La autenticación y las aplicaciones

En User Authentication: It Doesn’t Belong In Your Application un comentario con buenos motivos sobre el tema. Las cosas que hay que tener en cuenta si montamos nuestro propio sistema de identificación y autentificación, y las ventajas que tiene si utilizamos el sistema de autentificación de un tercero.

Vemos últimamente muchas aplicaciones a las que se puede acceder a través de servicios de terceros (Google, Facebook, …). Como dice el autor, eso puede aligerarnos bastante peso en el desarrollo pero, como todo, hay que tener cuidado. No será la primera vez que a alguien le cancelan la cuenta en uno de estos servicios tan bonitos y baratos y, de pronto, se queda también sin acceso a nuestro servicio. Igual que dice en la primera parte lo de Don’t Forget the Forgotten Passwords añadiría yo lo de no te olvides de que algo puede ir mal en los otros servicios (y no ser culpa tuya).

Interesante lectura, en todo caso.

Anuncios

“Guías sobre biometría del INTECO”

Me entero de una noticia de (más o menos) actualidad, para variar. INTECO presenta el Estudio y la Guía sobre tecnologías biométricas aplicadas a la seguridad.

Se pueden descargar tanto el estudio como la guía y pueden ser un buen
resumen sobre estos temas.

Dicha investigación se centra en los usos, beneficios, riesgos y buenas prácticas recomendadas en el uso de la biometría aplicadas al control de identidades y control de accesos. El objetivo es dar a conocer a las empresas y los usuarios el nivel de desarrollo y confianza de las tecnologías biométricas y asegurar que su implantación se realice respetando plenamente la seguridad de la información y la privacidad de los ciudadanos.

Yo, por completar, añadiría estos enlaces (seguramente están comentadas estas ideas en los informes, no los he leído aún):

Y un par de vídeos:

¿Soy contrario a la biometría? No, pero hay que hacer estas cosas con cuidado. A veces, entran más bien en el Security Theater.

Dispositivos: dejando rastro

De vez en cuando se bromea con la seguridad de los dispositivos de entrada donde, si no se cambian las claves, podemos terminar reduciendo las posibilidades a unas pocas: Falsa seguridad con teclados de seguridad inseguros (Information Leakage from Keypads).

Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, y Jonathan M. Smith se han preguntado sobre la seguridad de los dispositivos táctiles (tan frecuentes en nuestros días) y han escrito [PDF] Smudge Attacks on Smartphone Touch Screens, donde se puede ver que estos teclados virtuales tienen sus propios riesgos desde el punto de vista de la seguridad de las credenciales (el objetivo, recordemos, no es la clave en sí -sería lo mejor, claro- sino reducir el número de intentos que tendríamos que hacer para atacar al dispositivo en cuestión).
Lo vi en Security Analysis of Smudges on Smart Phone Touch Screens.

La web sin cookies de sesión

En Weaning the Web off of Session Cookies Making Digest Authentication Viable proponen prestarle más atención a la utilización de la autentificación basada en el ‘HTTP digest’ como alternativa a las ‘cookies’. Cuentan las limitaciones de uno y otro método, las principales barreras de uno y otro método y por qué deberíamos prestarle más atención al sistema que proporciona el protocolo http.

A un nivel mucho más básico recuerdo ahora el Web Based Session Management. Best practices in managing HTTP-based client sessions que tal vez le sea de utilidad a alguien.

Identificación automática de programas maliciosos

Es un tema que me interesa y me llama la atención y que creo que podrían hacerse cosas intersante. De momento Markus Jakobsson nos presenta el tema en Auto-detecting malware? It’s possible, diciendo que se podrían pensar cosas basándose en:

  • Localización geográfica (algunas redes sociales y páginas web ya nos piden identificación extra cuando ‘detectan’ que no estamos donde solemos estar).
  • Grafo social
  • Tiempo (hora, fecha …)
  • Comportamiento
  • Rendimiento
  • Cambios, velocidad …

Automatizar demasiado las cosas tiene sus riesgos (falsos positivos, molestias, …) pero siempre vienen bien algunos avisos sobre cosas que no están funcionando como deberían.

La efectividad del Phishing

No me gusta mucho el sistema pero es lo que hay: dándoles algunos datos la empresa Trusteer nos permite leer su informe, Measuring the Effectiveness of In-the-Wild Phishing Attacks donde se dan algunas cifras propias sobre la efectividad de los ataques.

Sobre la autentificación de usuarios

En User Authentication: It Doesn’t Belong In Your Application un articulito sobre el tema de la autentificación de usuarios con algunas pinceladas sobre los temas más importantes que tenemos que considerar y una pequeña panorámica de la oferta de terceros sobre el tema, esencialmente OpenID y SAML.

Sobre el almacenamiento de claves

La autentificación y la identificación son temas que dan mucho de sí. Sin embargo en este caso nos quedamos con un objetivo más modesto que es el almacenamiento de claves. Lo discute el autor de Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes y explica unos cuantos sistemas con sus ventajas y debilidades. Descubrimos que el más usado (y hasta recomendado a veces) es el más débil y (como casi siempre) que hacer las cosas bien es más difícil de lo que parece.