Is it a fake website?

19 noviembre 2007

Autenticación 2.0: La red de telefonía como esquema de autentificación remota

Imagina que estás en la web a punto de realizar una transacción importante. Después de hacer login y especificar la transacción, el sitio te presentará una página mostrándote una serie de teléfonos y preguntándote a cual de ellos puedes responder ahora mismo. Cuando seleccionas el número, el sistema crea una llamada telefónica y a los pocos segundos tú teléfono suena. El sistema sincroniza la llamada telefónica con la sesión web (para asegurar que únicamente quién responde la llamada puede completar la transacción), quizá realiza alguna autenticación adicional, y entonces un mensaje a través del teléfono te indica un código de autorización.




Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red, pero menos mál que los sitios online de banca utilizan el protcolo seguro HTTPS , el cual no nos sirve de nada si cualquiera tiene nuestros datos de acceso, gracias a los key-loggers, una mirada por encima del hombro o cualquier otro método que no mencionaré. Es por ello que los bancos están obligados a cambiar de esquema de autenticación de sus usuarios si no quieren seguir siendo carne de phising.

Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)

Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.

2 comentarios:

Anónimo dijo...

buf, ¿y levantarme del ordenador para ir a coger la llamada? vaya pereza, para eso prefiero que me manden un correo electrónico utilizando PGP.

Emilio dijo...

Esa actitud inherente a nosotros es el enemigo principal de cualquier sistema de seguridad. :D