SlideShare una empresa de Scribd logo

Identificación y autenticación de usuarios

Descargar como PPTX, PDF
U
Uriel Hernandez

Este documento discute la identificación y autenticación de usuarios en sistemas de computación. Explica que la identificación implica proveer el nombre de usuario, mientras que la autenticación requiere una contraseña o método de verificación. También destaca que los usuarios son el eslabón más débil en seguridad debido a malas prácticas como usar contraseñas débiles o compartirlas. Por lo tanto, es crucial establecer políticas de seguridad claras y crear conciencia entre los usuarios.

Internet
1 de 11
Identificación y Autenticación de Usuarios JONATHAN HERNÁNDEZ MENDOZA WENDOLYN RAMÍREZ PONCE ELIOT EMMANUEL
OBTENCIÓN DE PASSWORDS, CÓDIGOS Y CLAVES Este método (usualmente denominado cracking), comprende la obtención "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario, que además nunca la cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta. Por ser el uso de passwords la herramienta de seguridad mas cercana a los usuarios, es aquí donde hay que poner énfasis en la parte "humana" con políticas claras. No muchas organizaciones están exentas de mostrar passwords escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable de cualquier PC, cual es su password." 1
IDENTIFICACIÓN Identificar: brindar el nombre con la que está autorizado a ingresar. Es el paso previo a la Autenticación. También es denominado login . Antes de determinar cualquier restricción a los accesos se debe implementar una Matriz de accesos: Tener definido claramente todas las condiciones de accesos a la Red. Se debe cuestionar: ¿Quién puede ingresar a la Red?, ¿Qué días?, ¿En qué horarios?, ¿A que programas?, ¿A que archivos?, Etc. Los accesos deben ser siempre restringidos y con la máxima limitación. Por regla general hay que recordar que en Políticas de Seguridad "Lo que no está expresamente autorizado está PROHIBIDO".
AUTENTICACIÓN Autenticar: con su clave o Password; está clave luego de ser ingresada se compara con la que figura en el archivo. Además se puede implementar para reforzar la autenticación: 1. Medidas de seguridad en cuanto al tratamiento de las CLAVES o PASSWORDS. 2. Handshacking. 3. Control Físico complementario.
1. CLAVES O PASSWORDS: Todos los usuarios deben validar su identificación mediante la contraseña (clave) para acceder al sistema. Las claves deben tener las siguientes características: v No debe ser fácil, ni corta, ni una palabra conocida. v Debe tener de 6 a 8 dígitos. v Debe incluir Mayúsculas, números y caracteres. v Debe ser secreta. v Abstenerse de usar nombre de familiares u otros datos personales. v Debe ingresarla exclusivamente el usuario, no que sea seleccionada por sistema. v No debe estar en exhibición pública y menos pegarla en el monitor o escritorio. v Única para cada usuario. v Se debe cambiar periódicamente. v Deben estar encriptadas.
Los passwords deben persuadir la acción de los Crackers. Cracker: es aquel que rompe la seguridad de un sistema para sacar algún beneficio de ello. Para ello utiliza herramientas que decodifican las claves en cuestión de segundos. Para hacer que el Cracker tarde más en descifrar la clave es conveniente incluir mayúsculas, números y caracteres; que sean de 6 a 8 dígitos; que están encriptadas. De esta manera se supera el tiempo esperado de rotura de la búsqueda por lo que el Cracker va a abandonar en el intento. El encriptado de las claves le aumenta el tiempo de espera al Cracker. "Encriptación: usa una técnica -la criptografía- que modifica un mensaje original mediante una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje".2 Si se detecta o sospecha que un intruso ha ingresado al sistema se deben cambiar todas las claves de accesos, de esta manera se está cerrando la "puerta" por donde pudo haber ingresado el intruso.
2. HANDSHACKING: Se traduce como Reconocimiento protocolar, consiste en establecer un diálogo interactivo requiriendo respuesta exacta a un conjunto de preguntas que son parte de las que se encuentran en el archivo de cada usuario. Estas preguntas están relacionadas con la vida particular de cada usuario; se le puede preguntar por el nombre de sus padres, la edad de sus hijos, aniversarios, etc. Las respuestas solo las conoce el usuario o familiares muy cercanos. Las preguntas deben estar pactadas entre el sistema y el usuario, para que el mismo las pueda recordar. Las respuestas se pueden actualizar por el paso del tiempo.
3. CONTROLES FISICOS COMPLEMENTARIOS: Los mecanismos basados sólo en la contraseña, especialmente aquellos que transmiten la contraseña sin encriptar, son susceptibles de ser observados y capturados. Esto se puede convertir en un problema serio si la LAN posee conexiones no controladas a otras redes externas. Si después de considerar todas las opciones de autenticación, la política de la LAN determina que un mecanismo de tarjeta inteligente o basado en certificados requiere que el usuario posea un certificado y puede requerir adicionalmente que el usuario conozca un PIN o una contraseña. Estos dispositivos realizan una autenticación basada en pregunta/respuesta. La utilización de parámetros a través de la reproducción del inicio de sesión. Estos dispositivos también pueden encriptar la sesión de autenticación, evitando que la información de autenticación pueda ser monotizada y capturada. 3.1. Dispositivos físicos con control por si mismos:  Colocar una llave tipo trabex para cortar el suministro eléctrico, de esa manera se asegura que solo la persona con la llave pueda encender el equipo.
3.2Utilizan elementos de Hardware y herramientas de Software, en forma conjunta:  Colocación de dispositivo lector de tarjetas magnéticas. Solo el usuario asignado posee la tarjeta magnética correspondiente.  Implementación de lectores de huellas digitales que permite comparar la imagen gráfica de las huellas digitales. Hoy en día se consiguen teclados con lectores de huellas digitales incorporados.  Dispositivo lector de "Smart Card" (tarjeta chip). Sus aplicaciones y usos se están desarrollando cada vez más. Además de autenticar la identificación del empleado; por ejemplo se las puede utilizar para cargarle al empleado cierto saldo y en el comedor se le descuenta cada vez que compra su almuerzo, o que saca comestibles de las maquinas expendedoras, también para controlar su asistencia; en definitiva va a ser la llave para todos sus beneficios dentro de la empresa.  Colocación de una web-cam que capte la imagen del usuario que está sentado frente al equipo y la compare con una imagen que esté en el archivo personal de cada usuario.  Lector de tarjetas con código de barras. Es muy costoso que cada equipo en una oficina tenga un lector de código de barras, ya que el mismo no tendría otra finalidad que la de autenticar cada ingreso del usuario al sistema. En cambio en terminales punto de venta donde el lector de códigos de barra se utiliza para leer las etiquetas de los productos, no sería muy costoso asignarle una tarjeta a cada usuario para que se registre al iniciar y finalizar su turno.
Conclusión • Más que un problema de tecnología, la seguridad en la transmisión de la información por la Red se debe a la falta de cultura de las organizaciones y de las personas que la integran. • El eslabón más débil de esta cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener una cultura de seguridad, porque no existe en muchas empresas un responsable de seguridad.
Esto se ve potenciado cuando se habla de Identificación y Autenticación de usuarios, ya que la responsabilidad de adoptar la política es de cada usuario, es imposible poder controlar a todos los empleados (excepto cuando la organización es muy pequeña). Por eso es fundamental crear una conciencia en la organización de la seguridad de sus datos y de cuánto éstos valen para la empresa. También lo potencia el hecho de que los enemigos de un sistema son muchos: los Hackers, los Crackers, empleados infieles y el espionaje Industrial y comercial; y cualquier irresponsabilidad le puede costar caro a la organización. Como prueba de lo dicho anteriormente "En el año 2000 se destinó al mercado de Servicios de Seguridad en Internet $140 millones de dólares, y Yankee prevé que para el año 2005 se gastará $1.7 Billones de dólares

Recomendados

Cuadro comparativo s.o
Cuadro comparativo s.oCuadro comparativo s.o
Cuadro comparativo s.o
riosofelia
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datos
Departamento de Redes UNL
 
Dispositvos de entrada y salida
Dispositvos de entrada y salidaDispositvos de entrada y salida
Dispositvos de entrada y salida
itzayana bacilio
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Topologías y Componentes de una red Inalámbrica
Topologías y Componentes de una red InalámbricaTopologías y Componentes de una red Inalámbrica
Topologías y Componentes de una red InalámbricaEduardo J Onofre
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
Tensor
 
Sistemas operativos distribuidos
Sistemas operativos distribuidosSistemas operativos distribuidos
Sistemas operativos distribuidos
saul_ramos
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
edithua
 

Recomendados

Cuadro comparativo s.o
Cuadro comparativo s.oCuadro comparativo s.o
Cuadro comparativo s.o
riosofelia
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datos
Departamento de Redes UNL
 
Dispositvos de entrada y salida
Dispositvos de entrada y salidaDispositvos de entrada y salida
Dispositvos de entrada y salida
itzayana bacilio
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Topologías y Componentes de una red Inalámbrica
Topologías y Componentes de una red InalámbricaTopologías y Componentes de una red Inalámbrica
Topologías y Componentes de una red InalámbricaEduardo J Onofre
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
Tensor
 
Sistemas operativos distribuidos
Sistemas operativos distribuidosSistemas operativos distribuidos
Sistemas operativos distribuidos
saul_ramos
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
edithua
 
Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redesMeztli Valeriano Orozco
 
Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de diseno
César Ruvalcaba
 
Sistemas Distribuidos
Sistemas DistribuidosSistemas Distribuidos
Sistemas Distribuidosdrianda
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidor
Noe Gonzalez Mendoza
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Aplicaciones Distribuidas
Aplicaciones DistribuidasAplicaciones Distribuidas
Aplicaciones Distribuidas
Sorey García
 
sistemas distribuidos
sistemas distribuidossistemas distribuidos
sistemas distribuidosNorberto Angulo
 
Auditoria de la funcion informatica
Auditoria de la funcion informaticaAuditoria de la funcion informatica
Auditoria de la funcion informaticasanty6a
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradastematico4
 
Sistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los NegociosSistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los Negocios
Carlos Yax
 
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Samhya LLerena
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Arquitectura de redes
Arquitectura de redesArquitectura de redes
Arquitectura de redeswsar85
 
Amenazas contra la seguridad informática
Amenazas contra la seguridad informáticaAmenazas contra la seguridad informática
Amenazas contra la seguridad informática
salasmendoza97
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
Yaskelly Yedra
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático
Juan Anaya
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
carmenrico14
 
Clave de acceso
Clave de accesoClave de acceso
Clave de acceso
Juan Gomez
 
Guía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensoresGuía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensores
Espacio Público
 

Más contenido relacionado

La actualidad más candente

Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de diseno
César Ruvalcaba
 
Sistemas Distribuidos
Sistemas DistribuidosSistemas Distribuidos
Sistemas Distribuidosdrianda
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidor
Noe Gonzalez Mendoza
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Aplicaciones Distribuidas
Aplicaciones DistribuidasAplicaciones Distribuidas
Aplicaciones Distribuidas
Sorey García
 
Auditoria de la funcion informatica
Auditoria de la funcion informaticaAuditoria de la funcion informatica
Auditoria de la funcion informaticasanty6a
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradastematico4
 
Sistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los NegociosSistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los Negocios
Carlos Yax
 
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Samhya LLerena
 
Arquitectura de redes
Arquitectura de redesArquitectura de redes
Arquitectura de redeswsar85
 
Amenazas contra la seguridad informática
Amenazas contra la seguridad informáticaAmenazas contra la seguridad informática
Amenazas contra la seguridad informática
salasmendoza97
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
Yaskelly Yedra
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático
Juan Anaya
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
carmenrico14
 

La actualidad más candente (20)

Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redes
 
Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de diseno
 
Sistemas Distribuidos
Sistemas DistribuidosSistemas Distribuidos
Sistemas Distribuidos
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidor
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Aplicaciones Distribuidas
Aplicaciones DistribuidasAplicaciones Distribuidas
Aplicaciones Distribuidas
 
sistemas distribuidos
sistemas distribuidossistemas distribuidos
sistemas distribuidos
 
Auditoria de la funcion informatica
Auditoria de la funcion informaticaAuditoria de la funcion informatica
Auditoria de la funcion informatica
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradas
 
Sistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los NegociosSistemas De Informacion Para Los Negocios
Sistemas De Informacion Para Los Negocios
 
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
Importancia de los Sistemas Cliente Servidor, su arquitectura y describir sus...
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Arquitectura de redes
Arquitectura de redesArquitectura de redes
Arquitectura de redes
 
Amenazas contra la seguridad informática
Amenazas contra la seguridad informáticaAmenazas contra la seguridad informática
Amenazas contra la seguridad informática
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
 
2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático2.3 orígenes, concepto y clasificación de derecho informático
2.3 orígenes, concepto y clasificación de derecho informático
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
 

Similar a Identificación y autenticación de usuarios

Clave de acceso
Clave de accesoClave de acceso
Clave de acceso
Juan Gomez
 
Guía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensoresGuía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensores
Espacio Público
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
FIDOMULTRAXD
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
Leandro Morales Alvarez
 
Subida de nota
Subida de notaSubida de nota
Subida de nota
lauralpez249
 
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
ESET Latinoamérica
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
Lupita Nena Farrukita
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
gerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
margretk
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
Agustin Valdez
 
Contraseña
ContraseñaContraseña
ContraseñaGoogle
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 

Similar a Identificación y autenticación de usuarios (20)

Clave de acceso
Clave de accesoClave de acceso
Clave de acceso
 
Guía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensoresGuía de seguridad digital para activistas y defensores
Guía de seguridad digital para activistas y defensores
 
VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
 
Subida de nota
Subida de notaSubida de nota
Subida de nota
 
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Contraseña
ContraseñaContraseña
Contraseña
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Quizdeseguridad
QuizdeseguridadQuizdeseguridad
Quizdeseguridad
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 

Último

Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.docSistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
LuisEnriqueCarboneDe
 
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIOFISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
DarwinNestorArapaQui
 
EduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptxEduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptx
Elizabeth Mejia
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
mcavero2019
 
Presentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivoPresentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivo
juanlemus11122
 
blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....
JosvilAngel
 
estrategias de aprendizaje con ejemplos
estrategias de aprendizaje con ejemplosestrategias de aprendizaje con ejemplos
estrategias de aprendizaje con ejemplos
MarilinPaladines
 
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASAEXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
Javier Lasa
 
WordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPressWordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPress
Fernando Tellado
 
Los derechos de autor y Ética Profesional
Los derechos de autor y Ética ProfesionalLos derechos de autor y Ética Profesional
Los derechos de autor y Ética Profesional
bgonzalezm20
 
fase 4-Estudio de la geometria analitica[1].pptx
fase 4-Estudio de la geometria analitica[1].pptxfase 4-Estudio de la geometria analitica[1].pptx
fase 4-Estudio de la geometria analitica[1].pptx
QuerubinOlayamedina
 
ayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupalayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupal
jesusmedina766305
 
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdfEstructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
edepjuanorozco
 

Último (13)

Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.docSistemas-de-Numeración-para-Primero-de-Secundaria.doc
Sistemas-de-Numeración-para-Primero-de-Secundaria.doc
 
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIOFISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
FISICA IMPRIMIR MATERIAL ACADEMICO NIVEL SECUNDARIO
 
EduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptxEduLearnIAappde IAparatodosdisponible.pptx
EduLearnIAappde IAparatodosdisponible.pptx
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
 
Presentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivoPresentación Arduino, proyecto colectivo
Presentación Arduino, proyecto colectivo
 
blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....blog.pdf de coceptos de personalidad....
blog.pdf de coceptos de personalidad....
 
estrategias de aprendizaje con ejemplos
estrategias de aprendizaje con ejemplosestrategias de aprendizaje con ejemplos
estrategias de aprendizaje con ejemplos
 
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASAEXPERIENCIA PROYECTOS STARTUP JAVIER LASA
EXPERIENCIA PROYECTOS STARTUP JAVIER LASA
 
WordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPressWordPress training basics - básicos de cómo enseñar WordPress
WordPress training basics - básicos de cómo enseñar WordPress
 
Los derechos de autor y Ética Profesional
Los derechos de autor y Ética ProfesionalLos derechos de autor y Ética Profesional
Los derechos de autor y Ética Profesional
 
fase 4-Estudio de la geometria analitica[1].pptx
fase 4-Estudio de la geometria analitica[1].pptxfase 4-Estudio de la geometria analitica[1].pptx
fase 4-Estudio de la geometria analitica[1].pptx
 
ayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupalayuda en egresos exposición aps 1 grupal
ayuda en egresos exposición aps 1 grupal
 
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdfEstructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
Estructuras b-sicas_ conceptos b-sicos de programaci-n.pdf
 

Identificación y autenticación de usuarios

  • 1. Identificación y Autenticación de Usuarios JONATHAN HERNÁNDEZ MENDOZA WENDOLYN RAMÍREZ PONCE ELIOT EMMANUEL
  • 2. OBTENCIÓN DE PASSWORDS, CÓDIGOS Y CLAVES Este método (usualmente denominado cracking), comprende la obtención "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario, que además nunca la cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta. Por ser el uso de passwords la herramienta de seguridad mas cercana a los usuarios, es aquí donde hay que poner énfasis en la parte "humana" con políticas claras. No muchas organizaciones están exentas de mostrar passwords escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable de cualquier PC, cual es su password." 1
  • 3. IDENTIFICACIÓN Identificar: brindar el nombre con la que está autorizado a ingresar. Es el paso previo a la Autenticación. También es denominado login . Antes de determinar cualquier restricción a los accesos se debe implementar una Matriz de accesos: Tener definido claramente todas las condiciones de accesos a la Red. Se debe cuestionar: ¿Quién puede ingresar a la Red?, ¿Qué días?, ¿En qué horarios?, ¿A que programas?, ¿A que archivos?, Etc. Los accesos deben ser siempre restringidos y con la máxima limitación. Por regla general hay que recordar que en Políticas de Seguridad "Lo que no está expresamente autorizado está PROHIBIDO".
  • 4. AUTENTICACIÓN Autenticar: con su clave o Password; está clave luego de ser ingresada se compara con la que figura en el archivo. Además se puede implementar para reforzar la autenticación: 1. Medidas de seguridad en cuanto al tratamiento de las CLAVES o PASSWORDS. 2. Handshacking. 3. Control Físico complementario.
  • 5. 1. CLAVES O PASSWORDS: Todos los usuarios deben validar su identificación mediante la contraseña (clave) para acceder al sistema. Las claves deben tener las siguientes características: v No debe ser fácil, ni corta, ni una palabra conocida. v Debe tener de 6 a 8 dígitos. v Debe incluir Mayúsculas, números y caracteres. v Debe ser secreta. v Abstenerse de usar nombre de familiares u otros datos personales. v Debe ingresarla exclusivamente el usuario, no que sea seleccionada por sistema. v No debe estar en exhibición pública y menos pegarla en el monitor o escritorio. v Única para cada usuario. v Se debe cambiar periódicamente. v Deben estar encriptadas.
  • 6. Los passwords deben persuadir la acción de los Crackers. Cracker: es aquel que rompe la seguridad de un sistema para sacar algún beneficio de ello. Para ello utiliza herramientas que decodifican las claves en cuestión de segundos. Para hacer que el Cracker tarde más en descifrar la clave es conveniente incluir mayúsculas, números y caracteres; que sean de 6 a 8 dígitos; que están encriptadas. De esta manera se supera el tiempo esperado de rotura de la búsqueda por lo que el Cracker va a abandonar en el intento. El encriptado de las claves le aumenta el tiempo de espera al Cracker. "Encriptación: usa una técnica -la criptografía- que modifica un mensaje original mediante una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje".2 Si se detecta o sospecha que un intruso ha ingresado al sistema se deben cambiar todas las claves de accesos, de esta manera se está cerrando la "puerta" por donde pudo haber ingresado el intruso.
  • 7. 2. HANDSHACKING: Se traduce como Reconocimiento protocolar, consiste en establecer un diálogo interactivo requiriendo respuesta exacta a un conjunto de preguntas que son parte de las que se encuentran en el archivo de cada usuario. Estas preguntas están relacionadas con la vida particular de cada usuario; se le puede preguntar por el nombre de sus padres, la edad de sus hijos, aniversarios, etc. Las respuestas solo las conoce el usuario o familiares muy cercanos. Las preguntas deben estar pactadas entre el sistema y el usuario, para que el mismo las pueda recordar. Las respuestas se pueden actualizar por el paso del tiempo.
  • 8. 3. CONTROLES FISICOS COMPLEMENTARIOS: Los mecanismos basados sólo en la contraseña, especialmente aquellos que transmiten la contraseña sin encriptar, son susceptibles de ser observados y capturados. Esto se puede convertir en un problema serio si la LAN posee conexiones no controladas a otras redes externas. Si después de considerar todas las opciones de autenticación, la política de la LAN determina que un mecanismo de tarjeta inteligente o basado en certificados requiere que el usuario posea un certificado y puede requerir adicionalmente que el usuario conozca un PIN o una contraseña. Estos dispositivos realizan una autenticación basada en pregunta/respuesta. La utilización de parámetros a través de la reproducción del inicio de sesión. Estos dispositivos también pueden encriptar la sesión de autenticación, evitando que la información de autenticación pueda ser monotizada y capturada. 3.1. Dispositivos físicos con control por si mismos:  Colocar una llave tipo trabex para cortar el suministro eléctrico, de esa manera se asegura que solo la persona con la llave pueda encender el equipo.
  • 9. 3.2Utilizan elementos de Hardware y herramientas de Software, en forma conjunta:  Colocación de dispositivo lector de tarjetas magnéticas. Solo el usuario asignado posee la tarjeta magnética correspondiente.  Implementación de lectores de huellas digitales que permite comparar la imagen gráfica de las huellas digitales. Hoy en día se consiguen teclados con lectores de huellas digitales incorporados.  Dispositivo lector de "Smart Card" (tarjeta chip). Sus aplicaciones y usos se están desarrollando cada vez más. Además de autenticar la identificación del empleado; por ejemplo se las puede utilizar para cargarle al empleado cierto saldo y en el comedor se le descuenta cada vez que compra su almuerzo, o que saca comestibles de las maquinas expendedoras, también para controlar su asistencia; en definitiva va a ser la llave para todos sus beneficios dentro de la empresa.  Colocación de una web-cam que capte la imagen del usuario que está sentado frente al equipo y la compare con una imagen que esté en el archivo personal de cada usuario.  Lector de tarjetas con código de barras. Es muy costoso que cada equipo en una oficina tenga un lector de código de barras, ya que el mismo no tendría otra finalidad que la de autenticar cada ingreso del usuario al sistema. En cambio en terminales punto de venta donde el lector de códigos de barra se utiliza para leer las etiquetas de los productos, no sería muy costoso asignarle una tarjeta a cada usuario para que se registre al iniciar y finalizar su turno.
  • 10. Conclusión • Más que un problema de tecnología, la seguridad en la transmisión de la información por la Red se debe a la falta de cultura de las organizaciones y de las personas que la integran. • El eslabón más débil de esta cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener una cultura de seguridad, porque no existe en muchas empresas un responsable de seguridad.
  • 11. Esto se ve potenciado cuando se habla de Identificación y Autenticación de usuarios, ya que la responsabilidad de adoptar la política es de cada usuario, es imposible poder controlar a todos los empleados (excepto cuando la organización es muy pequeña). Por eso es fundamental crear una conciencia en la organización de la seguridad de sus datos y de cuánto éstos valen para la empresa. También lo potencia el hecho de que los enemigos de un sistema son muchos: los Hackers, los Crackers, empleados infieles y el espionaje Industrial y comercial; y cualquier irresponsabilidad le puede costar caro a la organización. Como prueba de lo dicho anteriormente "En el año 2000 se destinó al mercado de Servicios de Seguridad en Internet $140 millones de dólares, y Yankee prevé que para el año 2005 se gastará $1.7 Billones de dólares