Para conocer los diferentes mecanismos de autenticación, puedes hacer clic en cada ítem.
El usuario por defecto presenta como mínimo estos dos elementos: el identificador y la contraseña. En este caso, toda la seguridad está focalizada sobre la contraseña y la vulneración de esta dependerá de su complejidad, si es una contraseña corta o larga.
Contraseña (one time password) proporcionada por un periodo de tiempo. Cada vez que una persona requiere acceder a la red, digita el usuario en el sistema y el código suministrado por su dispositivo o token. Este código está dado por tiempo limitado de manera aleatoria, para lo cual el servidor valida el código y concede el acceso a los recursos compartidos sobre la red o sobre los recursos a los que el usuario tiene derecho, de acuerdo con su rol. De esta manera se garantiza el ingreso de forma segura y se certifica que la persona que se autentica al sistema es realmente quien es.
La tarjeta inteligente contiene grabado el usuario y la contraseña, por tanto no requiere de la intervención directa del usuario. Las claves pueden ser complejas y es posible cambiarlas periódicamente. Estas tarjetas son utilizadas para el proceso de autenticación inicial. Por ejmplo, se usan para ingresar a centros de cómputo, cuartos de distribución de cableado, entre otros.
Existen dos tipos de tarjetas que se utilizan de manera frecuente. La tarjeta inteligente criptográfica, que requiere de un lector especial y, los token USB, los cuales vienen con un chip integrado y pueden conectarse forma directa a un computador.
Está integrada por varios componentes que permiten la autenticación del usuario después de validada la información. La tarjeta con su lector, así como el código informático asociado deben estar instalados en el equipo de trabajo.
Existen otro tipo de soluciones como el token móvil. Utilizado por el banco de Bogotá denominado Aval Pay, el cual fue diseñado para que los clientes puedan pagar sin necesidad de tener su tarjeta de crédito o débito física, o dinero en efectivo. Con este nuevo método de pago, aumentan la seguridad transaccional y optimizan los procesos de compras, pues el teléfono celular se convierte en una billetera digital.
Este proceso de autenticación está basado en la verificación de un elemento de cada usuario, uno de los más utilizados es la huella dactilar. Son mecanismos de validación para procesos de autenticación inicial. Se utiliza un mecanismo de comparación de las características físicas de cada usuario registrado, con los datos almacenados previamente en este, o en una base de datos. Los lectores biométricos pueden identificar elementos como manos, ojos, huellas digitales y voz.
La implementación de infraestructura de clave pública (PKI), está orientada a brindar los servicios de confidencialidad en los procesos de control y acceso, utilizando tecnologías como firmas y certificados digitales. Esta es una solución basada en una plataforma que realiza la gestión de creación de certificados digitales, para proceso de autenticación fuerte, como firma electrónica y encriptación de datos. Los certificados digitales son mecanismos de identificación que pueden utilizar tanto personas naturales como empresas para garantizar sus procesos de traspaso de información de manera segura entre una fuente y un destino Fuente especificada no válida.
La tecnología PKI, permite que las personas puedan realizar transacciones seguras con otros usuarios, utilizando los certificados digitales en el momento de recibir la información y de igual manera, el destinatario pueda descifrarlos cuando los reciba.
Generalmente, una infraestructura de llave pública está integrada por diferentes entidades así:
1. Autoridad de certificación (CA): es la responsable de establecer las identidades de los usuarios y realizar la creación de los certificados que forman una asociación entre la identidad y el conjunto de claves pública y privada.
2. Autoridad de registro (RA): es el responsable del registro y de la autenticación inicial de los usuarios a quienes se les expide un certificado posteriormente, si cumplen todos los requisitos (Bohorquez, Castillo, & Vargas, 2013)
3. Servidor de certificados: este componente expide los certificados aprobados con la autoridad de registro. La generación de la clave pública para el usuario está compuesta con los datos del usuario y, finalmente se firma digitalmente con la clave privada de la autoridad de certificación. (Bohorquez, Castillo, & Vargas, 2013)
4. Repositorio de certificados: este componente es el encargado de hacer disponibles las claves públicas de las identidades registradas. Cuando se requiere validar un certificado se realiza la consulta en el repositorio, se verifica la firma y el estado del certificado.
Ejemplos de uso de PKI. Los sistemas de uso de clave pública son utilizados con frecuencia en: envío de correos electrónicos, Intercambio electrónico de datos (EDI), transacciones con tarjeta de crédito en internet, utilizado en redes privadas virtuales (VPN), cifrado y/o autenticación de documentos.
