NW_20010328_en_ZDNetAsia, 3-28-01_ "Tokens_ Un nivel adicional de acceso seguro"

28 de Marzo de 2001

La identificación y la autenticación son dos palabras mágicas cuando se trata de seguridad. Dejar entrar a un usuario autorizado, mientras mantiene alejadas a personas no autorizadas, parece más fácil de lo que es. Si fuera a encontrarte en la calle, podría verte, hacer negocios contigo, y si hubiéramos hecho negocios antes, lo más probable es que te reconozca, por la cara, la voz o algún tipo de comportamiento físico. o lenguaje corporal.

El comercio electrónico actual se realiza mediante medios cableados e inalámbricos, donde las caras se vuelven borrosas en bytes, y la mayoría de las veces, la identificación es una contraseña ingresada en un campo de texto.

Uno de los primeros y más importantes pasos que uno encuentra al usar un sistema seguro remoto es el proceso de identificación y autenticación: ¿Quién es usted y puede probarlo?

La identificación / autenticación hace dos cosas (y es mejor que las haga bien): permite la entrada del usuario correcto; y mantiene a todos los demás fuera. O al menos esa es la idea. Hacer cualquiera de los dos es fácil: dejar que todos entren o mantener a todos afuera. Hacer las dos cosas bien es más difícil.

Tradicionalmente, la identificación se ha reducido a una de tres cosas: algo que sabes, algo que eres o algo que tienes. Tecnológicamente hablando, estos se traducen en:
· Contraseñas
· Biometría
· Fichas

Las contraseñas son comúnmente conocidas y utilizadas en la mayoría de los problemas cotidianos. La biometría se refiere al uso de los datos biológicos de un individuo para autenticarse. Las huellas digitales, escaneos de retina y reconocimiento de huellas de voz son algunos de los métodos más comunes empleados como controles de identidad.

Tanto las contraseñas como los datos biométricos tienen deficiencias que se están haciendo evidentes rápidamente. Tener una contraseña significa tener que recordarla, y generalmente están comprometidas porque son difíciles de recordar y, como resultado, están escritas. La biometría se vuelve más costosa a medida que se vuelve más precisa, aunque se está volviendo cada vez más popular.

Los tokens de acceso se incluyen en el tercer método de autenticación y se autentican en función de lo que está en su posesión. Los tokens se pueden usar para proporcionar un código de retorno para acceder a un sistema que emite un código de desafío. Las fichas en sí mismas no son infalibles, pero proporcionan una capa adicional de seguridad. Una ficha de seguridad que cayera en manos de otra persona seguiría funcionando como estaba programado. El mejor empleo de autenticación sería utilizar una combinación de dos o más de las tres comprobaciones.

Un ejemplo sería el token de seguridad Digipass de VASCO. La compañía recientemente se asoció con OCBC Bank en Singapur para incorporar sus soluciones de autenticación y firma digital en el sistema de transacciones electrónicas existente del banco.

Digipass se asemeja a una pequeña calculadora de bolsillo que calcula contraseñas dinámicas, también llamadas contraseñas de un solo uso (OTP). Al ingresar un número de identificación personal (PIN) para Digipass, el token puede calcular un OTP para usar en el sistema remoto al que se está accediendo.

Los cálculos se basan en el algoritmo del Estándar de cifrado de datos (DES), que aplica una clave de 56 bits elegida al azar a cada bloque de datos de 64 bits. Esto significa que los usuarios no solo deben conocer los detalles de su cuenta y el número PIN, sino que también deben estar en posesión de Digipass, ya que tanto el sistema emisor como el receptor deben conocer la clave de cifrado para autenticarse.

Usando el digipass, también es posible calcular firmas digitales, también conocidas como firmas electrónicas, para autenticar transacciones electrónicas y garantizar la integridad del mensaje asegurando que no haya sido alterado. Este tipo de seguridad puede parecer excesivo para algunos, pero es realmente la combinación de algunas medidas que se implementan en un sistema que permite a los usuarios llevar un dispositivo liviano que permite la autenticación e identificación seguras.

El dispositivo maneja los cálculos criptográficos, dejando al usuario con un mínimo de alboroto y brindando la seguridad adecuada para grandes transacciones electrónicas. Uno paga el pequeño precio de llevar un dispositivo del tamaño de una calculadora de bolsillo, para poder realizar transacciones electrónicas seguras.

Incluso si la unidad Digipass cae en manos de otra persona, aún se requiere un número PIN para acceder y activarla. Si un usuario dejara la contraseña de autenticación escrita, o la dejara en la memoria caché de un terminal después de una transacción, no sería de utilidad para nadie más, ya que solo es válida una vez.

Desde el punto de vista de la empresa, Digipass implementa la seguridad en lo que tradicionalmente ha sido el eslabón más débil: el cliente. El cliente realmente solo quiere poder hacer negocios de manera segura, y realmente no le importa la criptografía ni ningún otro sistema de fondo.

Un token de seguridad portátil como Digipass agrega otra capa de seguridad que no solo es escalable para la empresa o el banco, sino también conveniente para sus clientes.

VASCO lanzó recientemente un nuevo modelo (Digipass 800) a la familia Digipass, que permite el uso de tarjetas inteligentes junto con el token, para proporcionar aún más funcionalidad con la banca electrónica o las transacciones seguras de comercio electrónico.