UNIVERSIDAD AUTÓNOMA DE NUEVO LEÓN

Facultad de Contaduría Publica y Administración

Semestre: Agosto – Diciembre 2020

Autenticación, Autorización y Registro de

Docente: Jaqueline del Carmen Sánchez Sánchez
Usuarios
Carrera: Licenciado en Tecnologías de la Información

EQUIPO 6
1735078 Cruz Félix Jesús Oziel
1738470 Cruz Martínez Jesús Heli
1806370 Obregón Martínez Benito Adrián
1817842 Saucedo Ramírez Ana Patricia
1794438 Solis Olvera Jocelyn Esmeralda
1723746 Yerena Nuncio Mario Alan GRUPO: 77
Materia: Tecnologías de información VII
1809006 Yeverino Nava José Luis Fecha de entrega: 16- octubre.2020
Semestre: Agosto- Diciembre 2020
 10.1 MODELO DE SEGURIDAD AAA (AUTENTICACIÓN, AUTORIZACIÓN
Y CONTABILIDAD)
 Este modelo es utilizado para poder identificar a los usuarios y controlar su acceso a los distintos
recursos que tenga un sistema informático, registrando además como se utilizan dichos recursos.
Cuenta con tres elementos fundamentales:

• La identificación es el proceso cuando el usuario presenta

Identificación y autentificación
una identidad para acceder a un sistema, mientras que la
de los usuarios autenticación permite validar la identidad del usuario.

• Se debe tener en los recursos del sistema informático:

Control del acceso equipos, aplicaciones, servicios y datos, en función de las
políticas establecidas en la organización

• Esto se hace por parte del usuario y las aplicaciones, usando

Registro del uso de los recursos “logs” (registros de actividad) del sistema.
Cabe destacar que también se puede aplicar el proceso de autenticación para la validación de la identidad
de un dispositivo hardware o de una aplicación o servicio software.

A continuación se muestra la figura del Modelo AAA

Identificación y
Autenticación

Modelo
Modelo
Control de
AAA
AAA Registro
acceso del acceso
10.2 Control de
acceso
(Seguridad lógica)
Usuario

Contraseña
Acceso concedido
Control de acceso.
Mediante él se implementan las medidas implementadas por
la organización, teniendo en cuenta las restricciones a:
Acceso a aplicaciones
Datos del sistema
Servicios ofrecidos
Otros recursos
Modelo de seguridad
Es aplicado en los sistemas operativos , y se basa en la definición
y gestión de:

 Objetos lógicos(dispositivos lógicos, ficheros, servicios)

 Sujetos(usuarios y grupos, procesos, roles)

Sujetos a los que se les conceden derechos y privilegios

para realizar determinadas operaciones sobre los objetos
Dos tipos de control de acceso
Control de Acceso Obligatorio(MAC): los permisos de acceso
son definidos por el sistema.

Control de Acceso Discrecional (DAC): los permisos de

acceso los controla y configura el propietario de cada objeto.
Lista de Control de Accesos.
Con la que se define la lista de sujetos que pueden acceder a cada
objeto del sistema.

De este modo es posible contemplar restricciones de acceso como:

En función de la identidad del sujeto (usuario o proceso)
En función del horario y/o ubicación

Así mismo en los sistemas gráficos se pueden establecer limitaciones de

interfaz de usuario en aplicaciones.
Ejemplo
En sistemas antiguos como MS-DOS o las redes Windows 95/98,
recurrían a la estrategia de control de acceso basado en contraseñas:

Cada recurso del sistema (fichero, carpeta compartida o unidad de red),

solo se protegía de la contraseña, con lo cual cualquier usuario que
tuviera conocimiento de la misma. Lo que dificultaba implantar una
adecuada gestión de seguridad lógica en el sistema, ya que no se
identifica directamente al usuario o proceso.
 10.3
IDENTIFICACIÓ
z
N DE USUARIOS
 z

IDENTIFICACIÓN DE USUARIOS

Podemos definir la identidad de un individuo (Usuario del

sistema informático) como el conjunto de cualidades únicas e
irrepetibles que lo permiten distinguir de otros.
 z
TIPO DE IDENTIFICAOORES
 Los identificadores de los usuarios
pueden ser intrínsecos, cuando
dependen únicamente de la
naturaleza del sujeto, o extrínsecos,
cuando se fundamentan en alguna
otra propiedad externa.

 Identificadores Intrínsecos:
Impronta ADN de la persona, fondo
del ojo, iris, huellas dactilares,
fisonomía de las manos, timbre de
voz, cinemática de la firma, olor
corporal
z

 Identificadores Extrínsecos: PINs,

Contraseña, firma manuscrita,
numero de cuenta bancaria, tarjeta
inteligente, terminal desde el que se
conecta el usuario.
z
ELEMENTOS PARA
IDENTIFICAR
USUARIOS
 Para identificar a un usuario pueden basarse en:

 Lo que se sabe: Contraseñas, PINs.

 Lo que se posee (Token): Tarjeta de crédito, tarjeta

inteligente, teléfono móvil, llave USB(pendrive)…
 z

 Lo que se es: Características

biométricas del individuo.

 Lo que se sabe hacer: firma

manuscrita, etcétera.

 Donde se encuentra el
usuario: Conexión desde un
determinado equipo u
ordenador con una dirección
IP previamente asignada. En
un acceso a través de redes
físicas protegidas y
controladas.
10.4
VERIFICACIÓ
N DE
CONTRASEÑ
AS
10.4.1 Principios básicos
El mecanismo que se ha
venido utilizando en la
practica con mayor
frecuencia para identificar a
los usuarios se basa en los
nombres de usuario
(“LOGIN”) y las contraseñas
(“PASSWORD”).
De este modo a cada usuario
se le asigna un identificador o
nombre de usuario, que tiene
asignada una contraseña que
permite validar dicha
identidad.
Requisitos para • Tamaño mínimo de la contraseña: Se
garantizar recomienda un tamaño mínimo de 6
seguridad de una caracteres
contraseña • Caducidad de contraseña: Periodo de validez
para su uso en el sistema antes de que tenga
que ser sustituida por otra.
• Registro del historial de contraseñas
previamente seleccionadas.
• Control de la adecuada composición de una
contraseña, a fin de conseguir que esta sea
difícil de adivinar. Combinación de todo tipo
de caracteres alfanuméricos. No estar
relacionada con el propio nombre de usuario,
nombres de familiares, mascotas etc.
 Normas de seguridad
por parte del usuario.
• Al iniciar una sesión por primera vez en
el sistema, se debería obligar al usuario
a cambiar la contraseña previamente
asignada a la cuenta.
• La contraseña no deberá ser anotada en
un papel o agenda, ni guardad en un
archivo o documento sin cifrar.
• La contraseña solo deberá ser conocida
por le usuario.
• La contraseña no deberá ser revelada a
terceros.
• El usuario no debería emplear la misma
contraseña o una muy similar en el
acceso a distintos sistemas.
Herramientas que facilitan la
obtención de contraseñas poco
robustas
• Windows (L0phtCrack)
• Unix (JohnTheRipper)
Generan resúmenes de contraseñas a través de
una búsqueda exhaustiva o de la lista de palabras
de un diccionario para comparar estos
resúmenes con los que se encuentran registrados
en el fichero de contraseñas de sistema.
Por tal motivo, se deberían de controlar el acceso
al fichero de contraseñas de otros usuarios..
• Algunos sistemas todavía permiten enviar por
una red informática las contraseñas en texto
claro, sin cifrar. Aplicaciones de internet,
como el servicio FTP o el acceso a los buzones
de correo mediante protocolo POP3, en su
configuración básica envían las contraseñas
sin cifrar. Por tal motivo se han diseñado
protocolos de desafío/respuesta, que no
requieren el envío de la contraseña por parte
del usuario que desea acceder al sistema.
10.4.2 Protocolos de
Desafío/respuesta
Protocolos
desafío/respuesta

• Se basa en un desafío como su nombre

lo indica, se basa en un desafío y una
respuesta: una parte envía, por
ejemplo, un numero aleatorio a la otra,
que entonces lo transforma mediante
algún procedimiento que tenga en
cuenta el secreto compartido entre
ambas partes.
Por ejemplo, se podría cifrar dicho
numero mediante la clave secreta del
usuario que se desea conectar a un
servidor y devuelve el resultado
10.4.3 Otras alternativas
para la gestión de
contraseñas
 10.4.3.1 Lista de contraseñas (OTP: One
Time Password)
• Contraseña de una sola vez, el usuario posee varias
contraseñas que va usando solo una vez y de forma
consecutiva. Si un intruso lograse adivinar una
contraseña, solo le funcionaria una sola vez debido a
que esta misma cambiaria y el propietario podría
identificar si se ingreso a su cuenta.
 10.4.3.2 Contraseña variable
• El usuario tiene una contraseña de un gran numero de caracteres, donde el
sistema solo verificara algunos al azar.
• Por ejemplo: Banca electrónica donde solo se solicitan algunas posiciones
10.4.3.3 Las imágenes como contraseñas
• Se basa en una elección aleatoria de fotografías que la persona tiene que
realizar entre una serie de imágenes que se le van mostrando.
• Por ejemplo: “I’m not a robot”
 10.4.3.4 Tarjetas de autentificación
(“authentification tokens”)
• Se basan en la utilización de 2 factores: La posesión de un dispositivo
físico (Tarjeta de autentificación) y el conocimiento del PIN que permite
utilizar esta tarjeta.
• Inconvenientes: El usuario puede perder la tarjeta y puede llegar a ser una
molestia tener otra tarjeta en su cartera.
10.5 AUTENTICACIÓN
BASADA EN
CERTIFICADOS
DIGITALES
Los Certificados Digitales se
pueden utilizar como alternativa a Cada certificado incluye
los sistemas basados en información sobre la identidad del
contraseñas, para validar la usuario y su clave pública, las
identidad de los usuarios y de los cuáles se utilizan para verificar la
equipos que forman parte de una autenticidad de sus mensajes
red. firmados electrónicamente.
10.6.2 SERVIDORES DE AUTENTICACIÓN
LA FUNCIÓN DE UN SERVIDOR DE
AUTENTICACIÓN SE BASA EN OFRECER
UN SERVICIO DE AUTENTICACIÓN MUTUA
ENTRE LOS DISTINTOS USUARIOS Y
SERVIDORES, MEDIANTE LA
AUTENTICACIÓN USUARIO/SERVIDOR Y
SERVIDOR/USUARIO.
EL SERVIDOR DE AUTENTICACIÓN
GUARDA UNA BASE DE DATOS
CENTRALIZADA DE LOS USUARIOS, DE
MODO QUE YA NO ES NECESARIO
GUARDAR UNA COPIA DE LA BASE DE
DATOS DE USUARIOS EN LOS PROPIOS
SERVIDORES.
ESQUEMA BASADO EN UN SERVIDOR
DE AUTENTICACIÓN

 Suplicante (Supplicant): equipo del

usuario que solicita acceder al
sistema.
 Autenticador (Authenticator): servidor
al que desea acceder el usuario.
 Servidor de Autenticación
(Authentication Server).
 1. El suplicante se pon en contacto con el autenticador y
se identifica.
2. El autenticador solicita la correspondiente
FUNCIONAMIENT autorización del servidor de autenticación.

O DEL PROCESO 3. En función del protocolo utilizado, el servidor de

autenticación solicitará el envío de una contraseña o la
DE demostración de que se conoce un secreto compartido.
AUTENTICACIÓN 4. El servidor de autenticación responderá afirmativa o
negativamente a la petición.
5. El autenticador permitirá o bloqueará el acceso a la
red o al sistema por parte del suplicante.
 EJEMPLOS DE  RADIUS

SERVIDORES DE TACACS+


 Kerberos
AUTENTICACIÓN
10. 7 INICIO DE SESIÓN ÚNICO ("SINGLE SIGN-ON")

ENCICLOPEDIA DE LA SEGURIDAD

INFORMATICA
 FACILITA PERMITE RECORDAR
CONEXION A SÓLO UNA
VARIOS CONTRASEÑA 
WEBSITES  LOS SISTEMAS DE
AUTENTIFICACION PARA EL
INICIO DE SESIÓN ÚNICO

PERMITEN ACCEDER A MÚLTIPLES

SERVIDORES EN LA RED  
 01 Passport de
SISTEMAS DE microsoft
IDENTIFICACION
GLOBALES
02
desarrollado por la
liberty alliance
 10. 8
DE
GESTORES
CONTRASEÑAS
 QUE SON?

Son aplicaciones especilizadas en almacenar las

credenciales de un usuario dentro de una base de datos

SIMPLIFICAN EL Evitan ser conocidas por

MANEJO DE intrusos
CREDENCIALES Se guardan de forma cifrada
 ALGUNOS EJEMPLOS SON:

Password Safe SplashID PasswordVault

Aurora Password Manager Handy Password Keepass Password Safe

 PREGUNTAS
1. Es utilizado para poder identificar a los usuarios, controlar su acceso a los recursos y registrando además como se
utilizan dichos recursos:
Modelo de Seguridad AAA

II. ¿Cuáles son los dos tipos de control de acceso, que menciona la etapa?
- Control de acceso Discrecional (DAC)
- Control de acceso obligatorio (MAC)

III. ¿A qué tipo de identificador de usuario pertenece una contraseña?

Identificadores Extrínsecos

IV. ¿Cuáles son algunos requisitos para garantizar seguridad de una contraseña?
• Tamaño mínimo de la contraseña: Se recomienda un tamaño mínimo de 6 caracteres
• Caducidad de contraseña: Periodo de validez para su uso en el sistema antes de que tenga que ser sustituida
por otra.
• Registro del historial de contraseñas previamente seleccionadas
V. ¿Cómo se le llama al tipo de contraseña en la cuál solo puede ser utilizada una vez? debido a que el usuario posee
varias contraseñas que va utilizando solo una vez y consecutivamente
OTP: One Time Password