Esta web utiliza cookies, puede ver nuestra la política de cookies aquí. Si continuas navegando está aceptándola Aceptar
Política de cookies +
EN ES

Usted está en: Inicio // Entrevistas

Entrevista
  • Autentificación de usuarios e identidades.

  • 31/10/2008 - Miguel López. Sales Manager. Aladdin Iberia

  • .


  • Valoración.

  • 1. ¿Qué implica la existencia de usuarios con diferentes perfiles a nivel de autentificación?


    Parece claro que hoy día las empresas tienen cada vez mayor necesidad de gestionar el acceso a la información.

    Se hace necesario definir no sólo quién puede acceder a ella sino también qué es lo que puede hacer con dicha información. En una empresa tipo el nivel de acceso a la información de que dispone el Director General no es el mismo que el cualquier otro empleado…Sin embargo, en ambos casos se está accediendo mediante un nombre de usuario y una contraseña. ¿Es esto fiable/seguro? Las contraseñas pueden crackearse, copiarse, compartirse, robarse… ¿Debería una empresa confiar la seguridad de su información a algo tan endeble? En un mundo en el que la información es poder y en el que el acceso a información confidencial puede generar pérdidas multimillonarias se hace preciso contar con nuevos sistemas de autenticación. La falta de una autenticación fiable de los usuarios supone el verdadero talón de Aquiles de la seguridad actual y cada vez mas empresas están acometiendo proyectos para resolver este problema.

    Las tendencias actuales marcan una clara tendencia al uso de tokens USB criptográficos y smartcards como los dispositivos preferidos por las empresas para dotar de autenticación fuerte (algo que tengo = el eToken + algo que conozco = su contraseña). El motivo de ello es su madurez tecnológica, bajo coste, facilidad de despliegue y mantenimiento y, por supuesto, su elevada seguridad.


    2. ¿Considera que la gestión de identidades es uno de los mayores retos en el ámbito de la seguridad?


    Efectivamente la gestión de identidades es uno de los grandes retos actuales pero me gustaría subrayar que debe complementarse con un sistema de autenticación fuerte de los usuarios. De nada sirve un sistema como este si no nos aseguramos de que quien se loga al sistema es quién dice ser. Muy al contrario, un sistema de gestión de identidades sin autenticación fuerte de los usuarios puede constituirse como una seria amenaza a la seguridad corporativa… ¿De verdad creemos que los usuarios utilizan contraseñas robustas, las cambian con frecuencia y no las comparten con nadie?


    3. ¿A qué limites tiene que hacer frente la implementación del DNIe en la empresa privada?


    El DNIe es una fantástica y revolucionaria herramienta de identificación del ciudadano frente a la administración. Sin embargo, su uso en el ámbito corporativo plantea problemas legales y de operatividad… ¿Podemos obligar al usuario a usar su DNI para autenticarse en el PC? ¿Qué sucede si lo pierde o lo olvida en casa? ¿Y cuando expira? El DNI se bloquea al 4 intento fallido de contraseña… si un usuario lo bloquea: ¿debemos mandarle toda la mañana a la comisaría a desbloquearlo? ¿Cuánto nos cuesta actualizar nuestro backend para que sea capaz de validar el DNIe?

    Todas estas preguntas tienen una fácil respuesta cuando pensamos en un sistema de autenticación fuerte basado en tokens o tarjetas criptográficas con certificados autogenerados (CA de uso interno) pero en el caso del DNIe todo se complica mucho mas y el mantenimiento de un sistema basado en él puede llegar a ser insostenible y mucho más costoso que otras alternativas.

     


  • Más Información: http://www.aladdin.es