Documentos de Académico
Documentos de Profesional
Documentos de Cultura
https://es.wikipedia.org/wiki/Autenticaci%C3%B3n
Autenticación
Ir a la navegaciónIr a la búsqueda
Índice
[ocultar]
1Definiciones
2Tipos de autenticación
3Características de autenticación
4Mecanismo de autenticación
5Control de acceso
6Autenticación por multifactor
7Autenticación
8Autenticación de usuarios en Unix
o 8.1Autenticación clásica
8.1.1Problemas del modelo clásico
o 8.2Shadow Password
o 8.3Envejecimiento de contraseñas
o 8.4Otros métodos
9PAM
o 9.1Sintaxis del archivo de configuración
10Véase también
11Enlaces externos
12Referencias
Definiciones[editar]
Autenticación, autentificación (palabra preferida por la RAE2) o mejor
dicho acreditación, en términos de seguridad de redes de datos, se puede considerar uno
de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada:
Tipos de autenticación[editar]
Los métodos de autenticación están en función de lo que utilizan para la verificación y
estos se dividen en tres categorías:
Características de autenticación[editar]
Cualquier sistema de identificación ha de poseer unas determinadas
características para ser viable:
Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas
de fallo de en los sistemas menos seguros)....
Económicamente factible para la organización (si su precio es superior al valor
de lo que se intenta proteger, tenemos un sistema incorrecto).
Soportar con éxito cierto tipo de ataques.
Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.
Respuesta inmediata, directa, inteligente, sencilla, ante cada situación.
Mecanismo de autenticación[editar]
Artículo principal: Protocolo de identificación
Control de acceso[editar]
Un ejemplo familiar es el control de acceso. Un sistema informático
supuesto para ser utilizado solamente por aquellos autorizados, debe
procurar detectar y excluir el desautorizado. El acceso a él por lo tanto es
controlado generalmente insistiendo en un procedimiento de la
autentificación para establecer con un cierto grado establecido de
confianza la identidad del usuario, por lo tanto concediendo esos
privilegios como puede ser autorizado a esa identidad. Los ejemplos
comunes del control de acceso que implican la autenticación incluyen:
Autenticación mediante dos factores "algo que tengo" la llave + "algo que sé"
un número de PIN (token criptográfico)
Autenticación triple factor "algo que tengo" el dispositivo criptográfico + "algo
que sé" una clave de autenticación tipo PIN (al token criptográfico) + "quién
soy" la huella dactilar que me permite autenticarme al dispositivo de forma
unívoca.
Autenticación[editar]
El Authentication fue definido por Arnnei Speiser en 2003 mientras
que la Web basó el servicio que proporciona en la autenticación
de usuarios finales que tienen acceso (Login) a un servicio de
Internet. La Autenticación es similar a la verificación de la tarjeta
de crédito para los Web site del eCommerce. La verificación es
hecha por un servicio dedicado que reciba la entrada y vuelva la
indicación del éxito o de fallo. Por ejemplo, un usuario final desea
entrar en su Web site. Él consigue entrar en una página Web de la
conexión que requiere para acceso, su user-id y una contraseña o
a los sitios asegurados y su contraseña a la vez. La información
se transmite al servicio del eAuthentication como pregunta. Si el
servicio vuelve éxito, permiten al usuario final entrar en el servicio
de esa página Web con sus privilegios como usuario.
PAM[editar]
PAM (Pluggable Authentication Module) no es un modelo de
autenticación en sí, sino que se trata de un mecanismo que
proporciona una interfaz entre las aplicaciones de usuario y
diferentes métodos de autenticación, tratando de esta forma de
solucionar uno de los problemas clásicos de la autenticación de
usuarios: el hecho de que una vez que se ha definido e
implantado cierto mecanismo en un entorno, es difícil cambiarlo.
Mediante PAM podemos comunicar a nuestra aplicaciones con los
métodos de autenticación que deseemos de una forma
transparente, lo que permite integrar las utilidades de un sistema
Unix clásico (login, ftp, telnet...) con esquemas diferentes del
habitual password: claves de un solo uso, biométricos, tarjetas
inteligentes...
La gran mayoría de las aplicaciones de linux usan estos métodos
(PAM) para autenticarse frente al sistema, ya que una aplicación
preparada para PAM (PAM-aware) puede cambiar el mecanismo
de autenticación que usa sin necesidade de recompilar los
fuentes. Incluso se puede llegar a cambiar el sistema de
autenticación local sin siquiera tocar las aplicaciones existentes.
PAM viene `de serie' en diferentes sistemas Unix, tanto libres
como comerciales, y el nivel de abstracción que proporciona
permite cosas tan interesantes como kerberizar nuestra
autenticación (al menos la parte servidora) sin más que cambiar la
configuración de PAM, que se encuentra bien en el fichero
/etc/pam.conf o bien en diferentes archivos dentro del directorio
/etc/pam.d/
PAM trabaja con cuatro tipos separados de tareas de
administración: authentication, account, session, y password. La
asociación del esquema de administración preferido con el
comportamiento de la aplicación se hace mediante archivos de
configuración. Las funciones de administración las hacen módulos
que se especifican en el archivo de configuración. Más adelante
se explicara brevemente la sintaxis del archivo de configuración
ya que se va fuera del alcance de este artículo.
Cuando una aplicación preparada para PAM inicia, se activa su
comunicación con la API de PAM. Entre otras cosas esto fuerza la
lectura del archivo de configuración: /etc/pam.conf.
Alternativamente puede ser que se inicie la lectura de los archivos
de configuración bajo /etc/pam.d/ (cuando existe un archivo de
configuración correcto bajo este directorio, se ignora el archivo
/etc/pam.conf)
Sintaxis del archivo de configuración[editar]
El archivo (/etc/pam.conf) está formado por una lista de reglas
(típicamente una por línea). Cada regla es un conjunto de campos
separados por espacios (los tres primeros son case-sensitives):
service type control module-path module-arguments
La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no
existe el campo "service". En este caso "service" es el nombre del
archivo en el directorio /etc/pam.d/ (el nombre del archivo debe
estar en minúsculas) Usualmente service es el nombre del
servicio o aplicación comúnmente usado, ejemplo de esto son
login, su y ssh.
type especifica a que grupo de administración está asociada la
regla. Las entradas válidas son:
session: este módulo está asociado con hacer tareas previas y/o posteriores al
inicio del servicio mismo (pueden ser cosas como montar un directorio, activar
logueos, etc).
El tercer campo control especifica que hacer si
falla el control aplicado. Existen dos sintaxis para
este campo, una sencilla de un campo y otra que
especifica más de un campo dentro de corchetes
rectos [] Para la básica, las opciones son:
required: indica que esta regla debe ser exitosa, de lo contrario el usuario no
es autorizado a correr el servicio. Si falla se devuelve el control al programa,
pero antes se ejecutan todos los módulos.
C:\Users\RINO\Downloads\LIBROS DE AUTENTICACION\fsi---iaa.pdf
https://sites.google.com/site/albertolinares2smr/1-conceptos-basicos-de-seguridad-
informatica
http://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp
AUTENTICACIÓN DE USUARIOS
Definición
Autenticación es el proceso que debe seguir un usuario para tener acceso a los recursos de
un sistema o de una red de computadores. Este proceso implica identificación (decirle al
sistema quién es) y autenticación (demostrar que el usuario es quien dice ser). La
autenticación por sí sola no verifica derechos de acceso del usuario; estos se confirman en
el proceso de autorización.
En general, la seguridad de las redes de datos requiere para conceder acceso a los servicios de la
red, tres procesos: (1) autenticación, (2) autorización y (3) registro.
Autenticación: el proceso por el cual el usuario se identifica en forma inequívoca; es decir, sin
duda o equivocación de que es quien dice ser.
Autorización: el proceso por el cual la red de datos autoriza al usuario identificado a acceder
a determinados recursos de la misma.
Registro: el proceso mediante el cual la red registra todos y cada uno de los accesos a los
recursos que realiza el usuario, autorizado o no.
Estos tres procesos se conocen por las siglas en inglés como AAA, o Authentication, Authorization, y
Accounting.
Tipos de autenticación
De lo anterior se deduce que la autenticación involucra aspectos físicos y lógicos relacionados con el
acceso, la utilización y la modificación de los recursos de la red o sistema. Autenticación física La
autenticación física se basa en algún objeto físico que posee el usuario, o en alguna característica
física del usuario; en tal caso utiliza algún tipo de mecanismo biométrico. La información capturada en
el proceso de autenticación, pasa al proceso de autorización realizado por personas, dispositivos
electrónicos de seguridad o sistemas de seguridad informática. Autenticación lógica La autenticación
lógica puede utilizarse para identificar personas o sistemas y se basa en información que sólo conoce
el usuario. La autenticación y autorización las realiza software especializado.
Si se combinan dos o más métodos de autenticación, esta se denomina autenticación múltiple (multi-
factor authentication) y es una autenticación más segura. Por ejemplo, autenticación doble si el
usuario debe presentar dos tipos de identificación, una física (una tarjeta) y la otra algo que el usuario
ha memorizado como una clave de seguridad o un número de identificación personal (PIN—Personal
Identification Number). Este es el caso de una tarjeta bancaria que se utiliza con un cajero automático
(ATM—Automatic Teller Machine). Más aún, algunos sistemas utilizan autenticación triple (con tres
factores): un objeto físico, una contraseña y algún dato biométrico como la huella digital.
http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/212
https://www.securityartwork.es/2010/03/24/owasp-top-10-iii-perdida-de-
autenticacion-y-gestion-de-sesiones/
OWASP TOP 10 (III): Pérdida de
autenticación y Gestión de Sesiones
24 de marzo de 2010 by David Monteagudo
Tras los dos artículos previos sobre el TOP 10 de OWASP, en esta ocasión el
artículo del top 10 del catálogo de vulnerabilidades de OWASP del año 2010 se
basa en la vulnerabilidad conocida como pérdida de autenticación y gestión de
sesiones. Esta vulnerabilidad, desde mi punto de vista, demuestra lo poco que
suele preocupar la seguridad a los usuarios. Aunque en la primera clasificación
del año 2004 estaba situada como la tercera más encontrada, en la
clasificación el año 2007 destacaba por haber descendido hasta el séptimo
puesto. Sin embargo, tres años después, en esta nueva clasificación, se vuelve
a observar un repunte en la localización de este tipo de vulnerabilidades que la
vuelve a colocar en la tercera posición dejando como anécdota la anterior
mejora.
Las vulnerabilidades relacionadas con la pérdida de autenticación y gestión de
sesiones son críticas en la seguridad de las aplicaciones y en especial de las
aplicaciones WEB, ya que permiten a un atacante suplantar la información de
un determinado usuario, pudiendo llegar a obtener una cuenta de
administración que le permita sabotear los controles de autorización y registro
de la aplicación. Esta situación podría ocasionar un acceso no autorizado a
cualquier tipo de información que se encuentre almacenada en el servidor o los
servicios que han sido comprometidos.
Existen multitud de situaciones en las que nos podemos encontrar ante una
aplicación vulnerable a este tipo de ataque, pero la mayor parte de las veces se
encuentran en la gestión de las contraseñas, la expiración de sesiones o el
proceso de cierre de sesión. Además, debe prestarse especial atención a las
procesos que permiten la recuperación de los valores del usuario de forma
automática como pueden ser los servicios de pregunta secreta, de
actualización de cuenta o de “Recordar contraseña”.
De nuevo, igual que ocurría en la vulnerabilidad explicada en el primer post de
la serie de inyecciones, hay multitud de ejemplos que podrían demostrar el uso
de esta vulnerabilidad, por lo que vamos a introducir únicamente un grupo
reducido de ejemplos que permitan ilustrar la situación, y en caso de que sea
necesaria alguna aclaración sobre cualquiera de los aspectos no considerados
esperamos que nos lo hagan saber a través de los comentarios.
Veamos el siguiente ejemplo como demostración del tipo de situaciones en las
que podemos encontrar un ataque de este tipo: sea una aplicación que dispone
de un frontal web en el que un usuario autenticado puede consultar una serie
de artículos de una determinada categoría. Navegando por cada uno de los
artículos accede a uno que le interesa y que quiere compartir con sus amigos,
por lo que accede a la url que tiene en su navegador del tipo:
http://owasp.s2grupo.es/catalog/product.jsp;jsessionid=c2VjdXJpdHlhcnR3b3Jr?article
=815
A continuación cierra su navegador y postea en una red social este enlace para
que todos puedan acceder a este curioso artículo. Como el servidor en el que
se encuentra el artículo no cierra la sesión del usuario salvo que sea por
petición de éste, cualquiera de sus “amigos” que acceda a dicho enlace
aparecerá registrado en la aplicación como el usuario autenticado con el
consecuente acceso a sus datos.
Del mismo modo, es posible encontrar un ejemplo de autenticación realizada a
través de medios no confiables. Pensemos que esta misma aplicación utiliza un
servicio de autenticación seguro a través de https. De esta forma, la
comunicación viaja cifrada y no es posible interceptar el tráfico para capturar la
contraseña del usuario. Como sucede en muchas páginas, el proceso de
autenticación proporciona la posibilidad de “recordar” al usuario al marcar
un check, de forma que se almacena en local una cookie de la página con el
nombre de usuario y contraseña introducidos en el formulario de autenticación.
https://owasp.s2grupo.es/catalog/login.jsp?username=owasp&pass=owasp123