La inseguridad de la información está presente en todos los sectores de las tecnologías que manejan la información de manera electrónica, el listado de amenazas lo encabezan los virus, elemento potencialmente dañino en lo que respecta al robo de la información.
Por Osvaldo Callegari*
En la actualidad las personas conservan una particular inocencia respecto del uso personal de la información. Es por ello que existen herramientas para aumentar la seguridad cuando uno viaja o se traslada de un lugar a otro.
ePass es un dispositivo de autenticación de usuarios y portabilidad de certificados digitales, plug and play, ligero, portátil, pequeño, que provee la mejor seguridad al menor costo y que se conecta al puerto USB (Universal Serial Bus) de cualquier PC. Para trabajar con éste no se requiere ninguna fuente de energía adicional, ni lectora, ni ningún otro tipo de dispositivo.
Dispositivo ePass
El ePass Token USB soporta un procedimiento de seguridad de Autenticación a través de 2 factores: “el ePass” algo que el usuario tiene y “la contraseña” algo que el usuario conoce y necesita, para tener acceso a cualquier aplicación, certificado digital o sistema que esté validado a través del dispositivo.
Las aplicaciones pueden beneficiarse del chip que contiene internamente, proveyendo un mecanismo robusto para los servicios de autenticación. Este modelo de autenticación “challenge/response” es más seguro que el modelo tradicional de “usuario y password” porque en el modelo de challenge/response se utiliza el “secreto compartido” y el mismo nunca se expone durante el proceso de autenticación.
Como se define el concepto de “secreto compartido”:
En este esquema, ambas partes (el que valida la autenticación y el que desea autenticarse) comparten un secreto en común, por ejemplo una situación conocida por las dos partes, pero que nunca se expone. La gran diferencia con la autenticación tradicional por contraseña es que la misma es expuesta al solicitarle al usuario ingresarla, y dicha entrada es comparada en una base de datos para corroborar su autenticidad.
Con el concepto del Secreto Compartido en este esquema la contraseña nunca es solicitada. En cambio, se realiza algún procesamiento con la contraseña y lo que se transmite es el resultado de haber realizado ese procesamiento. De hecho, la respuesta enviada puede nunca ser igual a una enviada anteriormente.
Por su parte, la aplicación realiza el mismo procesamiento con la clave que conoce (ya que la clave es compartida), y compara el resultado que obtuvo con el resultado que le envió el cliente.
Por ejemplo, supongamos que dos personas quieren confirmar que se conocen por haberse encontrado en alguna ocasión en determinado lugar. En este caso, lo que comparten ambas personas es el hecho de haber estado en el mismo lugar. Si la persona “A” quiere corroborar que conoce a la persona “B” de ese lugar particular, podría preguntarle varios detalles diferentes del momento en el que se conocieron, en lugar de preguntarle directamente “¿de dónde te conozco?”. De esta manera, podría preguntarle en que mesa se sentaron, que pidieron para tomar, quién los atendió, como estaba vestido, que hora era, etc. Este proceso de autenticación es siempre distinto, debido a que las respuestas son distintas cada vez, pero se asocian a un mismo secreto compartido que actúa como semilla de todo este proceso de validación.
ePass es una solución orientada en el almacenamiento de forma segura la información sensible, como por ejemplo:
-Credenciales para el Homebanking
-Certificados digitales
-Claves privadas
-Contraseñas
-Números de tarjeta de crédito y otras credenciales privadas
Todo es guardado en forma segura y conveniente en el ePass Token USB y puede ser transportado en un llavero a donde vaya.
Aplicaciones en las que intervienen ePass 2000
1. Seguridad en la PC y en la red a través del smartcard logon de Windows 2000, Windows Server 2003 y Windows Server 2008.
2. Firma y encripción de email con Microsoft Outlook / Outlook Express, Windows Mail, Mozilla ThunderBird, Mozilla Firefox, Internet Explorer y Netscape Messenger, etc.
3. SSL acceso seguro a la Web a través de Microsoft Internet Explorer, Netscape Navigator y Mozilla Firefox, etc.
4. Compatibilidad PKI con Windows 98 en adelante incluido Windows 7, Microsoft Internet Explorer, Mozilla Firefox y Netscape Communicator, etc.
5. Network Logon Seguro.
6. Seguridad en la comunicaciones vía email.
7. Autenticación Remota Segura vía Servidor RAS.
8. Acceso Remoto seguro vía terminal Server y remote desktop
9. Acceso seguro a VPN Microsoft, Checkpoint, Cisco, Fortinet, Astaro, OpenVPN, Sonicwall entre otras.
10. Acceso seguro a través de SSLVPN con Checkpoint, Cisco, Fortinet, Watchguard, entre otras.
11. Acceso Seguro para Extranet e Intranet.
12. Seguridad en su PC (encriptado de archivos & carpetas – protección de booteo).
Aplicaciones E-Business
1. Aplicaciones para HomeBanking
2. Transacciones B2B, B2C
3. Transacciones Seguras para Agentes y operadores de Bolsa de Valores
4. Transacciones Seguras para productores de seguros
5. Cuidado de la Salud - HIPAA
6. Proveedores de Aplicaciones de Servicios (ASP)
7. Suscripciones On-line para revistas y periódicos
8. Cobranzas: Tele-ticket, peajes y estacionamiento
9. Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, Identificación Militar y más
Características del ePass 2000
La Generación On board de claves y certificados digitales es altamente segura. ePass2000 usa tecnología smartcard para permitir la generación de claves públicas y privadas dentro del hardware. Las claves privadas nunca son expuestas al ambiente hostil de la PC.
1. Es Plug and Play, portátil ya que puede ser transportado en un llavero, simplemente desconéctelo del puerto USB y llévese consigo la información critica y sus credenciales.
2. Almacenamiento seguro: en el almacenamiento de datos personales y certificados digitales y credenciales. Los mismos no deben ser guardados en el ambiente inseguro de la PC.
3 El sistema operativo y los mecanismos de autenticación que posee, determina que los datos personales y las credenciales privadas sean almacenadas dentro del dispositivo en forma segura, lejos del alcance de hackers, virus y otras amenazas.
4. Bajo costo: puede ser usado para reemplazar smartcards en las aplicaciones PKI existentes, con una ventaja diferencial: no requiere de ningún tipo de lectora (smartcard Reader).
5. Facilidad de uso: Interfase en castellano. No se requiere ningún desarrollo especial o integración compleja para que interactue con Internet Explorer, Outlook, Outlook Express, Mozilla ThunderBird, Mozilla Firefox, y Netscape Communicator.
6. Fácil de integrar: La integración no requiere ningún desarrollo, configuración ni instalación especial, soporta aplicaciones a través de los estándares MS CAPI, PKCS #11 así como también a las aplicaciones compatibles con PC/SC.
7. Multi-uso: puede ser configurado para soportar múltiples claves y aplicaciones.
8. Dos factores de autenticación: la seguridad puede ser incrementada al requerirle al usuario ingresar un PIN de autenticación cuando necesite acceder al dispositivo. El pin representa lo que conozco (password) y el ePass lo que poseo, a esto lo denominamos autenticación de doble factor.
9. Administración de password: puede almacenar muchas passwords; el usuario solo necesita recordar el PIN de autenticación al dispositivo.
Cuando uno se adentra en los conceptos de encriptación suele ser engorrosa su conceptualidad, así que trataremos de utilizar términos simples para la sencillez de su entendimiento.
Truecrypt
Truecrypt es una aplicación que le permite al usuario crear volúmenes virtuales encriptados, los cuales pueden ser usados como si fueran unidades físicas reales pero con la posibilidad de transportarlos fácilmente. Por otro lado permite la encripción de dispositivos y unidades físicas tales como un disco duro o una memoria flash USB.
Estos procesos se realizan “On-the-fly” esto quiere decir que los procesos de encripción y desencripción se realizan en forma automática en un segundo plano sin intervención del usuario.
Los información almacenada en un volumen cifrado puede ser leída (desencriptando los mismos) solo con la “password/Keyfile”.
Además de la contraseña, está la opción de utilizar un “keyfile” archivo de llaves es decir seleccionar uno de los miles de archivos que hay en el equipo como segunda contraseña. Si archivo y contraseña coinciden, el volumen se monta y queda disponible como una unidad de disco estándar. Es importante tener presente que este archivo debe ser inmutable. Si su contenido cambia, TrueCrypt no lo reconocerá como el "archivo llave" correcto y negará el acceso al volumen cifrado.
Todo el sistema de archivos está codificado (por ejemplo, nombres de archivos, carpetas, el contenido de cada archivo, espacio libre, meta datos, etc.).
Los archivos se pueden copiar de un volumen de TrueCrypt montado igual que se copian desde cualquier disco normal (por ejemplo, arrastrar y soltar). Los archivos son automáticamente desencriptados sobre la marcha (en la memoria / RAM), mientras que se está leyendo o copiando de un volumen encriptado por TrueCrypt.
Del mismo modo, los archivos que se escriben o copian en el volumen de TrueCrypt son automáticamente encriptados sobre la marcha (antes de que se escriban en el disco) en la memoria RAM.
Usted como usuario puede sufrir el robo de un computador personal, el acceso a los datos sensibles de su PC esta garantizado por el sistema de encriptación utilizado TrueCrypt con ePass, esta solución es robusta en su doble combinación.
Desde hace tiempo el segmento de identificación personal en la industria de la seguridad ha tratado de mejorar el uso del identificador y la contraseña como medio de autenticación del usuario en un servicio TI.
Los problemas de la gestión de los sistemas basados en contraseña, sus debilidades, y las formas (ahora) clásico de atacar o destruir, están bien documentados y no necesitan ser considerados aquí.
Se dice a menudo que las medidas de autenticación simple deben ser reforzadas y se refieren a la autenticación de factores múltiples, basados en:
La introducción de técnicas avanzadas de seguridad tales como criptografía de clave pública (más conocida como PKI - Infraestructura de clave pública) la cual ha incrementado la necesidad de almacenar información secreta (clave privada), dado que un usuario no podía recordar una contraseña al azar, reconstruir una cadena de un largo, RSA 2048 requeriría recordar tan sólo 256 caracteres del valor de la información.
El rápido aumento en el fraude y en particular el de tarjeta de crédito, promete una ampliación de métodos de seguridad para un mayor número de tarjetas de banda magnética y más oferta de la firma manuscrita digital. Esto se ha visto en muchas tarjetas chip emisores o tarjetas inteligentes, que requieren una contraseña (comúnmente un PIN de cuatro dígitos) antes de que puedan ser utilizados.
Para mayor información sobre encriptación puede visitar www.macroseguridad.org o www.articsoft.com
Los datos de productos y marcas son marcas y productos registrados de sus propias empresas.
*Para ampliar información sobre el reciente artículo puede escribirle al autor a [email protected]
Deje su comentario