//
you're reading...
Noticias sobre privacidad y seguridad de la información

Nueva guía de INTECO: “Riesgos y buenas prácticas en autenticación online”


Guia autenticación

27/11/2012

La necesidad de comprobar la identidad de los usuarios es uno de los pilares para la prestación y acceso seguro a servicios de Internet

 El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado la “Guía sobre riesgos y buenas prácticas en autenticación online”  con el objetivo de informar sobre las ventajas de la comprobación y verificación de la identidad de los usuarios y empresas en sus trámites a través Internet (certificados, DNIe, firma electrónica, etc.), identificar los posibles riesgos para la seguridad y la privacidad, y ofrecer una serie de pautas y recomendaciones que sirvan para prevenirlos y mitigarlos.

Desde sus inicios, Internet se sustenta en buena medida en la comprobación de la identidad de sus usuarios. Desde el momento en que se abre una cuenta de correo electrónico o un perfil en una red social, se está creando un espacio restringido al que únicamente el usuario titular del mismo debería acceder. Por ello, es necesario que cada vez que se intenta acceder a los servicios en Internet se compruebe que quien desea hacerlo sea realmente quien dice ser y disponga de los permisos necesarios para ello.

Actualmente ciudadanos y empresas utilizan diferentes métodos de autenticación online, tanto para acceder a espacios y servicios online como para utilizar la firma electrónica ya sea para firmar o para comprobar la firma de algún documento e incluso programas. Esta firma electrónica ya es utilizada por el 40,1% de las empresas, según los últimos datos recogidos por INTECO.

Aunque estos métodos podrían ser muy variados, actualmente hay dos que destacan especialmente, el uso de contraseñas y, en España, el uso del DNI electrónico. Este último ya lo poseen más de 30 millones de ciudadanos, y según los últimos datos es utilizado por un 20,7% de los internautas. A pesar de ello, uno de los campos en desarrollo que más podrían afectar a los métodos de autenticación es la biometría, que permitiría la autenticación a través de las huellas dactilares, el iris o la voz por ejemplo.

Riesgos en la autenticación en Internet

Los principales problemas que pueden ocurrir en un proceso de autenticación son los falsos positivos y los falsos negativos, es decir, que se haga una comprobación de identidad errónea permitiendo el acceso a quien no se debería permitir o bloqueando a quien se debería autorizar.

Uno de los principales riesgos asociados a un mal funcionamiento de los sistemas de autenticación es la suplantación de identidad. El mero hecho de que alguien trate de acceder a un servicio o espacio restringido haciéndose pasar por un usuario legítimo podría considerarse una suplantación, pero esta situación puede ir más allá si además actúa simulando ser otra persona.

Estos y otros problemas pueden derivarse de que el sistema no sea suficientemente seguro, por ejemplo que cuente con un método de autenticación principal bien definido pero que, en caso de situaciones como el olvido de las contraseñas, permita utilizar métodos secundarios poco robustos como contestar preguntas de seguridad de las que cualquier persona cercana conozca las respuestas (nombre de la madre, primer colegio, etc.). Esta alternativa en el método secundario inutiliza todas las medidas de seguridad del método principal.

Pero estos problemas también pueden deberse a errores e imprudencias de los propios usuarios, ya se produzcan por desconocimiento o por exceso de confianza. Por ello esta guía incluye una serie de recomendaciones dirigidas a los usuarios y a los administradores y desarrolladores de sistemas de autenticación.

De entre las recomendaciones para los usuarios destacan la exigencia de complejidad en las contraseñas (8 caracteres como mínimo incluyendo mayúsculas, minúsculas, números y símbolos) y su sustitución con cierta regularidad. Además, se recomienda configurar correctamente las opciones de seguridad que cada servicio ponga a disposición de los usuarios.

Fuente: INTECO

Anuncios

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Estadística del blog

  • 131.059 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
Anuncios
A %d blogueros les gusta esto: