aquellos que contienen nuestro nombre de usuario y nuestra contrasea.
Otros mtodos
Algo por lo que se ha criticado el esquema de autenticacin de usuarios de Unix es la longitud, para propsitos de alta seguridad, demasiado corta de sus claves; lo que hace aos era poco ms que un planteamiento terico, actualmente es algo factible: sin ni siquiera entrar en temas de hardware dedicado, seguramente demasiado caro para la mayora de atacantes, con un supercomputador es posible romper claves de Unix en menos de dos das. Un mtodo que aumenta la seguridad de nuestras claves frente a ataques de intrusos es el cifrado mediante la funcin conocida como bigcrypt() o crypt16(), que permite longitudes para las claves y los salts ms largas que crypt y sin embargo, aunque se aumenta la seguridad de las claves, el problema que se presenta aqu es la incompatibilidad con las claves del resto de Unices que sigan utilizando crypt; este es un problema comn con otras aproximaciones que tambin se basan en modificar el algoritmo de cifrado, cuando no en utilizar uno nuevo.
PAM
PAM (Pluggable Authentication Module) no es un modelo de autenticacin en s, sino que se trata de un mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes mtodos de autenticacin, tratando de esta forma de solucionar uno de los problemas clsicos de la autenticacin de usuarios: el hecho de que una vez que se ha definido e implantado cierto mecanismo en un entorno, es difcil cambiarlo. Mediante PAM podemos comunicar a nuestra aplicaciones con los mtodos de autenticacin que deseemos de una forma transparente, lo que permite integrar las utilidades de un sistema Unix clsico (login, ftp, telnet...) con esquemas diferentes del habitual password: claves de un solo uso, biomtricos, tarjetas inteligentes... La gran mayora de las aplicaciones de linux usan estos mtodos (PAM) para autenticarse frente al sistema, ya que una aplicacin preparada para PAM (PAM-aware) puede cambiar el mecanismo de autenticacin que usa sin necesidade de recompilar los fuentes. Incluso se puede llegar a cambiar el sistema de autenticacin local sin siquiera tocar las aplicaciones existentes. PAM viene `de serie' en diferentes sistemas Unix, tanto libres como comerciales, y el nivel de abstraccin que proporciona permite cosas tan interesantes como kerberizar nuestra autenticacin (al menos la parte servidora) sin ms que cambiar la configuracin de PAM, que se encuentra bien en el fichero /etc/pam.conf o bien en diferentes archivos dentro del directorio /etc/pam.d/ PAM trabaja con cuatro tipos separados de tareas de administracin: authentication, account, session, y password. La asociacin del esquema de administracin preferido con el comportamiento de la aplicacin se hace mediante archivos de configuracin. Las funciones de administracin las hacen mdulos que se especifican en el archivo de configuracin. Ms adelante se explicara brevemente la sintaxis del archivo de configuracin ya que se va fuera del alcance de este artculo.
Cuando una aplicacin preparada para PAM inicia, se activa su comunicacin con la API de PAM. Entre otras cosas esto fuerza la lectura del archivo de configuracin: /etc/pam.conf. Alternativamente puede ser que se inicie la lectura de los archivos de configuracin bajo /etc/pam.d/ (cuando existe un archivo de configuracin correcto bajo este directorio, se ignora el archivo /etc/pam.conf)
ser). password: este mdulo es requerido para modificar la password del usuario.
session: este mdulo esta asociado con hacer tareas previas y/o posteriores al inicio del servicio mismo (pueden ser cosas como montar un directorio, activar logueos, etc).
El tercer campo control especifica que hacer si falla el control aplicado. Existen dos sintaxis para este campo, una sencilla de un campo y otra que especifica ms de un campo dentro de corchetes rectos [] Para la bsica, las opciones son: required: indica que esta regla debe ser exitosa, de lo contrario el usuario no es autorizado a correr el servicio. Si falla se devuelve el control al programa, pero antes se ejecutan todos los mdulos.
sufficient: Si este mdulo se verifica, entonces (se devuelve) se le da el ok al programa y no se sigue verificando los otros mdulos.
El cuarto campo module-path especifica el path al mdulo PAM asociado con la regla. Los mdulos se encuentran en /lib/security. El quinto campo module-arguments es un conjunto de cero o ms argumentos pasados al mdulo durante su invocacin. Los argumentos varan segn el mdulo. La configuracin de los archivos de configuracin bajo /etc/pam.d/ resulta ser ms flexible (se evita tener una archivo nico enorme). Bajo este directorio se puede encontrar el archivo de confiuracin personal de un servicio particular como ser ssh. La nica diferencia entre la sintaxis del archivo /etc/pam.conf es que no existe el campo service.