La Autentificación en tiempos modernos. Usuarios y Contraseñas.

Defensores y detractores. Pero sea como sea esta dupla lleva con nosotros desde hace décadas. Hace muchos años, se entendió que el mejor sistema para autentificar a una persona en el mundo digital era esta combinación. Y es lógico, un usuario y una contraseña es relativamente sencillo de recordar (cumpliendo la premisa de ser simple), era por lo general inequívoca (cumpliendo la premisa de identificar de forma fiable a quien se quiere identificar), y por último era lo suficientemente segura para ser viable, ya que no se dependía solo de un usuario, sino además una cadena que tenía que coincidir.

Estas premisas han hecho que a día de hoy sea el modo de autentificación más extendido en el mundo, digitalmente hablando. Tal es así que el que más o el que menos casi con toda posibilidad contará este tipo de autentificación por decenas.

Bien, pero antes de continuar, es necesario entender como funcionan bien estos usuarios y contraseñas, ya que también han evolucionado con los años enormemente. Puede parecer algo trivial, pero tiene bastante más… “sustancia” de la que podemos imaginar. Además, es nuestro método principal de autentificación, que menos que saber como dios manda como funciona. También veremos los diferentes problemas de seguridad que conllevan su uso.


Funcionamiento Básico de Usuarios y Contraseña

Parece un poco estúpido per sé, todos sabemos que es un usuario y una contraseña… ¿o no?. En una definición simple, un usuario es una cadena de caracteres normalmente no secreta que identifica a la persona dentro del sistema, mientras que la contraseña es, por lo general, una cadena de caracteres secreta, conocida sólo por su dueño, que está asociada de forma íntima al usuario, y que permite su verificación sencillamente por cotejamiento contra el sistema donde queremos autentificarnos.

El modo de funcionamiento de este sistema ha ido evolucionando mucho, por suerte. Pero todos se han basado en la misma premisa:

  1. El interesado crea/genera/… para el servicio indicado la tupla Usuario/Contraseña. Requiere los dos para acceder al servicio, requiere memorizarlo.
  2. El servicio almacena (por lo general en una base de datos de usuarios) dicha
Leer Más...

La Autentificación en tiempos modernos. Introducción

Llevo mucho tiempo queriendo escribir sobre sistemas de doble autentificación, y específicamente sobre FIDO, y después de varios años, he creído que ya era hora. Así que aprovechando la gran demora en años, voy a aprovechar para dar un repaso del paradigma actual de la identificación.

La identificación puede parecer algo antiguo e incluso sencillo, algo que incluso nuestros abuelos y nuestros hijos/nietos bien conocen. Quizás el ejemplo más cotidiano sea nuestro DNI. ¿Y cual es la funcionalidad principal de este? Pues ni más ni menos, incluso en los tiempos que corren, la de identificarnos de forma única ante el mundo.

Internet no es tan diferente, es una entidad “virtual”, pero se rige más o menos por los mismos principios. Por supuesto puede ser deseable permanecer anónimo dentro de la gran red de redes, al igual que puede ser deseable muchas veces en el mundo real querer ocultar nuestra identidad, y para nada sólo con fines delictivos. Pero al igual que pasa en el mundo real, también necesitamos muchas veces, la mayoría de ellas, que el mundo sepa quien somos, algo que nos apunte de forme inequívoca.


EL USUARIO COMO IDENTIDAD

Internet supuso un antes y un después, y con él aparecieron un sin fin de nuevos… “servicios” para las personas. Desde el correo electrónico, las nuevas formas de comunicación como IRC (que con el tiempo evolucionaría a la mensajería instantánea), foros, blogs, comercio online, redes sociales… un universo que sigue una escalada exponencial, y en el que cada vez, nosotros como individuo, tenemos más peso. Nos comunicamos por Internet, compramos por Internet, nos informamos por Internet… tal es así que incluso vamos dejando muchos servicios tradicionales, y moviéndonos rápidamente a los digitales.

Pero para que todo ello haya sido posible, ya desde los orígenes, ha sido necesario que la inmensa mayoría de servicios que usamos sean únicos para cada persona, donde podremos muchas veces mentir sobre los datos que queramos dejar, pero sean falsos o ciertos, nos identifican en sus sistemas. No hizo falta ser un genio, sólo el sentido común para entender la necesidad de diferenciar … Leer Más...

La Autentificación en tiempos modernos. Índice.

Como siempre, empecé con una publicación sencilla y la cosa terminó siendo necesaria una división por partes… A medida que vaya publicando el resto de contenidos, iré actualizando los enlaces.

Leer Más...

DNS Over HTTPS/TLS: Encriptado del tráfico DNS

 

A lo largo de los años, la mayoría de los protocolos “base” con los que se constituyó el Internet que hoy conocemos han ido evolucionando, algunos más algunos menos. Es cierto que la base en la que se sostiene es a groso modo la misma, pero no así los protocolos que están encima de la mesa. El mejor ejemplo es el propio protocolo HTTP, que aunque parezca muy antiguo, realmente su primera especificación es de 1991. Vale, son 27 años, pero Internet podemos datarla más o menos por 1980. Sí, a día de hoy el protocolo HTTP es la base de toda la Internet navegable, pero muy poco queda de esa primera especificación de 1991. En 1996 aparecería la especificación HTTP/1.0, en 1999 HTTP/1.1 (la más usada a día de hoy) y en 2015 HTTP/2.0. HTTP ha evolucionado y es posible que continúe haciéndolo, y HTTP/2.0 ofrece grandes mejoras en todos los aspectos frente a especificaciones más viejas.

HTTPS apareció en 1992, un modo ingenioso, práctico y seguro de poder enviar/recibir la información HTTP de forma cifrada punto a punto, es decir, se cifra y descifra en origen, permitiendo conocer si ha existido manipulación en medio y además añadiendo identificación de las partes por medio de certificados digitales. Ahora, en 2018, HTTPS lo vemos como imprescindible, y con los certificados digitales más a mano que nunca hemos visto como el % de webs que lo han implementado se han disparado. ¿Por qué? Porque después de años de hartazgo de las propias instituciones gubernamentales, de fallos de seguridad, de robos de datos… ahora somos más desconfiados que nunca, y nos gusta pensar que, aunque lo que estemos mirando en Internet sea donde comprar un colchón, nadie va a poder saberlo (Bueno, todo tiene sus limitaciones, claro). Realmente su importancia principal fue y ha sido y será, debido al intercambio de datos privados entre usuario y servidores. Desde usuarios y contraseñas, direcciones postales, tarjetas de crédito, expedientes médicos… todo. Cualquier información que no vaya cifrada punto a punto corre el riesgo de ser leída… y ya no solo por … Leer Más...

¿Que es el nuevo Reglamento General de Protección de Datos (RGPD), que no está dejando títere con cabeza?

 

LOPD (antigua) Vs RGPD

El día 25 de Mayo de 2018 será recordado, con bastante seguridad, por ser un antes y un después, porque han cambiado las reglas del juego, las reglas de un juego en el que el producto era el propio ciudadano, y el vendedor y el comprador empresas de medio mundo. Pero antes de entrar en detalles… ¿Que diablos es la RGPD?

En España llevamos años rigiéndonos por la Ley Orgánica de Protección de Datos (LOPD), supervisada por la agencia de protección de datos. Este organismo ha tenido un papel fundamental en los últimos años, sobre todo si tenemos en cuenta que cada año que pasa nos metemos más de lleno en una sociedad totalmente “tecnologizada”, en una sociedad donde cada vez vale más nuestra información, lo que hacemos, lo que nos gusta, todo. Y si tengo que ser justo, tengo que decir que al contrario de la opinión que tengo sobre como funcionan la mayoría de las cosas aquí en España, la agencia de protección de datos a cumplido con su cometido, ha sido tanto comprensible,  flexible, firme como implacable, en función de las irregularidades, y más importante, de la intencionalidad.

El Reglamento General de Protección de Datos (RGPD) no es una ley ni un reglamento Español, tiene un alcance Europeo, es el acuerdo de años de trabajo de la UE, y digamos que sienta las bases, unas nuevas bases, de como se deben de tratar, recolectar, vender… cualquier dato/información de carácter personal de sus ciudadanos. Esto no va (solo) del mundo digital, ojo, esto se aplica absolutamente a todo. En España, el RGPD sustituye/modificará por tanto la LOPD actual, para darle cabida. Y sí, es de obligado cumplimiento para todos. Nuestra ya vieja LOPD, si bien es cierto que en algunas cosas era más restrictiva, en muchas otras se quedaba corta. El RGPD unifica en territorio europeo las nuevas reglas del juego de los datos personales.

El que más o el que menos ya sabe lo que es la RGPD. Vale, puede que desconociesen lo que estaba detrás, pero lo lleva viviendo … Leer Más...

Volver a arriba

Sobre Mí

Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Política de Privacidad.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.