Modelo de Madurez sobre la Fortaleza de la Autenticación (CASMM)
El Consumer Authentication Strength Maturity Model (CASMM) de Danniel Miessler (aka @DanielMiessler) es un intento de crear un modelo de seguridad fácil de usar por el usuario promedio. Básicamente, ¿qué tan seguro es el comportamiento actual de alguien con respecto a sus contraseñas y el proceso de autenticación, y cómo puede mejorarlo?
CASMM: este acrónimo se puede pronunciar como "CHASM", del inglés "Abismo"; es decir "¿qué tan profundo estás en el abismo?" 🙂 A la gente le gusta subir de rango, ¡así que usemos eso!
Nota: existen rangos más altos de autenticación, pero este modelo es específicamente para usuarios normales.
Cómo usar este modelo
La idea aquí es que alguien de la comunidad de seguridad, o realmente cualquier usuario experto en seguridad, use este elemento visual para ayudar a alguien con una "mala higiene" de contraseñas a subir algunos peldaños. Cualquier mejora que el usuario haga en el uso de sus contraseñas es buena. Incluso un paso importa.
- Dónde está el usuario: la primera forma de usar este modelo es simplemente preguntar al usuario sobre su comportamiento actual y mostrarles dónde se ubica dentro de los siete peldaños. Si el usuario está en el peldaño 6 o 7, la combinación de ver qué tan bajo está y el color, puede transmitirle cierta preocupación.
- Cómo subir: a continuación, se le puede mostrar cómo puede mejorar y subir algunos peldaños. Como se discute en este hilo de Twitter, el mayor beneficio se obtiene al pasar del peldaño 4 al 3. El siguiente gran salto se produce al pasar del 2 (o inferior) al 1.
Resumen
- Los modelos de madurez visual a veces pueden ayudar a las personas con su deseo de mejorar.
- La mayor mejora de seguridad que se puede obtener es pasar de cualquier peldaño inferior al 4 al 3 (usar 2FA).
- La segunda mejora de seguridad es pasar del peldaño 2 o 3 al peldaño 1 (2FA basado en token).
- Tratar de no omitir pasos, es decir, es mejor pasar a contraseñas únicas y de calidad almacenadas en un administrador antes de agregar un 2FA.
Uso de FIDO para evitar el #phishing
Los modelos de autenticación actual plantean la pregunta: ¿existe algún tipo o modelo que proteja contra el phishing? La respuesta es sí.
FIDO significa Fast Identity Online, y utiliza los protocolos Universal Authentication Framework (UAF) y Universal Second Factor (U2F). Los sistemas utilizan criptografía de clave pública y un token de acceso físico. La clave privada se almacena en el token y se mantiene con usted, y la clave pública se almacena con los servicios en los que desea autenticarse.
No se puede suplantar un código MFA que no existe. Cuando te autenticas, le demuestras al cliente/token que eres tú (huella digital, PIN, voz, etc.), y el cliente crea una solicitud firmada que se envía al servicio. Esa solicitud se descifra y se autentica con la clave pública, lo que prueba que la solicitud se realizó con la clave privada, y luego se le autentica.
FIDO2 + WebAuthn
FIDO2 / WebAuthn es la versión sin contraseña de FIDO (passwordless), y la parte sin contraseña es fundamental. Aquí cambia completamente la forma en que se realiza la autenticación: en lugar de presentarse en un sitio web, que podría ser malicioso, el usuario se autentica utilizando su token físico, por ejemplo ingresando la huella digital o la cara o lo que sea. Y cuando eso sucede (esta es la parte brillante), el token local crea una solicitud y la firma con la clave privada del token… ¡Y luego lo envía específicamente a la URL exacta y legítima asociada con el token!
Esa es la magia. Cuando se registra el token con, por ejemplo, Gmail, el token recopila la URL oficial de Gmail, por lo que solo puede enviar solicitudes de autenticación a esa URL.
Fuente: CASSM by Danniel Miessler | II | III
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!