De autenticación y cifrado

Determinar con sólo con quien usted está haciendo negocios, escribe Tim Pickard, de RSA Security. Informes de los piratas informáticos el acceso a populares sitios web de las empresas y hacer alarde de los números de clientes de tarjetas de crédito son bien conocidos y cada vez más común, hasta el punto que se han vuelto cada e-negocio peor pesadilla de relaciones públicas y legales. Con el negocio a consumidor (B2C), el comercio electrónico espera que llegue a 108 mil millones dólares EE.UU. en 2003, y de negocio a negocio (B2B), el comercio electrónico espera que aumente a 1 dólar EE.UU. billones en el mismo período, la necesidad de seguridad electrónica nunca ha sido más evidente. La clave de esta seguridad es la autenticación, es decir, positivamente la determinación con la que usted está haciendo negocios.

Presión e-business ''

Las claves para asegurar su e-businessE-business se puede dividir en cuatro áreas:

1. Autenticación - Garantizar que tanto el remitente como el destinatario son quienes dicen que son;

2. De privacidad de datos - Garantizar la confidencialidad de la información a medida que se mueve alrededor de la Internet pública;

3. Integridad de los datos - Garantizar que los usuarios autenticados en una transacción no son capaces de negar las medidas que hayan adoptado;

4. Autorización - Denegar a los usuarios el acceso no autorizado a la información que no deben ver.

AutenticaciónEsta es la piedra angular de la seguridad de e-negocio, y se define como positiva la identificación y prueba de la autenticidad de aquellos con quienes usted está haciendo negocios. Sin autenticación otras medidas de seguridad que se pone en el lugar puede ser ineficaz. Contraseñas no son suficientes hoy, que requieren un nombre de usuario y contraseña es la técnica más común para autenticar a un usuario. En la superficie de este factor individual (algo que un usuario sabe) puede parecer una solución adecuada. Después de todo, hay aproximadamente 2,8 billón posibilidades de una contraseña de ocho caracteres aleatorios compuesta de caracteres alfanuméricos. Pero debido a que todos tienden a elegir contraseñas que son cortos y fáciles de recordar - como fechas importantes o nombres de los miembros de la familia - las contraseñas de nuestras tienden a ser relativamente fácil de adivinar para los demás, robar o crack. La ingeniería social también contribuye al carácter poco fiable de las contraseñas. Otro problema es que su nombre de usuario y la contraseña no puede ser protegida en su viaje a través de Internet. Por ejemplo, el sistema de un servidor web típico de la autenticación básica HTTP, utilizado en muchos sitios web, no cifrar el nombre de usuario o contraseña. Y las contraseñas sin cifrar son extremadamente susceptibles a la interceptación por los hackers que son "sniffing" para ellos. El resultado final es que se necesita una autenticación más fuerte para crear y mantener un ambiente de confianza para el comercio electrónico.

Los niveles de autenticación deDistintos niveles de fuerza la autenticación de existir, y su elección se basará en el valor o la sensibilidad de la información que usted está protegiendo, equilibrado frente a otras consideraciones como la facilidad de uso, implementación y presupuesto.Contraseñas son los más débiles, aunque más ampliamente utilizada, la forma de autenticación. Ayudan a identificar a los usuarios que requieren de un único factor de identificación: su código secreto. Este método de autenticación que se percibe como fácil de implementar y de bajo costo. Sin embargo, la historia ha demostrado que estos códigos son fáciles de adivinar, robados o de cualquier peligro y no son tan fácil o barato de mantener como uno podría pensar. Sorprendentemente, las contraseñas son una de las formas más eficaces de autenticación. El uso de certificados digitales como una forma de autenticación es cada vez más generalizada con el crecimiento de las transacciones por Internet. Solo o protegido con una contraseña, los certificados de ayudar a identificar a los usuarios que necesiten acceder a las credenciales digitales que sólo debe ser utilizada por el legítimo propietario. Sin embargo, la fuerza relativa de los certificados digitales como una solución de autenticación segura depende de cómo están protegidos. Por ejemplo, los certificados digitales almacenados de forma insegura en un disco duro se puede comparar con su billetera dejó abierta en su escritorio. Los certificados digitales ganan fuerza cuando se acompañan de un controlada contraseñapolítica.

Aquí, una confianza "autoridad certificadora" emite certificados que verifiquen la identidad digital de las claves privadas de los usuarios. Adición de una infraestructura de clave pública con una gestión centralizada certificado de declaración política que establece los requisitos de contraseña (es decir, cada contraseña tiene que ser de nueve caracteres alfanuméricos de longitud) puede mejorar la fuerza de certificados como una forma de autenticación de usuario. Autenticación de dos factores es mucho más fuerte que la seguridad de las contraseñas o certificados sin protección, ya que requiere que los usuarios de presentar dos formas de identificación antes de acceder a recursos protegidos. Similar a usar un cajero automático de banco, los usuarios deben conocer sus PIN y poseer su dispositivo de autenticación (token o tarjeta inteligente). La asociación se considera que los usuarios son quienes dicen ser. Combinando autenticación de dos factores y certificados digitales mejora la fuerza de sus servicios de autenticación de forma espectacular. A menudo, los certificados digitales se almacenan de forma insegura por lo que cualquiera puede asumir la identidad de los usuarios. Al requerir dos formas de identificación de las credenciales de acceso, usted es capaz de identidades digitales de los usuarios se unen a su identidad física, que le permite estar más seguros de que los usuarios son quienes dicen ser. Introducing tarjetas inteligentes para proteger certificados digitales es uno de los mayores niveles de servicio de autenticación. No sólo es el acceso a la tarjeta inteligente protegidos con autenticación de dos factores, pero los certificados de pares de clave también puede ser generada y almacenada en la tarjeta inteligente. De hecho, la clave privada nunca sale de la tarjeta, por lo que no pueden ser accedidos por los usuarios no autorizados o copia a un servidor. Al añadir un tercer factor - como la biometría - A lo anterior, se puede alcanzar el nivel de autenticación más fuerte disponible. La biometría se refiere a una característica que es única a un usuario. Esta medida puede lograrse a través de huellas dactilares, escaneo de la retina y la voz de impresión. Este factor de autenticación de terceros países cuando se combina con certificados almacenados en una tarjeta inteligente que es impenetrable.

De privacidad de datosLa información sensible debe ser protegida mientras se está moviendo de un punto a través de Internet. Por ejemplo, usted no quiere competidores para poder tomar una copia de una propuesta al enviar correo electrónico a un cliente potencial. Y es probable que desee proteger los nombres de usuario y contraseñas - y de números de tarjetas de crédito curso - que acompañan a las transmisiones. Mayoría de los navegadores han integrado en el 'Secure Sockets Layer' (SSL) la capacidad para asegurar la privacidad de la información que se transfiere entre un servidor Web y el navegador de un usuario Web. Esto se hace mediante la encriptación o cifrado, la información antes de enviarlo y luego descifrar que en el extremo receptor, lo que hace prácticamente imposible que la transacción se traduzca si lo interceptan. Eso significa que la operación es privada, lo que es crucial en los negocios electrónicos.

Integridad de los datosTambién es importante que ninguna de las partes está en condiciones de declarar que nunca tuvo lugar la operación o que los datos recibidos de alguna manera diferente de la de transmisión. Por ejemplo, si recibe un gran pedido en línea de uno de sus distribuidores pueden realmente estar seguros de que es legítimo? ¿Qué sucede si la entrega del pedido y dicen que el orden en que coloca fue significativamente más pequeño? O que niegan haber puesto en absoluto? De no repudio que necesita para ser capaz de probar que el emisor y el receptor son quienes dicen que son y que la transacción no ha sido alterado. Esto se puede lograr mediante el uso de certificados de cliente digital que se autentican una transacción - lo que demuestra que la transacción no ha sido alterado durante la transmisión. Cabe señalar, sin embargo, que todavía tienen que demostrar que los usuarios son quienes dicen que son - es decir, los empleados descontentos o no la búsqueda de emociones adolescentes - para que sean responsables de la operación. Sólo autenticación de dos factores puede definitivamente de obligar a la identidad física de un usuario a su identidad digital.

AutorizaciónDiferentes usuarios necesitan tener acceso a diferentes tipos de información, y es importante para evitar que usuarios no autorizados de ver esa información. Por ejemplo, su personal de recursos humanos debe ser capaz de ver y actualizar la base de datos de empleados, pero los demás empleados y contratistas no se debe mirar a su salario. Su canal de ventas necesita tener acceso a la información más reciente de productos, calendarios de desarrollo y fijación de precios, pero que la información interna no suele ser algo que usted desea ver a los competidores. Autorización implica restringir el acceso del usuario a las máquinas, directorios, archivos y programas de aplicación. Hay varios niveles de autorización. La primera consiste en limitar el acceso a nivel de dirección para proteger las máquinas y sus contenidos. El segundo permite el acceso condicional a los directorios y archivos sobre la base de listas de control de acceso, y la tercera consiste en elaborar la regla basada en el control de acceso. En cualquiera de sus formas, la autorización le ayuda a cumplir normas de acceso a los datos una vez que un usuario accede a los recursos protegidos.

Gestión de la identidadLa autenticación es por lo tanto - entre estas otras medidas de seguridad - críticos para el éxito de su iniciativa de e-business. Otra amenaza importante, sin embargo, radica en la proliferación asombrosa de las identidades en Internet. Cientos de millones de personas en todo el mundo utilizan ahora el diario de Internet en el hogar y en el trabajo, encontrando múltiples aplicaciones corporativas, e interfaces de negocios y servicios web. Muchas de estas aplicaciones requieren un nombre de usuario y, como resultado, una persona normalmente no poseen una sino varias identidades digitales. Además, no las identidades digitales son perpetuos: se crean para los nuevos empleados, y cuando los empleados dejan su identidad digital caduca - o debería expirar - a partir de su fecha de terminación. Una persona se traslada de una parte de una organización a otra, o ser promovido a un nivel superior de gestión, puede necesitar tener derechos de acceso actualizada y otra información adjunta a su identidad digital. Por lo tanto, las empresas necesitan poder confiar en la identidad de los usuarios que buscan tener acceso a sus recursos basados en Internet. Además, ellos necesitan para administrar y controlar las identidades autorizados para asegurarse de que son actuales y se utiliza de acuerdo con las políticas establecidas. Por esta razón, las organizaciones necesitan para evaluar sus propias necesidades de gestión de la identidad, participar en discusiones con los socios de negocios acerca de sus necesidades y planes, y explorar en conjunto con un proveedor fiable de cómo aplicar e integrar esta solución en sus entornos de TI.

Un estándar abierto para la gestión de la identidad - incluyendo la autenticación, single sign-on y las capacidades de gestión de acceso web - ayudará a las empresas reducir los costos, acelerar las oportunidades comerciales y aumentar la productividad del usuario y la satisfacción del cliente. Iniciativas como la Alianza de la Libertad demuestran cómo las compañías ya están trabajando juntos para hacer e-business más fácil sin comprometer la información de credenciales. Por ejemplo, pronto será posible para organizar su logística completa de vacaciones - alquiler de una villa, los vuelos de artículo y alquilar un coche - en una sola transacción en línea, mediante la autenticación de una vez y luego moverse libremente entre los sitios web afiliados, sin tener que volver a entrar en repetidas ocasiones sus datos. Un enfoque federados traerá importantes beneficios a los usuarios y empresas. transacciones en línea son a menudo abandonados, y los usuarios han identificado la necesidad de completar y re-formas a menudo completa como la principal razón para esto, lo que evidentemente es un obstáculo importante para el comercio electrónico. Dentro de un sistema de gestión de identidad, los usuarios apreciarán: la comodidad de una única identidad y autenticación para una amplia gama de recursos, aplicaciones y sitios web, la posibilidad de especificar en qué condiciones determinados tipos de información puede y no puede ser compartido y las políticas y normas el almacenamiento de datos, uso y distribución diseñada para proteger su privacidad y prevenir el fraude y el robo de identidad. A su vez, las empresas se beneficiarán al poder: la confianza de la identidad de los empleados, socios y clientes, antes de recibir los usuarios autenticados de los sitios de socios de negocios " , e introducir nuevos servicios e identificar nuevas oportunidades de negocio.

ConclusiónNada de esto es posible sin la base fundamental de la seguridad electrónica: autenticación de usuarios. Una vez que esté en su lugar, el resto - mitigar los riesgos de seguridad de red, reducción de costos, aumento de los ingresos, protección de inversiones y una mayor observancia - va a seguir, y las empresas estar en condiciones de hacer frente de forma segura, conveniente y rentable a través de Internet. Tim Pickard es Director de Marketing Estratégico de EMEA de RSA Security. RSA Security es el nombre más confiable en e-seguridad, ayudando a construir organizaciones de seguridad, bases de confianza para el negocio electrónico a través de su autenticación de dos factores, la gestión de acceso a la Web, encriptación y sistemas públicos de gestión de claves. Una empresa verdaderamente global con más de 8.000 clientes, RSA Security es reconocida por proporcionar tecnologías que ayudan a conducir las organizaciones de los negocios electrónicos con confianza. Para mayor información contactar a: RSA Reino Unido, Irlanda y Ventas EMEA, RSA House, Western Road, Bracknell, Berks RG12 1RT. Tel: +44 (0) 1344 781000, Fax: + 44 (0) 1344 781010.

un artículo presentado por Frank C.

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo de autenticación y el cifrado ", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.