TEMA:
CARRERA:
ING. INFORMATICA
DOCENTE:
PRESENTA:
Incidentes de seguridad
Las amenazas a los que se ven expuestos los telfonos mviles son:
Cifrar y firmar digitalmente las comunicaciones a travs del correo electrnico enviadas
desde dispositivos para garantizar la privacidad de la informacin sensible y demostrar la
autora/el origen del mensaje.
La base de la autenticacin en dos pasos: algo que tienes ms algo que sabes
Cuando entramos en un servicio con nuestro usuario y contrasea, estamos utilizando dos
datos que en teora slo sabemos nosotros. La cuestin es, qu pasa si alguien ms
adivina nuestro usuario y contrasea?
Para evitar ese escenario, aadimos otro factor para poder entrar: algo que tengamos. En el
caso de Twitter, lo que tenemos es el mvil, nuestro y que no toca nadie ms (en teora). En
otros casos, como la banca, se usa un token fsico.
Sea como sea, la idea es siempre la misma: aadir una verificacin ms de que eres t y no
un maleante quien est accediendo con tu cuenta. Para ello, el servicio comprueba que
realmente tienes algo (mvil, token) que slo t deberas tener.
Bien, decamos que la base de la autenticacin en dos pasos es comprobar que tienes la
pieza del puzzle (normalmente el mvil) que slo t, el usuario legtimo, puedes tener.
Cmo hacer esa comprobacin?
Sin embargo, eso resulta ms caro (hay que enviar el mensaje) y no funciona con todas las
operadoras. Hay otra opcin, algo ms compleja, llamada TOTP: Time-based One Time
Password, o Contrasea de un nico uso basada en el tiempo.
Como el nombre indica, es una contrasea que slo se puede usar una vez, y que va
cambiando con el tiempo. Cmo funciona?
Lo primero es la configuracin inicial. El servidor elige un nmero, al que llamaremos
clave, y que ser la base de todas las contraseas que se generen. Esa clave la transmite a la
aplicacin de tu telfono, donde se quedar guardada.
Dado que el cdigo slo est guardado en tu aplicacin y en el servidor, slo t puedes
generar la contrasea y slo el servidor puede decir si es correcta y, por lo tanto, si eres el
usuario legtimo o no.
Ahora bien, lo que os he contado es una versin simplificada. Hay que completar algunos
aspectos para que todo sea seguro y fcil de usar.
Por ejemplo, cmo transmitimos la clave? Fcil: est en el cdigo QR que os piden
escanear cuando configuris la aplicacin por primera vez. Adems, para asegurarse de que
lo habis recibido bien, se os pide el cdigo de autenticacin. Si es correcto, todo est
configurado sin problemas y se puede activar la autenticacin en dos pasos en tu cuenta.
Para sacar el cdigo se usa una funcin hash, que al pasarle un mensaje devuelve una
especie de "huella digital" de ese mensaje, un identificador nico (tericamente). Adems,
esa huella digital es irreversible: si tienes la huella, es (de nuevo, tericamente) imposible
saber cul es el mensaje que la gener.
El proceso es el siguiente: se combina la clave y la fecha y hora actuales de tal forma que
nos sale un nmero. Usando el algoritmo SHA1 sacmos su cdigo hash, que es el cdigo
que damos al servidor para identificarnos. De esta forma queda verificado que somos
nosotros (slo con la clave podramos generar el hash correcto) y no hay posibilidad de que
se recupere la clave original.
Y un ltimo detalle: a la hora de calcular el cdigo no se usa la fecha y hora exacta, sino
que se cuentan el nmero de bloques de 30 segundos. De esta forma te da tiempo a
introducirlo con margen suficiente para que no caduque.
Ventajas e inconvenientes de la autenticacin en dos pasos
Una vez que ya tenemos el funcionamiento claro, por qu usar la autenticacin en dos
pasos? Qu ventajas y qu inconvenientes tiene?
De todas formas, este punto cada vez causar menos problemas. Muchos servicios (Twitter,
Facebook, Google) usan OAuth, un protocolo distinto para acceder a tus cuentas que
consiste en dar permiso a cada aplicacin. De esta forma, no tienes que preocuparte ni por
contraseas ni por cdigos de autenticacin.