Seguridad (III): Autenticación de usuarios

Como dijimos en un post anterior, una de las propiedades de seguridad que hay que garantizar en nuestro sistema es la autenticidad de los usuarios.

Cabe distinguir 3 conceptos que estan intimamente relacionados pero diferentes:

  1. Identificacion: conocer la identidad del usuario.
  2. Atenticación: verificar que la identidad del usuario es la que dice ser.
  3. Autorización: permitir el uso de unos determinados recursos basados en el perfil del usuario

Son múltiples los mecanismos existentes para autenticar un usuario, pero cada uno aporta mayor o menor seguridad.
Estos mecanismos se pueden basar en:

  • Algo que el usuario posee: tarjeta de identificación, token de seguridad, …
  • Algo que el usuario conoce: password o PIN, … 
  • Algo que el usuario es: huella dactilar, patron de voz o cualquier otra medida biometrica

Entre los mecanismos más extendidos para la autenticación se encuentra el uso de un certificado electronico. Éste se basa en los principios de la criptografía asimetrica (dos pares de claves, una publica y otra privada)
y su finalidad es asegurar que la clave publica pertenece al usuario que posee dicho certificado.
El certificado se emite por una autoridad de certificación (VeriSin, Thawte, FNMT) quien se encarga de verificar la identidad del usuario y asociar el par de claves. Y para que ello conste, el certificado irá firmado por la AC que emite el certificado.

Segun la norma X.509v3, el contenido de un certificado electronico debe incluir:

  • La clave publica del poseedor del certificado.
  • Datos sobre el algoritmo de criptografia asimetrica y la funcion hash empleados
  • Nombre y apellidos del usuario
  • Identificacion X.500
  • nº de serie del certificado
  • Periodo de validez

El periodo de validez es sumamente importante, pues una vez el certificado ha sobrepasado esta fecha el certificado es revocado y carece de validez las operaciones realizadas con él.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: