Documentos de Académico
Documentos de Profesional
Documentos de Cultura
autenticacin de usuarios
proceso mediante el cual alguien prueba su identidad!
autenticacin de datos
proceso mediante el cual se prueba la integridad de los datos!
0os centraremos en la autenticacin de usuarios
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 4
%! Introduccin
'eleccionar un buen mecanismo de autenticacin no es
trivial/
basada en usuario"contrase1a
basada en to2ens
!!!
4l mecanimo m5s e.tendido/ usuario/contrasea!
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 5
%! Introduccin
4n adelante, al -ablar del sistema de autenticacin, nos
centraremos en/
autenticacin de usuarios basada en formularios
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 6
1! De)iciencias * Ata+ues
1!1 6ugas de in)ormacin
1!$ Debilidad de los campos del )ormulario de autenticacin
1!# De)iciencias de las )uncionalidades 7e.tras8
1!9 De)iciencias en el sistema de gestin de sesiones
1!& Validaciones de)icientes de los datos de 4"'
1!: De)iciencias en la recogida de datos
1!; De)iciencias de con)iguracin
1!8 De)iciencias en las relaciones de con)ianza
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 7
1! De)iciencias * Ata+ues
1!1 6ugas de in)ormacin
=ebs personales
4tc!
Veamos un e<emplo!!!
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 8
1! De)iciencias * Ata+ues
1!1 6ugas de in)ormacin
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 9
1! De)iciencias * Ata+ues
1!1 6ugas de in)ormacin
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 10
1! De)iciencias * Ata+ues
1!1 6ugas de in)ormacin
>osibilita/
4numeracin de usuarios
>ermite obtener identi)icadores v5lidos de usuario Do'
>assword crac2ing
>or )uerza bruta
Basado en diccionarios
4numeracin de usuarios
>assword crac2ing
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 12
1! De)iciencias * Ata+ues
1!# De)iciencias de las )uncionalidades 7e.tras8
Debilidades en los procesos de/
,egistro
Alta de usuarios
Modi)icacin de datos
Modi)icacin de password o datos de registro
,ecuperacin de contrase1as
Implementacin del sistema C?lvid su contrase1aD
?tros
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 13
1! De)iciencias * Ata+ues
1!# De)iciencias de las )uncionalidades 7e.tras8
(aso de e<emplo E >roceso de recuperacin de contrase1as
Identi)icacin en persona
Di)cil de llevar a cabo
Identi)icacin va )a.
0o se dispone de in)ormacin con la +ue comparar
4Fmail
(ontrase1as +ue no caducan, correo compartido, envo 7no seguro8, !!!
>regunta respuesta
0Gmero de preguntasD Di)icultad a la -ora de seleccionar preguntas
M3todos -bridos
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 14
1! De)iciencias * Ata+ues
1!# De)iciencias de las )uncionalidades 7e.tras8
>osibilita/
4numeracin de usuarios
>assword (rac2ing
?btencin de contrase1as
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 15
1! De)iciencias * Ata+ues
1!9 De)iciencias en el sistema de gestin de sesiones
Intercepcin
>rediccin
6uerza bruta
6i<acin de ID
Manipulacin de ID
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 16
1! De)iciencias * Ata+ues
1!9 De)iciencias en el sistema de gestin de sesiones
(aso de e<emplo E 6i<acin de ID
1! Heneracin de ID
4l atacante obtiene un ID Jse autentica contra la aplicacinK o utiliza uno
aleatorio! 4n algunos casos re+uiere mantener la sesin 7viva8
$! 6i<acin de ID
4l atacante necesita introducir el ID generado en el navegador del
usuario vctima
#! ,obo de sesin
4l atacante espera a +ue la vctima inicie sesin con el ID )i<ado a
continuacin entra en su sesin
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 17
1! De)iciencias * Ata+ues
1!9 De)iciencias en el sistema de gestin de sesiones
(aso de e<emplo E 6i<acin de ID
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 18
1! De)iciencias * Ata+ues
1!9 De)iciencias en el sistema de gestin de sesiones
(aso de e<emplo E Manipulacin de ID
Introduciendo un >L>'4''ID e.cesivamente largo!!!
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 19
1! De)iciencias * Ata+ues
1!& Validaciones de)icientes de los datos de 4"'
6iltro ine.istente"de)iciente de validacin de los datos de
4"' de la aplicacin
>osibilita/
Manipulacin de par5metros
4vasin de la autenticacin! 4scalar privilegios!
!!!
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 20
1! De)iciencias * Ata+ues
1!& Validaciones de)icientes de los datos de 4"'
(aso de e<emplo E In*eccin de cdigo 'MA
4vadir la autenticacin
Lacer +ue las condiciones especi)icadas en la cl5usula =L4,4 se
cumplan
'ni))ing
>-is-ing
'uplantacin de personalidad
4ntre servicios
>or e<emplo, la comparticin de cuentas de usuario
@suarios * su entorno
4.iste la posibilidad de atacar directamente al usuario *"o su entorno
J)sico"personalK aplicando t3cnicas de ingeniera social
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 28
1! De)iciencias * Ata+ues
1!8 De)iciencias en las relaciones de con)ianza
>osibilita/
,eutilizacin de credenciales
'i se dispone de una cuenta en un servidor 6I>, puede ser utilizada para
acceder a otros servicios Jp!e! (orreoK
Ata+ues colaterales
'i en la aplicacin no se detectan de)iciencias, +uiz5s sea )actible
e.plotar alguna vulnerabilidad de la m5+uina en la +ue reside o en otras
en las +ue con)a
Ingeniera social
Aprovec-arse de la ingenuidad de los usuarios *"o personal relacionado
con ellos para obtener sus credenciales
Visitar el entorno del usuario
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 29
$! Medidas de >roteccin
$!1 Impedir ata+ues autom5ticos
Jenumeracin usuarios, password crac2ing, etc!K
'olucin 1/ @tilizar oneFtimeFlogins *"o oneFtimeFpasswords
4<emplo/
'upongamos +ue un usuario tiene como password/ <$asT?>!9w
4n lugar de solicitar el password, la aplicacin podra preguntar/
C1U, 9U, $U, :U, #U, 8U, VU * 1%U caracter del passwordD
R -acer +ue la posicin +ue solicita )uera aleatoria
Inseguridad de los sistemas de autenticacin
en aplicaciones web
18"#"$%%& 'lide 30
$! Medidas de >roteccin
$!1 Impedir ata+ues autom5ticos
Jenumeracin usuarios, password crac2ing, etc!K
'olucin $/ @tilizar (A>I(LA
>rograma +ue puede generar tests +ue/