Nuevas herramientas para la identidad moderna
27 February, 2015
category: Seguridad en Internet, Seguridad lógica
Técnicas biométricas móviles y adaptativas nos conducen a un futuro más seguro
Por Mark Diodati, director técnico – Oficina de Dirección Tecnológica, PING Identity
¿Percibe usted la aceleración de los cambios en la gestión de identidad? La identidad moderna presenta nuevos retos, especialmente en lo relativo a autenticación de usuario. Dos nuevas tecnologías han llegado para quedarse y ayudar a enfrentar los nuevos desafíos: la autenticación biométrica móvil y adaptativa.
Aquellos buenos tiempos
Ya pasó el tiempo en que se gestionaba el entorno de computación del usuario, que se asemejaba en alguna medida a la postura de seguridad del dispositivo. Las estaciones de trabajo estaban vinculadas a un entorno de Directorio Activo confiable; La política de grupo Windows brindaba una gestión de política centralizada, y en ocasiones, gestión de credencial; las empresas podían activar el software más reciente de escaneado anti-virus con un clic del mouse. Esas herramientas ya no son tan efectivas en esta era de la identidad moderna, que se caracteriza por el acceso de dispositivo en cualquier lugar, categorías ampliadas de usuarios y autenticación delegada.
Acceso de identidad en cualquier lugar mediante dispositivo
Estamos ahora en la era del acceso “con dispositivo desde cualquier lugar”, un término que implica gran heterogeneidad para el entorno de computación del usuario y la topología de la red. El resultado es una pérdida de control. Dispositivos tales como PCs, tabletas y teléfonos inteligentes tienen diferentes sistemas operativos y por tanto, diversas capacidades de seguridad. También tiene importancia la propiedad del dispositivo. Hay una pérdida de control cuando se pasa de laptops de propiedad corporativa a los dispositivos denominados COPE (de propiedad corporativa, pero habilitados para uso personal) o BYOD (“Trae tu propio dispositivo”).
Categorías de socios y consumidores
Las categorías adicionales de usuarios están forzando cambios en la forma en que autenticamos a los usuarios. En los viejos tiempos, las categorías de usuarios con un acceso importante a las aplicaciones incluían a los empleados y quizás a los contratistas. Ahora las empresas tienen que diseñar una estrategia para nuevas categorías, como socios y consumidores, porque estos requieren un mayor acceso a las aplicaciones. Y como se incrementa la “distancia” entre la organización y la categoría de usuarios, hay menos opciones posibles para la autenticación. Las tarjetas inteligentes u otros métodos de autenticación de hardware pueden ser toleradas por sus empleados y contratistas, pero no por sus socios y clientes. Estas nuevas categorías requieren un método apropiado de autenticación que esté en proporción con el incremento en su acceso.
Autenticación delegada
La autenticación delegada nos obliga a pensar fuera del bloque monolítico de autenticación y acceso a las aplicaciones.
En primer lugar, existe la presión por aprovechar los logins de redes sociales para acceder a aplicaciones empresariales. Esto proviene de todas las categorías de usuarios, incluyendo de los empleados. Pero el problema es de “diferencia de impedancias”. Los logins sociales por sí solos no proporcionan suficiente seguridad para el acceso a aplicaciones corporativas, de modo que hace falta algo más para que resulten útiles para las empresas.
En segundo lugar, sus socios y contratistas pudieran estar empleando un sistema de federación para autenticar a sus usuarios para la conexión a sus aplicaciones. Las autenticaciones federadas pueden estar basadas en navegados mediante el uso del protocolo SAML, o basadas en API utilizando OAuth.
Técnicas de autenticación de nueva escuela
Dos técnicas de autenticación relativamente nuevas pueden ayudar a superar los retos de autenticar usuarios en el moderno sector de la identidad: la autenticación adaptativa y la autenticación biométrica móvil local.
Autenticación adaptativa
La autenticación adaptativa – denominada en ocasiones autenticación contextual – es un método pasivo de segundo factor. Su función es reforzar el nivel de seguridad del método primario de autenticación – típicamente contraseñas. En la mayoría de los casos, el usuario no se percata de que se está produciendo una autenticación adaptativa. Se origina desde los sistemas de detección de fraude usados con tarjetas de crédito. Las compañías de tarjetas de crédito contactan al consumidor cuando se produce una actividad inusual que no se corresponde con las transacciones típicas, ya sea por posición geográfica, naturaleza de los artículos comprados o monto de la transacción. Las instituciones financieras comenzaron a utilizar autenticaciones adaptativas comercializadas en el 2005 para reducir el fraude y cumplir con las nuevas directivas del Consejo Federal de Certificación de Instituciones Financieras.
Las instituciones financieras están muy preocupadas con respecto a la experiencia del cliente, y pese a esa preocupación, no han tenido éxito en la usabilidad en sus primeros intentos por hacer que los consumidores estadounidenses utilicen autenticadores de hardware. En cambio, la autenticación adaptativa ocurre en el trasfondo, y los usuarios no se dan cuenta de las técnicas que se aplican.
El sistema examina características del dispositivo, como reconocimiento de huellas digitales, geolocalización y dirección IP para revisarlo en las listas negras. El sistema observa además el comportamiento del usuario, como es el horario del día, el día de la semana, el monto de la transacción y la frecuencia de las transacciones. En base a las características del dispositivo y al comportamiento del usuario, se calcula un puntaje de riesgo.
Dependiendo del puntaje de riesgo, la institución puede autenticar al usuario de otra forma, en lo que se llama autenticación redoblada. La institución puede optar por detener la transacción antes de que avance. Después de un accidentado inicio – con demasiados falsos rechazos que molestaron tanto a los bancos como a los clientes – la autenticación adaptativa se ha generalizado como autenticación de consumidor para las transacciones financieras.
La implantación de la autenticación adaptativa no se quedó solamente en la banca. Los servicios financieros, minoristas y redes sociales utilizan la autenticación adaptativa, en especial las características de los dispositivos.
El “Santo Grial”, que es elevar los niveles de seguridad de los sistemas de autenticación empresarial mediante el método adaptativo, es un proceso constante. Los sistemas de autenticación adaptativa dependen típicamente de las interacciones basadas en navegador, pero las empresas quieren utilizar la identificación del dispositivo para el inicio de sesión del usuario en el Directorio Activo. Dos obstáculos se han interpuesto en este caso de uso: los sistemas de autenticación adaptativa requieren interacción de navegador, y el reto de insertar un sistema de autenticación adaptativa entre la estación de trabajo y el Directorio Activo es desalentador.
Como los usuarios ya no se mantienen conectados en sus estaciones de trabajo, se hace posible la autenticación adaptativa. Al propio tiempo, las tendencias de la nueva escuela de acceso de usuario – dispositivo desde cualquier lugar, categorías de usuario externo y autenticación delegada – hacen que la autenticación adaptativa sea mucho más valiosa para la empresa. El resultado es que la autenticación adaptativa está encontrando el lugar que le corresponde en la federación, la gestión de acceso en la web y las soluciones multifactor.
Autenticación biométrica móvil
Cuando observas las técnicas que constituyen la autenticación adaptativa, es fácil llegar a la conclusión de que la autenticación adaptativa es realmente autenticación biométrica. Después de todo, utiliza atributos de dispositivo y actividad de usuario, y tiene falsos positivos y negativos. Pasemos ahora a otro método que también cambia las reglas del juego: la autenticación biométrica móvil, en la cual la coincidencia biométrica ocurre localmente en el propio dispositivo y no en un servidor remoto.
El teléfono inteligente es muy adecuado para la autenticación biométrica porque posee una variedad de sensores: cámara, micrófono, acelerómetro, pantalla táctil y a menudo un escáner de huellas digitales. El teléfono casi siempre está en la mano del usuario, lo que resuelve un problema común asociado con la autenticación tradicional de hardware.
¿Pero cómo puede resultar útil la autenticación biométrica móvil – algo que ocurre en el dispositivo – para la autenticación en las aplicaciones? Se aplica el estándar de autenticación Fast IDentity Online (FIDO). Uno de los protocolos FIDO es el marco universal de autenticación Universal Authentication Framework (UAF), que ofrece una vía para que la biometría móvil pase a las aplicaciones que utilizan un enfoque basado en estándares. En resumen, una autenticación exitosa en el dispositivo permite que el cliente se autentifique para una aplicación específica mediante tecnología de clave pública.
A diferencia de las tarjetas inteligentes con una serie de claves privadas para diferentes usos, existe una clave privada específica para cada aplicación. O para mayor interoperabilidad, el usuario puede autentificarse para un servicio que entienda el sistema FIDO, en lugar de basarse en una clave privada específica para cada aplicación. Después de una autenticación exitosa, el servicio proporciona credenciales como SAML para sesiones basadas en navegador, o tokens de acceso OAuth para transacciones estilo API.
Conclusión
La proliferación de la autenticación biométrica móvil y la adaptativa es inevitable para enfrentar los retos asociados con la moderna gestión de identidad. De las dos nuevas técnicas de autenticación, la adaptativa será la que estará más presente, porque es un segundo factor. Puede elevar los niveles de seguridad de los métodos primarios de autenticación con una fricción mínima para el usuario. La autenticación biométrica móvil también llegó para quedarse, y puede mejorar la seguridad para todas las categorías de usuarios, incluyendo empleados y consumidores. Con independencia de los métodos de autenticación que estén en juego, estos resultan más valiosos cuando pueden interactuar con credenciales basadas en estándares como SAML y OAuth.