Éstos son los pasos que sigue un servidor SSL para autenticar un usuario.
Dado que SSL 2.0 llegó a ser demasiado débil y vulnerable, un cifrado eficaz requiere SSL 3.0 o TLS 1.0.
Existen otros protocolos que garantizan la seguridad de la red. Aunque ofrecen funciones que rivalizan con SSL y TLS, los otros se consideran principalmente protocolos complementarios. Se trata de Secure Shell (SSH) y de Internet Protocol Security (IPSec).
• SSH es un protocolo de nivel de aplicación que ofrece una alternativa segura a las utilidades clásicas —como rlogin, rsh y telnet— que no ofrecen confidencialidad
• IPSec ofrece un mecanismo de seguridad en la capa de red (IP). Se utiliza principalmente para implementar redes privadas virtuales.
Validación SSL ampliada
Internet Explorer 7, utilizado en Windows Vista o XP, marca los sitios Web en verde si se consideran seguros y tienen un certificado de validación SSL ampliada. La presencia de este certificado garantiza que la comunicación es segura. También ofrece al usuario información sobre el propietario del sitio Web, cuya identidad se muestra en la barra de direcciones. Firefox versión 3 y Opera versión 9.5 serán compatibles con este certificado.
---------------------------------------------------------------------------------------------------------------
Tecnología 3-D Secure
La arquitectura de pagos online 3-D Secure (para la seguridad en tres dominios) fue lanzada en 2001 por Visa y MasterCard. Basada en SSL y TLS, ofrece autenticación validada por terceros. 3-D Secure consiste en preinscribir a los clientes que quieran pagar por Internet y la utilizan los comerciantes durante cada una de las transacciones remotas online para comprobar si los clientes están realmente inscritos.
Cada uno de los tres dominios corresponde a un tipo de usuario:
• Dominio del emisor, que incluye una función de autenticación del titular de la tarjeta
• Dominio interbancario, que permite a los otros dos dominios comunicarse por Internet
• Dominio del adquirente 3-D Secure describe la progresión de la información entre los tres dominios para llevar a cabo pagos con tarjetas, distribuyendo las responsabilidades entre los dominios por igual:
• El banco del titular de la tarjeta autentica a su cliente
• El banco del comerciante autentica al comerciante
• El dominio interbancario permite al comerciante comenzar a autenticar al comprador de la misma forma, independientemente del método utilizado por el comprador.
Autenticación sólida y dispositivos de contraseñas desechables
La autenticación tradicional por nombre de usuario y contraseña hace tiempo que ha evidenciado sus limitaciones
(por ejemplo, contraseñas triviales, contraseñas escritas en un papel al lado del equipo, contraseñas enviadas por
Internet en forma de texto, crimeware). Estos límites han creado la necesidad de una autenticación más potente que
utilice tres elementos:
• Lo que el usuario sabe: contraseña, número PIN, pregunta secreta
• Lo que el usuario tiene: tarjetas, autenticadores, certificados
• Lo que el usuario es: un elemento biométrico
Una buena autenticación utiliza al menos dos de estos factores.
Una contraseña desechable es muy flexible. Como su nombre sugiere, está diseñada de forma que sólo valga para una vez. El uso de un dispositivo de contraseñas desechables añade un segundo factor de autenticación:
• El primero tiene que ver con algo que el usuario tiene, por ejemplo, una tarjeta de crédito compatible con las contraseñas desechables.
• El segundo es algo que el usuario sabe, por ejemplo, una contraseña o número PIN. Se utiliza para abrir el objeto que admite las contraseñas desechables.
Hay varias formas de generar contraseñas desechables:
• Calculadoras: dispositivos de pequeño tamaño que muestran y actualizan la contraseña desechable
• Tarjetas inteligentes: conectadas a un portátil o a un equipo de sobremesa, se pueden utilizar para generar la contraseña
• Teléfono móvil, agenda electrónica u ordenador: estos dispositivos a veces tienen software especial para generar contraseñas
Un ejemplo es el complemento de PayPal38, ofrecido por PayPal en asociación con MasterCard. Con cada transacción, el complemento genera un número de cuenta MasterCard. Ya no es necesario introducir su número de cuenta PayPal en un sitio que quizá no le inspira confianza. La aplicación funciona con cada uno de los sitios que aceptan pagos MasterCard.
En Francia, el concepto de la tarjeta bancaria virtual no es nuevo. Desde 2002, GIE Carte Bleue ofrece un servicio con Visa que equivale a la e-Carte Bleue de Visa. En la actualidad, los clientes pueden obtener estos servicios de varios bancos: LCL, Société Générale, Banque Populaire, La Banque Postale y Caisse d‘Epargne.
Pero este método de compra aún no se ha popularizado.
Las tarjetas seguras tampoco son nuevas. Bank of America ofrece una, al igual que Citibank y Discover.
Estas funciones permiten a los clientes utilizar sus tarjetas online sin tener que facilitar a los proveedores sus números de tarjeta reales. Pero la diferencia con la tarjeta segura de PayPal es que los compradores pueden utilizar una tarjeta segura prácticamente en cualquier lugar de Internet sin necesidad de disponer de tarjetas de crédito reales (si vinculan los pagos a sus cuentas bancarias). O bien pueden usar cualquier tarjeta de su elección como tarjeta segura para hacer sus compras, con lo que se ahorran tener que depender de las herramientas de pago seguro de BofA, Citi o Discover.
En febrero de 2008, cuatro grandes bancos británicos anunciaron que estaban distribuyendo a sus clientes calculadoras de contraseñas desechables, que funcionan con las tarjetas bancarias de sus propietarios. A cambio de introducir su código secreto en el teclado, la calculadora facilita una contraseña que se puede utilizar una sola vez.
Autenticación basada en el conocimiento
La autenticación basada en el conocimiento se usa mucho en Estados Unidos. El método tradicional consiste en responder a preguntas como "¿Cuál es el apellido de soltera de su madre?" o "¿En qué ciudad nació usted?". No obstante, a menudo le resulta fácil a un atacante encontrar las respuestas. Un ejemplo de esto es el reciente pirateo de la bandeja de correo electrónico de Sarah Palin39.
El uso de preguntas secretas generadas dinámicamente mejora este método. En este caso, al ejecutar el programa, el sistema crea una pregunta cuya respuesta usted debe conocer, como el importe de uno de sus pagos, el importe de un gasto reciente o incluso la dirección que tenía el año anterior. La pregunta se crea de forma dinámica y la respuesta no se guarda para su uso posterior. Mientras que el cliente probablemente podrá responder con bastante rapidez, está claro que un delincuente no podrá hacerlo. El uso de este sistema todavía no está extendido, pero el proveedor Verid fue adquirido por EMC en junio de 200740.
Autenticación del correo electrónico
Además de los métodos de seguridad de pago, existen varios métodos de autenticación que ayudan a combatir el phishing:
• El Marco de directivas de remitentes es una norma para evitar la falsificación de direcciones. Utiliza los servidores DNS para crear una lista de direcciones IP autorizadas para enviar mensajes de correo electrónico desde un dominio específico.
• El Protocolo de ID de remitente, de Microsoft, es compatible con el Marco de directivas de remitentes
• El Correo identificado por claves de dominio permite validar una identidad asociada a un mensaje durante su transferencia a través de Internet. Esta identidad puede ser responsabilizada del mensaje.
Fuente: Fraude financiero y banca por Internet:
Amenazas y medidas para combatirlas
Elaborado por François Paget, Laboratorios McAfee® Avert® Labs
Dado que SSL 2.0 llegó a ser demasiado débil y vulnerable, un cifrado eficaz requiere SSL 3.0 o TLS 1.0.
Existen otros protocolos que garantizan la seguridad de la red. Aunque ofrecen funciones que rivalizan con SSL y TLS, los otros se consideran principalmente protocolos complementarios. Se trata de Secure Shell (SSH) y de Internet Protocol Security (IPSec).
• SSH es un protocolo de nivel de aplicación que ofrece una alternativa segura a las utilidades clásicas —como rlogin, rsh y telnet— que no ofrecen confidencialidad
• IPSec ofrece un mecanismo de seguridad en la capa de red (IP). Se utiliza principalmente para implementar redes privadas virtuales.
Validación SSL ampliada
Internet Explorer 7, utilizado en Windows Vista o XP, marca los sitios Web en verde si se consideran seguros y tienen un certificado de validación SSL ampliada. La presencia de este certificado garantiza que la comunicación es segura. También ofrece al usuario información sobre el propietario del sitio Web, cuya identidad se muestra en la barra de direcciones. Firefox versión 3 y Opera versión 9.5 serán compatibles con este certificado.
---------------------------------------------------------------------------------------------------------------
Tecnología 3-D Secure
La arquitectura de pagos online 3-D Secure (para la seguridad en tres dominios) fue lanzada en 2001 por Visa y MasterCard. Basada en SSL y TLS, ofrece autenticación validada por terceros. 3-D Secure consiste en preinscribir a los clientes que quieran pagar por Internet y la utilizan los comerciantes durante cada una de las transacciones remotas online para comprobar si los clientes están realmente inscritos.
Cada uno de los tres dominios corresponde a un tipo de usuario:
• Dominio del emisor, que incluye una función de autenticación del titular de la tarjeta
• Dominio interbancario, que permite a los otros dos dominios comunicarse por Internet
• Dominio del adquirente 3-D Secure describe la progresión de la información entre los tres dominios para llevar a cabo pagos con tarjetas, distribuyendo las responsabilidades entre los dominios por igual:
• El banco del titular de la tarjeta autentica a su cliente
• El banco del comerciante autentica al comerciante
• El dominio interbancario permite al comerciante comenzar a autenticar al comprador de la misma forma, independientemente del método utilizado por el comprador.
Autenticación sólida y dispositivos de contraseñas desechables
La autenticación tradicional por nombre de usuario y contraseña hace tiempo que ha evidenciado sus limitaciones
(por ejemplo, contraseñas triviales, contraseñas escritas en un papel al lado del equipo, contraseñas enviadas por
Internet en forma de texto, crimeware). Estos límites han creado la necesidad de una autenticación más potente que
utilice tres elementos:
• Lo que el usuario sabe: contraseña, número PIN, pregunta secreta
• Lo que el usuario tiene: tarjetas, autenticadores, certificados
• Lo que el usuario es: un elemento biométrico
Una buena autenticación utiliza al menos dos de estos factores.
Una contraseña desechable es muy flexible. Como su nombre sugiere, está diseñada de forma que sólo valga para una vez. El uso de un dispositivo de contraseñas desechables añade un segundo factor de autenticación:
• El primero tiene que ver con algo que el usuario tiene, por ejemplo, una tarjeta de crédito compatible con las contraseñas desechables.
• El segundo es algo que el usuario sabe, por ejemplo, una contraseña o número PIN. Se utiliza para abrir el objeto que admite las contraseñas desechables.
Hay varias formas de generar contraseñas desechables:
• Calculadoras: dispositivos de pequeño tamaño que muestran y actualizan la contraseña desechable
• Tarjetas inteligentes: conectadas a un portátil o a un equipo de sobremesa, se pueden utilizar para generar la contraseña
• Teléfono móvil, agenda electrónica u ordenador: estos dispositivos a veces tienen software especial para generar contraseñas
Un ejemplo es el complemento de PayPal38, ofrecido por PayPal en asociación con MasterCard. Con cada transacción, el complemento genera un número de cuenta MasterCard. Ya no es necesario introducir su número de cuenta PayPal en un sitio que quizá no le inspira confianza. La aplicación funciona con cada uno de los sitios que aceptan pagos MasterCard.
En Francia, el concepto de la tarjeta bancaria virtual no es nuevo. Desde 2002, GIE Carte Bleue ofrece un servicio con Visa que equivale a la e-Carte Bleue de Visa. En la actualidad, los clientes pueden obtener estos servicios de varios bancos: LCL, Société Générale, Banque Populaire, La Banque Postale y Caisse d‘Epargne.
Pero este método de compra aún no se ha popularizado.
Las tarjetas seguras tampoco son nuevas. Bank of America ofrece una, al igual que Citibank y Discover.
Estas funciones permiten a los clientes utilizar sus tarjetas online sin tener que facilitar a los proveedores sus números de tarjeta reales. Pero la diferencia con la tarjeta segura de PayPal es que los compradores pueden utilizar una tarjeta segura prácticamente en cualquier lugar de Internet sin necesidad de disponer de tarjetas de crédito reales (si vinculan los pagos a sus cuentas bancarias). O bien pueden usar cualquier tarjeta de su elección como tarjeta segura para hacer sus compras, con lo que se ahorran tener que depender de las herramientas de pago seguro de BofA, Citi o Discover.
En febrero de 2008, cuatro grandes bancos británicos anunciaron que estaban distribuyendo a sus clientes calculadoras de contraseñas desechables, que funcionan con las tarjetas bancarias de sus propietarios. A cambio de introducir su código secreto en el teclado, la calculadora facilita una contraseña que se puede utilizar una sola vez.
Autenticación basada en el conocimiento
La autenticación basada en el conocimiento se usa mucho en Estados Unidos. El método tradicional consiste en responder a preguntas como "¿Cuál es el apellido de soltera de su madre?" o "¿En qué ciudad nació usted?". No obstante, a menudo le resulta fácil a un atacante encontrar las respuestas. Un ejemplo de esto es el reciente pirateo de la bandeja de correo electrónico de Sarah Palin39.
El uso de preguntas secretas generadas dinámicamente mejora este método. En este caso, al ejecutar el programa, el sistema crea una pregunta cuya respuesta usted debe conocer, como el importe de uno de sus pagos, el importe de un gasto reciente o incluso la dirección que tenía el año anterior. La pregunta se crea de forma dinámica y la respuesta no se guarda para su uso posterior. Mientras que el cliente probablemente podrá responder con bastante rapidez, está claro que un delincuente no podrá hacerlo. El uso de este sistema todavía no está extendido, pero el proveedor Verid fue adquirido por EMC en junio de 200740.
Autenticación del correo electrónico
Además de los métodos de seguridad de pago, existen varios métodos de autenticación que ayudan a combatir el phishing:
• El Marco de directivas de remitentes es una norma para evitar la falsificación de direcciones. Utiliza los servidores DNS para crear una lista de direcciones IP autorizadas para enviar mensajes de correo electrónico desde un dominio específico.
• El Protocolo de ID de remitente, de Microsoft, es compatible con el Marco de directivas de remitentes
• El Correo identificado por claves de dominio permite validar una identidad asociada a un mensaje durante su transferencia a través de Internet. Esta identidad puede ser responsabilizada del mensaje.
Fuente: Fraude financiero y banca por Internet:
Amenazas y medidas para combatirlas
Elaborado por François Paget, Laboratorios McAfee® Avert® Labs
No hay comentarios:
Publicar un comentario