17 January, 2014
category: Seguridad en Internet, Seguridad lógica
Alternativa multifactor basada en software en lugar de tokens hardware
Las soluciones de autenticación basadas en software a menudo son consideradas como inferiores a las tarjetas inteligentes, los tokens y otros sistemas basados en hardware.
SyferLock ha estado intentando combatir esos falsos conceptos mediante una plataforma basada en software en torno al PIN. Desde 2007 la compañía ha suministrado su tecnología de autenticación basada en software a diferentes empresas de múltiples mercados, explica Chris Cardell, director general de SyferLock.
La tecnología de SyferLock se basa en un sistema de PIN y cuadrícula. El usuario se registra ingresando su dirección de correo electrónico o de red. A continuación puede observar un video que explica cómo funciona el sistema. Ingresa entonces su contraseña y selecciona un PIN y una de las ocho posiciones de la cuadrícula. Por ejemplo, el PIN pudiera ser 2490 y la posición la esquina superior izquierda.
Cuando el individuo regresa para iniciar sesión, ingresa su nombre de usuario, la contraseña y busca en la cuadrícula. En lugar de escribir su PIN real, el 2490, ingresa los números que aparecen en la esquina superior derecha de los recuadros, correspondiendo a los dígitos 2, 4, 9 y 0. En la cuadrícula que aparece, el resultado es 3347.
Los números de color rojo y azul varían cada vez que se inicia sesión, de modo que el PIN que se ingresa es diferente cada vez. Aunque la cuadrícula se utiliza en la implementation típica, las empresas pueden adicionar seguridad mostrando un teclado QWERTY. Esto permite que se utilicen las letras mayúsculas y minúsculas, así como los dígitos.
También está disponible una aplicación de teléfono inteligente. El teclado, en lugar de aparecer en la pantalla de la computadora, se genera en el dispositivo móvil. Incluso si un individuo pierde el teléfono inteligente, un estafador no podría acceder al sistema a menos que posea el PIN y la posición, apunta Cardell.
SyferLock se ha implementado en varios mercados, pero el sector de salud demanda más requisitos de autenticación fuerte debido a lo establecido por HIPPA, dice Cardell. Una compañía de atención de salud en el hogar utilizó tokens de hardware y sus enfermeras casi se rebelan a causa de los problemas de usabilidad que presentaban. A partir de entonces, esa compañía pasó a utilizar SyferLock y los informes sobre su uso han sido positivos.
Otras empresas que han aplicado soluciones de autenticación basadas en hardware han expresado interés, expresa Cardell. “Las soluciones tradicionales basadas en hardware no siempre resultan prácticas y estamos viendo cómo las compañías pasan a utilizar soluciones basadas en software”.
La autenticación basada en software puede ser más económica, ya que no hay que adquirir y distribuir hardware. Las empresas solo tienen que comprar las licencias del software. “Desde el punto de vista administrativo, es como controlar otra laptop”, explica Cardell. “Imaginen lo que es administrar los tokens para una compañía de 20,000”.
La implementación del sistema es muy rápida. En dependencia de las dimensiones y complejidad, puede llevar unas pocas horas o algunos días, añade.