Llegamos a ustedes gracias a:



Columnas de opinión

Cómo evaluar los métodos de autenticación web

Por: Roger A. Grimes, columnista de CSO especializado en seguridad

[14/08/2018] ¿Alguna vez ha encontrado un documento que, a pesar de su antigüedad, abarca de manera tan precisa un tema importante para usted que le hace difícil creer no haberlo descubierto antes? Me sentí de esa manera cuando me encontré con un excelente artículo de evaluación de la autenticación titulado The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes, escrito por Joseph Bonneau, Cormac Herley, Paul C. Van Oorschot y Frank Stajano.

Lanzado por primera vez en la conferencia IEEE Security and Privacy del 2012, el artículo presenta un marco de trabajo holístico para evaluar los métodos de autenticación web, incluyendo contraseñas y docenas de otros métodos y dispositivos de dos factores. Es la revisión más completa de autenticación que he visto. Califica contraseñas y docenas de soluciones de autenticación de dos factores (2FA, por sus siglas en inglés) con 25 atributos diferentes repartidos en tres categorías: usabilidad, capacidad de despliegue y seguridad. Los autores han creado un marco comparativo que cualquier usuario o administrador puede usar para calificar una solución de autenticación particular.

Aquí hay algunos aspectos aleatorios adicionales que aprendí leyendo el artículo:

  • El usuario web promedio tiene veinticinco cuentas web, pero solo tiene seis contraseñas diferentes.
  • OpenID es particularmente susceptible al robo de cookies de sesión y al phishing.
  • La capacidad de los humanos para recordar imágenes supera a su capacidad de memorizar texto.
  • La mayoría de los tokens de hardware son propietarios y requieren confiar en un tercero.
  • Las identidades biométricas no tienen tantos bits de entropía como creía anteriormente.

¿Desea saber cómo se comparan los tokens de hardware con las soluciones basadas en teléfonos, o cómo se comparan las soluciones gráficas con la autenticación biométrica? Lea este artículo.

Muchos tipos de métodos de autenticación web

Si alguna vez se ha preguntado acerca de todas las posibilidades de autenticación web, este es el artículo que debe leer. Cubre contraseñas, administradores de contraseñas, contraseñas almacenadas en el navegador, autenticación basada en proxy, inicio de sesión único federado (por ejemplo, OpenID o Kerberos), contraseñas gráficas, autenticación cognitiva, tokens de papel, tokens de hardware (por ejemplo, RSA SecureID o Yubikey), soluciones basadas en teléfonos móviles, biometría, criptografía visual e incluso métodos de recuperación.

El artículo me hizo conocer tipos de esquemas de protección que nunca supe que existían. Por ejemplo, las soluciones de autenticación basadas en proxy, como Universal Replay-Resistant Secure Authentication (URRSA) e Impostor. URSSA ahora parece un servicio abandonado, pero la documentación lo ayudará a comprender cómo funciona y cómo implementar la implementación de código abierto de Imposter disponible.

Con la autenticación basada en proxy, la contraseña original del usuario para cada sitio web se convierte en múltiples formularios intermedios nuevos que se almacenan en el proxy. Al usuario se le envía una lista de "claves directamente relacionadas (es decir, contraseñas de un solo uso) que ingresan cada vez que desean visitar una página web registrada. La contraseña de un solo uso que suministran es convertida por el proxy en la contraseña final y transferida a la eventual página web destinada.

La computadora del usuario no almacena la contraseña final, y tampoco lo hace el proxy. El proxy solo tiene los múltiples formularios intermedios, cada uno de los cuales puede usarse para generar la contraseña final. Si la computadora del usuario o el proxy están en peligro, el atacante no obtendrá fácilmente la contraseña utilizada por la página web de destino. Si bien resuelve algunos problemas de seguridad, y se puede utilizar en páginas web que solo aceptan contraseñas, el usuario ahora tiene que cargar con todas las contraseñas de un solo uso que se ingresarán para cada sesión diferente de la página web destinada. No es muy fácil de usar y probablemente no vaya a conquistar el mundo pronto, pero es bueno saber de qué se trata.

Otro método de autenticación nuevo, para mí, son los clics de puntos generalizados. Al usar este método, a un usuario se le presentan múltiples imágenes (cinco, por ejemplo) que luego debe elegir o colocar en un orden secuencial previamente definido.

He visto métodos de inicio de sesión donde a una persona se le muestra una imagen individual previamente seleccionada y luego mueve su dedo, o cursor, en un patrón predefinido para iniciar sesión, no este método secuencial. He estado haciendo seguridad informática por treinta años, así que, si estoy aprendiendo sobre nuevos métodos de autenticación, entonces la mayoría de los lectores probablemente también aprenderán algo nuevo.

Atributos de autenticación web

Me gustó el artículo porque consideraba una amplia gama de atributos en sus tres categorías principales de usabilidad, despliegue y seguridad. Conocía a la mayoría de ellos, pero a algunos no los había pensado o no les había dado suficiente importancia. El artículo los cubrió a todos.

Dos atributos que no he pensado mucho son "requerir consentimiento explícito y "resistencia a las filtraciones de otros verificadores. El primero asegura que la autenticación de un usuario no se inicie sin que ellos lo sepan, y el segundo se trata de evitar secretos de autenticación relacionados que se utilizan para deducir la credencial de autenticación original. Los autores evalúan todas las soluciones de autenticación cubiertas en todos los atributos, e incluyen un gráfico de matriz agradable para que pueda ver cómo se compara cada uno con el otro. Es una mesa genial que debería haber sido creada hace mucho tiempo.

Los autores califican a cada opción de autenticación como satisfactoria, no satisfactoria o parcialmente satisfactoria para cada atributo. Los atributos no están clasificados, pero cualquiera puede tomar fácilmente el marco de trabajo no ponderado, agregar o eliminar atributos y ponderarlo con su propia importancia. Por ejemplo, muchos evaluadores de autenticación que buscan soluciones del mundo real querrán agregar costos (tanto iniciales como en curso) y soluciones de productos de proveedores.

Las conclusiones espontáneas del autor incluyen: "Un resultado claro de nuestro ejercicio es que ningún esquema de autenticación que examinamos es perfecto, o incluso se acerca a puntajes perfectos. Esto no debería sorprender. Hay muy pocas soluciones perfectas en el mundo. En la mayoría se tiene que intercambiar una cosa por otra: algo funciona bien para una persona o contexto y no tan bien para otra persona o contexto. Debe elegir su opción, y este artículo y su matriz de marco de trabajo le pueden ayudar con eso.

El documento tiene algunos años y puede haber pasado por alto algunos métodos de autenticación, proveedores o atributos relacionados más nuevos, pero tiene la mejor cobertura que he visto. En consecuencia, muchos expertos en la materia de autenticación (SME, por sus siglas en inglés) ahora consideran que el marco presentado en el documento es la forma de evaluar todos los esquemas actuales y futuros de autenticación propuestos. Estoy de acuerdo, al menos hasta que aparezca algo mejor. Estoy triste de que me haya llevado seis años descubrirlo.

Al recordar acerca de escribir el artículo con sus otros coautores, el Dr. Herley me comentó recientemente: "Fue muy divertido y mucho trabajo. Creo que calculamos que hicimos más de cincuenta horas de llamadas en conferencia, teníamos más de mil quinientos correos electrónicos, seiscientas veintiuna versiones de revisiones del artículo y cero reuniones cara a cara. La primera vez que estuvimos todos simultáneamente en el mismo lugar fue en la conferencia para presentarlo.

Si le gusta ese artículo, como a mí, le sugiero que busque los nombres de los autores. Encontrará muchos otros buenos artículos de investigación sobre seguridad informática. Muchos contienen información que sorprendería a la mayoría de las personas. ¿Sabía que cuanto más sabe una persona sobre los certificados digitales, más probable es que ignore una advertencia de certificado digital? Es por este hecho que la mayoría de los navegadores modernos de hoy dan menos, no más, información sobre certificados digitales rotos.

Me encantó descubrir este artículo, no solo por lo que me enseñó, sino porque me llevó a una docena de otros documentos de seguridad TI. No puedo esperar para leer Secrets, Lies, and Account Recovery: Lessons from the User of Personal Knowledge Questions at Google. A algunos de mis compañeros de trabajo menos técnicos no les pareció tan emocionante, por lo que tiene que ser el tipo de persona que quiere saber más sobre muchas cosas para energizarse tanto como yo.

¡Con esa advertencia, vaya a luchar en lado de los buenos!

Como columnista especializado en seguridad, Roger A. Grimes es un colaborador de CSO con más de 40 certificaciones. Es autor de ocho libros sobre seguridad informática. Ha estado luchando contra el malware y los hackers malintencionados desde 1987, comenzando con el desmontaje de los primeros virus DOS. Actualmente ejecuta ocho honeypots para rastrear el comportamiento de los hackers y malware, y es consultor de empresas que van desde las Fortune 100 a pequeñas empresas.