Autenticación de dos factores es clave para proteger la nube

Han pasado seis años desde la notable violación del servicio de nube de Salesforce.com, cuando un empleado entregó una contraseña en un ataque “phishing” contra la compañía. Como resultado, los hackers pudieron obtener los detalles de miles de clientes de Salesforce y después enviarles a estos una serie de correos electrónicos “phishing” que aparecían como si fueran de la compañía. En aquel momento Salesforce le dijo a sus clientes que “consideraran el uso de autenticación de dos factores”.

Pasemos al momento actual y veremos que los problemas de seguridad en la nube persisten. En octubre del año pasado unos hackers lograron burlar la seguridad de la nube Creative de Adobe y su servicio Revel de compartir fotos, obteniendo así las identificaciones y contraseñas de clientes de Adobe. Si los clientes de Adobe hubieran estado utilizando autenticación de doble factor, habrían estado seguros porque las contraseñas comprometidas serían inútiles sin el segundo autenticador.

La autenticación de dos factores es esencial, lo mismo si accedes o proporcionas acceso a una nube pública, privada o híbrida. Pero aún hoy la mayoría de las empresas que utilizan múltiples servicios de nube le dan preferencia a la conveniencia por encima de la seguridad. Esto obedece en primer lugar a la percepción desactualizada de que implementar una autenticación fuerte es algo complicado, costoso, que es difícil lograr la aprobación administrativa, la implementación es engorrosa y además inconveniente para los usuarios.

Actualmente la evolución de los servicios de nube ha eliminado muchas de esas barreras. La seguridad se ha convertido en un tema prioritario debido a la intensa publicidad sobre el elevado costo de las violaciones de datos y el costo más alto aún para la reputación de las marcas. Recientes adelantos en la arquitectura de software de red y en las herramientas administrativas han reducido los costos, el tiempo y la especialización requerida para implementar una fuerte autenticación en el control de acceso a los servicios en nube.

Soluciones fuertes y asequibles para autenticación de doble factor

Los proveedores de servicio en nube que quieran pasar rápidamente a la utilización de una autenticación fuerte deben empezar por considerar los controles de acceso mediante contraseña de un solo uso. Las soluciones de contraseña de un solo uso (OTP) incrementan la seguridad del proceso de inicio de sesión asegurando que la persona que accede a la red está en posesión de dos factores de verificación de identidad: algo que tienen que es el dispositivo OTP y algo que conocen, el nombre de usuario y potencialmente una contraseña.

Los generadores de contraseñas de un solo uso vienen en diversos factores de forma, como tokens de hardware portátiles, tarjetas display, SMS y aplicaciones móviles. Todos estos son medios efectivos para implementar la autenticación de dos factores, y son un ejemplo de cómo diferentes soluciones pueden resolver diferentes necesidades. Un token OTP puede colocarse fácilmente en una cinta de cuello o un llavero, y una tarjeta display puede llevarse en la billetera. Ambos proporcionan una segunda y efectiva capa de autenticación sin que resulte una molestia.

La mensajería móvil de texto y las aplicaciones móviles son medios incluso más baratos para proveer contraseñas de un solo uso, en especial cuando se está generalizando la práctica BYOD (“Trae tu propio dispositivo”). Actualmente ya no existe un profesional que no lleve consigo el dispositivo móvil, sea un teléfono inteligente o una tableta. Emplear esos dispositivos móviles como token OTP ahorra dinero y reduce complejidad.

Hay dos formas de utilizar los dispositivos móviles para la autenticación OTP:

SMS. Esto permite que el usuario pida una contraseña de un solo uso cuando se conecta a un recurso específico. El usuario recibe un mensaje de texto de la red en base al número móvil que está registrado en la compañía. Esto ofrece el mismo nivel de autenticación fuerte, pero sin necesidad de implementar ningún hardware adicional.

Aplicación de teléfono inteligente. Con el auge de las tiendas de aplicaciones, han aparecido aplicaciones OTP que funcionan con todos los principales sistemas operativos de los teléfonos inteligentes. Cuando se le pide a un usuario que ingrese una contraseña de un solo uso para una autenticación fuerte, lo único que tiene que hacer es lanzar la aplicaciones que generan una OTP. Esto también elimina la necesidad de un dispositivo adicional de hardware, lo que hace que el método sea económico y fácil de usar.

Otra importante ventaja del empleo del dispositivo móvil como token OTP es la capacidad de descargar y proveerse por sí mismo de la aplicación. Las empresas pueden subcontratar la operación del servidor de autenticación a un proveedor de soluciones, o llevar la tecnología a la empresa mediante hosting local (on-premise). Las organizaciones pueden emplear la solución en toda una variedad de teléfonos y entornos móviles de trabajo.

Para las compañías que investigan soluciones OTP, es importante considerar la opción de una solución que cumpla con las actuales normas OATH (Open Authentication Organization). Esos estándares industriales para la autenticación pueden ayudar a reducir costos y obviar los inconvenientes de las soluciones de propiedad.

La computación en nube no es una tendencia transitoria. Forrester predice que el mercado global de computación en nube crecerá a más de $241,000 millones en 2020, y el “Informe del Estado de la Nube” 2013 de CDW expuso que el 75% de los negocios reportaron que utilizaban algún tipo de plataforma de nube. Tanto la nube como el dispositivo móvil inteligente han conducido a las empresas a una nueva era de productividad, eficiencia y conveniencia, pero en ocasiones a expensas de la seguridad.

Si los proveedores de servicios en nube quieren desplegar todo el potencial de nube, tienen que ofrecer métodos más sólidos de autenticación. Esto ahora es más fácil y económico que nunca antes, y puede ser tan sencillo como utilizar dispositivos que todos conocemos y portamos – nuestros teléfonos inteligentes – como ese algo “que tenemos” cuando nos conectamos a un servicio de nube.


Fuente:IDNoticias

LaunchKey habilita reconocimiento facial para usuarios de WordPress

LaunchKey incluyó escaneo facial biométrico para dispositivos con sistemas operativos iOS y Android. Funciona utilizando la cámara del propio dispositivo. Mejor aún, esta forma de autenticación puede utilizarse con cualquier sistema con soporte LaunchKey.

La gran noticia en esto es que los usuarios de WordPress que tienen plugin de LaunchKey pueden ahora acceder al sitio utilizando los datos biométricos de reconocimiento facial que están en su dispositivo móvil.

Todo lo que se necesita es la aplicación móvil LaunchKey, que está disponible en la tienda de aplicaciones y en Google Play. Una vez que el escaneo facial se habilita en el panel de control, se pide al usuario que tome diez fotos de su rostro, que registrarán sus rasgos únicos.

“Aunque el reconocimiento biométrico facial es nuevo para LaunchKey, no necesariamente recomendamos un factor de autenticación por encima de otro, ya que nuestro criterio es la utilización de un enfoque multifactor”, afirma Geoff Sanders, cofundador y director general de LaunchKey. “Dejamos a opción del usuario final el determinar cuál es el nivel de seguridad adecuado para él, y al propio tiempo posibilitamos que las aplicaciones tengan la habilidad para forzar ciertos factores de autenticación por la parte de la API”.

LaunchKey se autopromociona como la primera plataforma de autenticación hecha para la era post-contraseña y la Internet de Todas las Cosas. Sanders dice que todos los datos biométricos que se recogen, son encriptados y habitan solamente dentro del dispositivo móvil del usuario.

“LaunchKey es la primera solución de autenticación que saca 100% fuera de banda toda la capa completa de autenticación”, explica Sanders. “Este enfoque móvil descentralizado hace que LaunchKey sea inmune a muchos de los vectores comunes de ataque a que son vulnerables las contraseñas (ataques man-in-the-middle y otros), porque la autenticación en su totalidad ocurre en el dispositivo móvil del usuario final, no en el sitio web ni en la aplicación que solicita la autenticación”.


Fuente: IDNoticias

Tatuaje digital’ utiliza NFC para desbloquear teléfonos

El año pasado Motorola anunció “Skip”, un clip habilitado con NFC que puede utilizarse para desbloquear el dispositivo insignia de la compañía, el Moto X. Ahora VivaLnk está vendiendo un tatuaje digital para desbloquear teléfonos.

Los usuarios se colocan el tatuaje del tamaño de una moneda de 5 centavos, en su muñeca y pueden desbloquear el dispositivo sosteniendo el teléfono inteligente cerca del tatuaje. Cuando el usuario del teléfono inteligente lo utiliza, el tatuaje digital proporciona autenticación electrónica para desbloquear el teléfono. Los tatuajes duran unos cinco días, en dependencia del nivel de actividad del usuario, y se venden en paquetes de 10 unidades por $9.99.

La tecnología fue desarrollada con Proyectos y Tecnología Avanzada de Google. VivaLnk ha desarrollado la tecnología eSkin en que la electrónica, en un material ultrafino y flexible, se comunica por vía inalámbrica con el telefóno inteligente del usuario. El tatuaje Digital Tattoo es un producto desechable y puede utilizarse por aproximadamente cinco días y después se reemplaza por otro igual.

Después de configurar Moto X, usted activa separadamente un tatuaje digital. Simplemente da un toque a su tatuaje con el reverso del Moto X y sigue las instrucciones que aparecen en pantalla. Para la primera activación se le pedirá que reintroduzca su PIN existente y que sitúe un PIN maestro. Para las activaciones sucesivas del mismo tatuaje, usted acopla el tatuaje y le da un toque para activarlo.

El Skip de Motorola es el mismo concepto básico, pero en lugar de un tatuaje, utiliza un transmisor que puede fijarse a la ropa o colocarse en determinados lugares en que resulte conveniente. Skip se vende por $9.99 cada uno en el sitio web de Motorola.

Puede ver aquí un video ilustrativo.


Fuente: IDNoticias

Gartner analiza el panorama de autenticación de usuario

No es fácil saber quién está del otro lado en una conversación en internet. Está claro que todo el mundo aprende pronto que una buena autenticación de usuario consiste en algo que tienes, algo que conoces o algo que eres, pero lograr que la gente utilice esas técnicas no es tan sencillo como quisieran los profesionales de la seguridad.

Los empleados y consumidores no siempre están muy atraídos para usar tecnologías de alta seguridad. Uno de los principales obstáculos es la usabilidad, señala Gartner, y los proveedores están comenzando a reconocer esto.

El autor Ant Allan plantea que las demandas por la práctica BYOD (Trae tu propio dispositivo) están forzando a los vendedores a modificar sus productos y servicios. Los usuarios quieren que el inicio de sesión sea tan fácil como el uso de cualquier otra aplicación en los teléfonos de consumo. La mayoría lo que desea es deslizar el dedo o ingresar un PIN.

“Lo que se quiere es una metodología de autenticación, digamos, una aplicación móvil que provea el nivel de confianza adecuado y no afecte la experiencia del usuario”, explica Allan.

Las compañías que crearon tokens físicos de autenticación florecieron durante años orientadas hacia un mercado de técnicos hábiles interesados en la seguridad. Esos usuarios cuando se hace necesario se ajustan a tener que emplear un sistema algo incómodo para escribir contraseñas de un solo uso.

Ese mercado aún existe, pero se ha producido una explosión en el número de personas que requieren una forma segura de conectarse. Como respuesta, Los proveedores están haciendo que sea más fácil no solo el “saber”, sino también el “tener” e incluso el “ser” algo que pueda usarse para la autenticación.”

Tener

El aspecto de “tener” es bastante sencillo. En lugar de mantenerse con el tradicional token plástico que genera contraseñas al vuelo, compañías como RSA y Symantec han creado tokens suaves que se alojan en los teléfonos inteligentes o en casi todos los dispositivos digitales, incluyendo PCs, laptops y tabletas, explica Allan. Este cambio reporta varios beneficios. Por una parte, son mucho más baratos. Por otra, son comunes y fáciles de usar. Además están integrados en algo que las personas tienen consigo todo el tiempo. O sea, los tokens suaves no solo son más manuables, sino que además pueden integrarse en un dispositivo que la gente realmente emplea para acceder a sus redes.

Ser

En los próximos años los factores contextuales, en especial de localización, aumentarán en importancia, observa Allan. La localización es popular porque virtualmente cada teléfono inteligente incluye sensores para detectarla. Lo más importante es qué dice la localización acerca de un usuario. Mientras que el hogar y la oficina pueden ser ampliamente conocidos, raramente ocurre que el horario cotidiano de un individuo pueda predecirse como para falsear una identidad. De modo que las restricciones basadas en la localización pueden resistir los ataques en el largo plazo.

La biometría de rostro, iris y huellas digitales es bien conocida, pero también está surgiendo la biometría basada en el comportamiento. Casi todos los movimientos físicos relacionados con el empleo de un dispositivo pueden rastrearse, desde la forma en que escribimos en nuestros teléfonos, tabletas y teclados, hasta el modo en que pasamos de una pantalla a otra. Los usuarios pueden inventar sus propios gestos para agitar un dispositivo, si así lo desean. Una vez identificados, esos comportamientos pueden utilizarse para la futura autenticación.

Todo esto puede convertirse en matemática, al igual que los métodos anteriores. Pero la diferencia estriba en la profundidad de la defensa. “Si utiliza un método tradicional, usted tiene una credencial específica que está conectando a un usuario”, dice Allan. “Si lo que hace es autenticación contextual, usted no tiene ningún elemento de información que sea fuerte por sí mismo. Son múltiples elementos de información los que se adicionan para crear un puntaje general. Es como tener un mazo de tallos de una planta, en lugar de tener una rama”.

Los recientes ataques contra infraestructuras de todo tipo sugieren que en el negocio de la seguridad debe producirse un auge. Eso es cierto hasta un punto: Las compañías que se especializan en respuesta a incidentes, por ejemplo, plantean que están rechazando clientes porque no pueden cubrir la demanda. Por otra parte, los especialistas en autenticación - esos que están en la línea frontal donde debían pararse los ataques en primer lugar - informan que sus negocios están creciendo, pero no al mismo ritmo.

En general Gartner estima quizás un 20% de crecimiento en el volumen de usuarios para 2013, pero solamente un 10% de incremento en los ingresos debido al creciente uso de las soluciones más económicas de nube y de token suave.

Los hackers no se quedan quietos. Ya han comprometido por lo menos un algoritmo de contraseña de un solo uso, ahora ya remediado, y están trabajando en muchos otros. Pueden seguir adelante, pero están creciendo los ataques browser-in-the-middle (navegador en el centro), señala Allan, porque son más fáciles de ejecutar que muchos hackeos de autenticación.

Fuente: IDNoticias

Rostro + voz = acceso

FaceBanx ofrece biometría multimodal para autenticación en línea

Ni nombre de usuario ni contraseña. Simplemente miras hacia una cámara web, repites unos cuantos dígitos aleatorios y puedes acceder a un sitio o recibes autorización para hacer una transacción. Este es el modelo propuesto por FaceBanx que está siendo probado por varias compañías importantes, explica Steve Cook, director de desarrollo comercial de la firma.

Para registrarse, los clientes utilizan su cámara web para tomarse una foto y después repetir una serie aleatoria de cuatro números – “1234” – cuatro veces. Para cada inicio de sesión subsecuente, el cliente utiliza la cámara para tomar otra foto y repite solamente una vez los cuatro dígitos que aparecen en pantalla.

El sistema entonces realiza una búsqueda múltiple, comparándolo con las plantillas faciales que están registradas en una base de datos y autentica la identidad real con la voz, explica Cook.

Yo hice de conejillo de indias, tomando parte en la demo para registro y sistema de inicio de sesión disponibles en el sitio web de Facebank. Registrarse era sencillo, lo único que necesitaba en mi computadora era la cámara web y un micrófono, accesorios comunes hoy en día.

En los siguientes inicios de sesión de la prueba, el sistema resultó fácil de usar y me autenticó de forma precisa, mientras que denegó la autenticación de varios amigos y familiares que se hacían pasar por mí.

Según Cook, una de las pruebas iniciales tiene que ver con una firma de telecomunicaciones que está tratando de liberar a sus clientes de las contraseñas, y ahorrar dinero eliminando las llamadas para restablecer contraseñas. Se espera que pronto comiencen otras pruebas, incluyendo la de un banco multinacional que quiere mejorar la seguridad de las cuentas de sus clientes y restringir la oportunidad para acceso criminal.

Facebanx se fundó hace dos años para ofrecer software de video chat. Uno de sus primeros clientes, un cliente de seguros, quería adicionar reconocimiento facial para detectar fraudes potenciales, señala Cook. Así surgió la solución de autenticación, que a partir de entonces ha pasado a ser utilizada en el comercio minorista, los juegos, los servicios financieros y otros sectores.

El restablecimiento de contraseña es otra aplicación común. En lugar de tener que quedarse en espera y responder a preguntas de seguridad, una compañía puede implementar FaceBanx para perfeccionar el proceso, dice Cook. Los clientes se registran cuando abren una cuenta y después pueden utilizar el sistema cuando lo necesiten en el futuro.

Las compañías de servicios financieros en la Unión Europea también están examinando seriamente esta solución, señala. Dentro de poco entrará en efecto una nueva ley contra el lavado de dinero, y las instituciones financieras tienen que adoptar medidas más efectivas para conocer a sus clientes.

Facebanx es miembro de FIDO Alliance (Fast Identity Online), una organización compuesta por más de 100 compañías tecnológicas y biométricas, incluyendo PayPal, Google y MasterCard, que trabaja por redefinir la autenticación en línea con especificaciones abiertas y basadas en estándares para eliminar la dependencia de las contraseñas.

Fuente: IDNoticias

Autenticación biométrica sin ningún hardware adicional

Las universidades han adoptado Biometric Signature ID

Cuando se trata de autenticación en línea, lo que se quiere es que sea fácil, segura y económica. El gasto casi siempre se refiere a adicionar algún hardware o software que el consumidor usa, de modo que en el mejor de los casos no haría falta más nada.

Biometric SignatureID está siguiendo esa pauta, ofreciendo un servicio de autenticación que puede hacerse con solamente un mouse o una trackpad. Los usuarios se registran trazando números o caracteres en recuadros usando el mouse o la trackpad. Además, hay un factor adicional para el registro que es capturado cuando el usuario hace clic en un teclado en la pantalla para ingresar una contraseña.

BioSig-ID evalúa el patrón de la contraseña en cuanto a longitud, ángulo, velocidad, altura y cantidad de golpes de teclado; y guarda la información en una base de datos codificada. Al comparar estos datos con los datos recogidos por los subsecuentes inicios de sesión del usuario, BioSig-ID confirma que la persona que se registró es la misma que trata de acceder al servicio. Solo el mismo usuario que se autentica exitosamente con respecto a un perfil registrado anteriormente, puede seguir adelante.

La tecnología está siendo empleada para autenticar estudiantes que acceden a clases y exámenes en línea, explica Jeff Maynard, presidente y CEO de Biometric Signature ID. La tecnología se utiliza en 53 naciones y en los 50 estados de EEUU para la verificación de la identidad estudiantil. Las universidades requieren cumplir lo estipulado en el Acta de Educación revisada, lo que significa que las instituciones que desarrollan cursos en línea tienen que contar ahora con un proceso de identificación, comprobando que el estudiante que inicia sesión y toma el curso es el “verdadero” estudiante.

El sistema no solo captura la biometría de gestos, explica Maynard, “Recogemos todo tipo de información en torno al evento de autenticación y hemos ganado experiencia en entender ese comportamiento desde diferentes direcciones IP”.

El sistema también se utiliza en uno de los programas pilotos para la Estrategia Nacional de Identidades de Confianza en el Ciberespacio. BioSig-ID es la tecnología de autenticación que se está empleando en el programa piloto de la Asociación Americana de Administradores de Vehículos Motorizados y el Departamento de Vehículos Motorizados de Virginia.

La prueba piloto está creando un marco de confianza para servir a los sectores público y privado. Una vez concluido, el programa piloto tomará las identidades de los proveedores comerciales – Google, Facebook, etc – y permitirá que los consumidores añadan seguridades para los mismos. Los consumidores utilizarán datos de la licencia de conducir, que se chequearán con el Departamento de Vehículos Motorizados de Virginia, para añadir los elementos suplementarios de autenticación.

El proyecto ofrece varios sistemas de autenticación para los usuarios, incluyendo Biometric Signature ID. Para registrarse, el usuario traza una “firma” empleando el mouse y crea un perfil. Cuando vuelve a emplear el sistema, el usuario traza de nuevo la firma, que es chequeada con la versión registrada y se produce una decisión de autenticación.

Biometric Signature ID pronto irrumpirá en el mercado de salud con una prueba piloto, informa Maynard. Esa prueba utilizará la aplicación móvil de Biometric Signature ID y códigos QR para eventos de autenticación.

Fuente: IDNoticias

Software de NexID detecta si huella digital pertenece a un dedo vivo

NexID Biometrics lanzó el software Mobile Live Finger Detection, diseñado para incorporar la detección de vida en los escáneres de huellas digitales de los teléfonos móviles.

El software brinda tasas de autenticación tan altas como 94% a 97%. NexID desarrolló este software móvil específicamente para dispositivos móviles. Debido a la variedad de soluciones de escaneo de huellas digitales que existe en el mercado, la compañía diseñó el software para que sea tecnológicamente agnóstico, de manera que pueda funcionar con todos los sensores de huellas digitales y dispositivos móviles, y además lograr rápidos tiempos de ejecución y eficiencia de recursos.

El software móvil reside en un dispositivo móvil y detecta si una imagen capturada por el sensor de huellas digitales del dispositivo está detectando un dedo de una persona viva o si se trata de una huella falseada.

Incorporar la detección de dedo vivo fortalece la seguridad del dispositivo y ayuda a eliminar el desbloqueo del teléfono o de una de sus aplicaciones que pueda contener información confidencial. Como se evidenció en el caso del iPhone 5S TouchID de Apple, los sensores de huellas digitales son vulnerables al hackeo cuando no tienen alguna forma de detección de vida.

NexID va a presentar este software de detección Mobile LFD en la expo Connect:ID, donde ejecutivos de la compañía expondrán acerca de las técnicas de “spoofing” de huellas digitales y la detección de falsificaciones de los dedos.

NexID plantea que su software puede mejorar las innumerables soluciones de identificación mediante huellas digitales que están siendo desarrolladas por los fabricantes de sensores, compañías de dispositivos móviles y desarrolladores de aplicaciones. Las compañías de sensores de huellas digitales pueden incorporar el software directamente en el chip del sensor, y los fabricantes de dispositivos los pueden adicionar al procesador principal, todo ello para proporcionar a los clientes una conveniente alternativa con respecto a las contraseñas y PINs tradicionales. La solución Mobile LFD de NexID también puede incorporarse en la “zona de confianza” o en los conjuntos de chips de entorno de ejecución confiable.

Mobile LFD SDK se distribuirá gratuitamente con propósitos de evaluación, integración de solución y ensayos. NexID ofrece además servicios profesionales para ayudar con el proceso de integración de solución. Separadamente se negocian los acuerdos de licencia y distribución.

Fuente: IDNoticias

Bionym y el ritmo cardiaco en el mercado biométrico

Las huellas digitales, el reconocimiento facial y los escáneres de iris han dominado durante mucho tiempo el panorama de la biometría, pero Byonim, con sede en Canadá, ha desarrollado un dispositivo de autenticación que se mueve a otro ritmo. La compañía está comercializando una pulsera denominada Nymi que utiliza el electrocardiograma (ECG) del usuario como identificador único.

La autenticación mediante electrocardiograma es relativamente desconocida, pero como explica Karl Martin, director general de Bionym, esa modalidad biométrica ha sido objeto de estudio académico durante muchos años. “La singularidad y permanencia del electrocardiograma humano como identificador biométrico ha sido una idea establecida en la comunidad de investigadores”, apunta Martin. “Dicho brevemente, observamos la configuración general de la onda ECG y aplicamos técnicas de Machine Learning para extraer las características únicas y permanentes”.

Martin y sus asociados en Bionym han realizado investigaciones de ECG, haciendo pruebas en más de 1,000 sujetos en la Universidad de Toronto. El estudio reveló que la precisión puede ser más elevada que en el reconocimiento facial y puede competir con los sistemas avanzados de huellas digitales, explica Martin.

¿Cómo ha de funcionar esta solución cuando el ritmo cardiaco se eleva o acelera? El escenario: Usted camina a su casa meditando sobre sus asuntos cuando un atacante intenta robarle. Logra librarse y corre hacia la puerta de su casa, que le permite el acceso mediante su pulsera biométrica accionada por ECG. ¿Seguirá funcionando aunque se haya elevado el ritmo cardiaco?

Absolutamente, explica Martin, porque el ECG no se afecta por el ritmo cardiaco. Hay que reconocer que ese escenario fue bastante extremo, pero la respuesta es reconfortante. “Si ya usted utiliza su Nymi, puede tener la tranquilidad de que se mantendrá autenticado con independencia de lo rápido que corra”, señala.

Cómo funciona

“Utilizamos el reconocimiento ECG como uno de los tres factores”, explica Martin. “Los otros dos factores son la posesión de la pulsera y de un teléfono, tableta o computadora que haya sido registrada para su empleo durante el proceso de autenticación”.

La aplicación móvil acompañante juega un rol esencial en la conveniencia y seguridad del sistema. Es compatible con los principales sistemas de computación de móviles y ordenadores, incluyendo Android, iOS, Windows y Mac.

Después de instalar la aplicación a una tableta, computadora o teléfono inteligente, el usuario se coloca la pulsera y toca el dispositivo con la mano opuesta durante varios segundos. Esta acción inicia el proceso de registro utilizando Bluetooth para transmitir el ECG a la aplicación. En lo adelante, la aplicación conduce la autenticación.

Cuando el usuario se coloca la pulsera todavía no se ha realizado la autenticación, por lo que no puede concederse el acceso a las transacciones. Para cambiar al estado autenticado, se habilita la aplicación y se realiza una coincidencia biométrica mediante la comparación del patrón ECG real del usuario con la versión guardada en la aplicación. Este proceso toma solo unos pocos segundos. A partir de entonces la pulsera opera en forma autónoma, sin necesidad de un teléfono inteligente o una tableta.

Conveniencia

Martin describe que Nymi es una pulsera discreta y estilizada. El usuario la coloca al comenzar el día, toca el dispositivo por unos segundos para activarlo y se puede olvidar de ella en el transcurso del día.

La conveniencia es un aspecto de la ecuación biométrica que Martin considera que el mercado aún tiene que lograr y por eso Byonim se centra en la experiencia del usuario. “Parece que el santo grial que nadie logra aún es conveniencia más seguridad, en lugar de conveniencia opuesta a seguridad”, comenta y añade que Byonim está enfocado hacia la comunidad de desarrolladores en un esfuerzo por crecer orgánicamente.

Con un gesto de la muñeca

Nymi también incorpora un sensor de movimiento que puede habilitar determinados comandos mediante gestos, por ejemplo para abrir la puerta del vehículo o el maletero. “La idea es que la pulsera no solo sirva para la identificación, sino para las cosas que el usuario quiere hacer con su identificación”, explica Martin. “En el caso del bloqueo físico, quizás el usuario no está interesado en que se abra la puerta cada vez que se acerque al vehículo, sino en un gesto específico para controlar cuando quiere abrirla o bloquearla”.

Seguridad

Martin opina que es altamente improbable que pueda hackearse gracias a los tres factores para la identificación del usuario: biometría ECG, la pulsera, y el teléfono o tableta empleado para la autenticación. El hacker tendría que robar la pulsera, robar el teléfono o tableta con la aplicación acompañante y además falsear la biometría ECG.

También es esencial para la seguridad de Nymi un elemento de hardware que está incorporado dentro de la propia pulsera que ejecuta funciones criptográficas y también almacena claves.

Cambiando la naturaleza de la autenticación, más que la modalidad

Una de las características únicas es el proceso de autenticación por una sola vez, que deja a la pulsera en un estado constantemente autenticado.

“No estamos simplemente reemplazando contraseñas y PINs por biometría”, explica Martin. “La forma en que funciona el mundo de hoy, sea con contraseña, PIN o biometría, es que uno realiza la autenticación en el momento en que lo necesita, cuando quiere acceder a una puerta o tener acceso lógico a un escritorio, etc.” Cada vez que el usuario necesita utilizar la identidad autentificada, se proporciona la credencial en ese momento. Esto realmente demuestra cómo la solución difiere de otras ofertas biométricas. desktop, etc.”

Martin es escéptico respecto a iniciativas como el nuevo iPhone de Apple habilitado con sensor de huellas digitales, y cuestiona si el usuario realmente logra con ello un beneficio sustancial. “Solo reduce un tanto la fricción con relación al método actual, porque el usuario del iPhone proporciona una huella digital para desbloquear el teléfono, pero tiene que volver a dar esa huella para realizar un pago digital”, observa. El punto aquí es que la contraseña o PIN, junto con modalidades biométricas más tradicionales, aún requiere que el usuario ingrese su credencial cada vez que quiere utilizar su identificación. “Pasar simplemente de las contraseñas a la biometría no mejora mucho la vida de la gente”, señala Martin. “Lo que nosotros hacemos es situar la identificación autenticada en el cuerpo, de modo que el usuario solo necesite realizar una acción cuando se coloca la pulsera Nymi. Estamos separando el proceso de autenticación del acceso o momento en que se usa la identificación”.

Predicciones de HID sobre seguridad en 2014

HID Global dio a conocer sus proyecciones en cuanto a las tendencias que tendrán mayor impacto en la industria de identificación segura en 2014. Las predicciones abarcan una gama de soluciones y tecnologías, incluyendo algunos avances anticipados en el control de acceso físico y lógico, la emisión segura, la protección a la identidad, la gestión sobre los visitantes, la identificación electrónica (eID) y el control seguro de los activos.

Selva Selvaratnam, director de tecnología (CTO) de HID Global, anticipa una declinación en el empleo de las contraseñas para asegurar los recursos, en la medida en que las organizaciones amplían el uso de una fuerte autenticación en toda su infraestructura informática y en el plano externo. Esto puede acelerar la convergencia del control de acceso físico y lógico, lo cual contribuiría a una experiencia mejor para los usuarios al asegurar las puertas, los datos y la nube.

Selvaratnam predice:

"La industria se mueve más allá de las arquitecturas de control de acceso estáticas propias, hacia las soluciones seguras, abiertas y adaptables que satisfacen el deseo de los clientes de adquirir nuevos productos y tecnologías que faciliten su negocio".

A medida que el panorama de la seguridad evoluciona en modos nuevos, las organizaciones progresistas y los líderes de pensamiento innovador, están adoptando una nueva actitud respecto al cambio. Realizar modificaciones de modo proactivo habrá de asegurar que una solución de control de acceso de una entidad pueda adaptarse a futuras amenazas y aproveche las oportunidades y aplicaciones más allá lo que es control de acceso. Las futuras aplicaciones de alto valor pueden ser diversas, desde la venta sin uso de efectivo, el control de asistencia y horario hasta la gestión segura de impresión, el inicio de sesión seguro en red, todo ello como parte de una solución de seguridad multi-capa y totalmente interoperable en el entorno de los sistemas y facilidades de una compañía.

La integración del control de acceso físico con la seguridad informática aportará nuevos beneficios y además cambiará el modo en que operan las organizaciones.

Históricamente las funciones de control de acceso físico y lógico han sido mutuamente excluyentes dentro de una organización, y cada una de ellas ha sido efectuada por un grupo distinto. Ahora las fronteras entre esos grupos están comenzando a difuminarse y las organizaciones quieren proveer un sistema de control de acceso físico e identidades digitales en una tarjeta única, o en un solo teléfono inteligente. Pronto los usuarios podrán tener varios tipos de credenciales de control de acceso, así como tokens de contraseña de un solo uso (OTP) en una sola tarjeta inteligente basada en microprocesador, o un solo teléfono inteligente.

 La autenticación fuerte continuará ganando en importancia frente al cambiante entorno de seguridad informática, y también se aplicará a las puertas.

 La industria se está moviendo más allá de las simples contraseñas hacia los factores adicionales de autenticación, incluyendo algo que ya tiene el usuario, como un móvil o un token de web; y algo que es inherente al usuario, como es la biometría y la métrica del comportamiento. Aunque la industria está sustituyendo el hardware con contraseñas de un solo uso (OTP) por tokens de software que puede estar contenidos en los dispositivos del usuario, como teléfonos móviles, tabletas y tokens basados en navegador, este enfoque tiene algunas vulnerabilidades en cuanto a seguridad.

Una alternativa de autenticación fuerte mucho más segura son las credenciales multi-aplicación que pueden llevarse en tarjetas inteligentes o en teléfonos inteligentes. Los usuarios sencillamente toman la misma tarjeta o teléfono que emplean para acceder a los edificios y le dan un toque a la tableta personal o laptop para autenticarse para los recursos informáticos. También se producirá una mayor adopción de otros factores de autenticación, incluyendo la biometría y la tecnología de gestos.

Se implementará cada vez más un fuerte autenticación con uso de estrategia multi-capa.

 Las soluciones fuertes de autenticación se utilizarán para asegurar tanto las puertas, como los datos y la nube.Tendrán capacidades de autenticación multifactor para una protección más efectiva contra las amenazas, como parte de una estrategia de seguridad multi-capa. Además de la autenticación multifactor de usuario como primera capa de seguridad, tanto dentro del firewall como en la nube, hay otras cuatro capas que implementar, incluyendo la autenticación del dispositivo, el canal, la transacción y la aplicación.

 La implementación de esas cinco capas de seguridad requiere una plataforma de autenticación integrada y versátil con capacidades de detección de amenazas en tiempo real. Se espera que la tecnología de detección de amenazas, que ya se ha empleado por algún tiempo en la banca y el comercio electrónico en línea, se introduzca en el sector corporativo como una manera de proveer una capa adicional de seguridad para casos de uso de acceso remoto, tales como VPN o Escritorios Virtuales, y en la esfera de salud para el acceso a los registros en línea.

El control de acceso móvil se continuará implementando en etapas.

 Esperamos ver en 2014 las primeras fases de la implementación de acceso móvil, en la cual el teléfono inteligente funciona de modo similar a una transacción por tarjeta, con limitaciones a causa de la tecnología y los ecosistemas comerciales. En fases subsecuentes el rendimiento del procesador y las capacidades multimedia de los teléfonos se aprovecharán para superar las limitaciones y lograr transacciones más funcionales, mejorando la experiencia del usuario.

Mirando más hacia adelante, la conectividad de los teléfonos inteligentes se utilizará para ejecutar la mayoría de las tareas que actualmente se llevan a cabo de conjunto por lectores de tarjeta y servidores o paneles en sistemas tradicionales de control de acceso. Esto incluye la verificación de identidad con reglas tales como por ejemplo, si la petición de acceso está dentro de un tiempo permitido y, usando la capacidad GPS del teléfono, si la persona está realmente en las cercanías de la puerta. El usuario podrá ser validado mediante una aplicación de nube y se le otorgará el acceso a través de un mensaje confiable mediante comunicación segura con la puerta.

        

 Fuente: IDnoticias

La búsqueda de un sistema de autenticación sin “fricción”

Cuando se debate acerca de las diferentes tecnologías de identificación o autenticación, a menudo surge el término “fricción”. Esto no se refiere al acto físico de friccionar un token sobre una laptop o teléfono inteligente, sino a la cuestión de cómo una tecnología de autenticación podría hacer más dificultoso el proceso de lograr acceso a un servicio o un sitio web.

Los nombres de usuario y las contraseñas no son un excelente mecanismo de autenticación, pero funcionan, salvo si la persona no los recuerda. Una fricción añadida es el problema con las contraseñas más largas y complejas.

No existe ningún esquema de autenticación que no tenga alguna fricción. Pero el objetivo de los proveedores de tecnología y las entidades que van a implementar estos nuevos sistemas, es desarrollar un esquema con la mínima fricción posible.

Kenneth Weiss, desarrollador de la tecnología basada en token que se convirtió en SecurID de RSA, funciona mediante una aplicación de teléfono inteligente que le permite a los usuarios hasta tres factores de autenticación en una laptop o PC sin utilizar hardware adicional. “Proteges tu dispositivo con algo que ya tienes”, explica Weiss, quien es ahora fundador y director general de Universal Secure Registry. Después de descargar una aplicación a una computadora o teléfono, la autenticación se efectúa a través de Bluetooth, dice Weiss. El individuo se identifica en el teléfono y la aplicación con un PIN o clave de acceso, que realiza entonces la autenticación a la computadora a modo de seguridad de doble factor. Si el teléfono tiene un lector biométrico, como es el caso del iPhone 5s, entonces sería seguridad de triple factor. El teléfono enviará una clave de acceso a la computadora vía Bluetooth cada 30 segundos, ofreciendo así una autenticación continua, señala Weiss. Si la computadora está fuera de alcance, se bloquea. La aplicación también puede configurarse para autenticación mutua, o sea, que no solo el teléfono autentifica para la computadora, sino también a la inversa.

Aunque la aplicación inicialmente se utilizará para el acceso a computadoras, existen planes de crear una API, de modo que también se pueda habilitar para el acceso a sitios web y redes seguras, añade Weiss. Los usuarios podrían registrarse automáticamente en sitios y redes que acepten la tecnología de autenticación. También se trabaja en una versión empresarial de la aplicación, que permitiría múltiples semillas de cifrado. Un usuario podría emplear diferentes semillas por diferentes razones. Por ejemplo, podría escoger una semilla para emplear el el hogar y otra para el trabajo, apunta Weiss. Universal Secure Registry también se plantea cambiar las semillas periódicamente. Si una semilla se ve comprometida a causa de una violación, como ocurrió con RSA hace algunos años, se sustituye automáticamente. También en el caso de pérdida del teléfono, la aplicación sería destruida por vía remota.

La vida de la batería constituye siempre una preocupación con los teléfonos inteligentes y Weiss explica que el uso de Bluetooth no producirá efectos negativos. La última especificación Bluetooth 4 , que es empleada por los teléfonos iPhone y Android más recientes, tiene un consumo muy bajo de batería y no tendría impacto sobre la vida de la batería en general. Universal Secure Registry está desarrollando aplicaciones tanto para iOS como para Android, y espera hacer un lanzamiento en algún momento del segundo trimestre de 2014, informa Weiss. El sistema también será diseñado para dar soporte a computación multiplataforma, por ejemplo, un dispositivo iOS en una computadora con sistema Windows, y en Android en sistema Apple, etc.

Fuente:IDnoticias