Embed Size (px)
DESCRIPTION
Charla impartida por Alex Rocha, de la empresa Swivel para el evento Asegur@it9 que tuvo lugar en Málaga el día 5/5/2011.
Citation preview
Presentación PINsafePor qué no es suficiente la contraseñaASEGUR@IT | 05-05-2011
Alex Rocha Alex Rocha Country Manager IberiaCountry Manager Iberia
[email protected]@swivelsecure.com
simplicidad seguridad libertad
www.swivelsecure.com
Swivel Secure: Empresa
30% I+D30% I+D30% I+D30% I+D LicenciasLicencias+1Mk+1Mk
LicenciasLicencias+1Mk+1Mk
Patentado Patentado en todo el en todo el
mundomundo
Patentado Patentado en todo el en todo el
mundomundoClientesClientes+1000+1000
ClientesClientes+1000+1000
Oficina en Oficina en MadridMadrid
Oficina en Oficina en MadridMadrid
FundadaFundada20002000
FundadaFundada20002000
Grupo MarrGrupo Marr€ € 1.2Bn1.2Bn
Grupo MarrGrupo Marr€ € 1.2Bn1.2Bn
PINsafePINsafe20032003
PINsafePINsafe20032003
Soluciones de Autenticación
PINsafe: Producto
CertificadoCertificadoVAR: 671VAR: 671
CertificadoCertificadoVAR: 671VAR: 671 ApplianceAppliance
HW o VMHW o VM
ApplianceApplianceHW o VMHW o VM
SoporteSoporte24/7/36524/7/365
SoporteSoporte24/7/36524/7/365 mFAmFAmFAmFA
Premios Premios otorgadosotorgados
Premios Premios otorgadosotorgados
7 Años7 Años7 Años7 Años Alta Alta DisponibilidadDisponibilidad
Alta Alta DisponibilidadDisponibilidad
PINsafePINsafev.3.8v.3.8
PINsafePINsafev.3.8v.3.8
SWIVEL and PINsafe
Oficina Swivel Cliente PINsafe
EspañaPortugal
Reino Unido Moscú
Australia
Dubai
EE.UU
FranciaAlemania
Microsoft Online Services
Premios & Certificaciones
World’s Hottest Info Security Companies
Referencias World Wide
Referencias Locales
¿Por qué ya no es suficiente sólo la contraseña?
Las contraseñas más utilizadas!
Complejidad de las contraseñas
Encuesta no técnica!
Las otras están debajo del teclado!
Cómo generar una contraseña fuerte!
¡Difícil para los humanos, fácil para las máquinas!
http://strongpasswordgenerator.com
Aplicación para hackear una contraseña
Contraseña pirateadaVídeo tutorial
Google: hack password ( alrededor de 95.800.000 resultados )
Keylogger HW o SW
Google: keyloggers ( alrededor de 8.770.000 resultados )
Versión software
Versión hardware
Las contraseñas son especialmente vulnerables
porque son estáticas
Pero contraseñas complicadas vuélven a utilizar Post-It.
2FA vs Post-It
2FA"Something one has“
“Something one knows"
Ejemplo:
Porque no siempre usar un token es sinónimo de 2FA
Webcam Access Token
Token
Webcam
URLUsuarioContraseña
URL protegida con user/password
para acceder a WEBCAM para poder ver el OTP.
¿Acesibilidad?
¿Onde estan los 2FA?
¿Problemas?
Ejemplo:
Roll-out de Token
Token con protecion PIN
Y se el usuario no sabe el PIN?
Puede tiene esa información también en el token.
PINsafe Protocolo Patentado
Multi-factor de autenticación sin token
Protocolo PINsafe
8 1 6 9 5 0 3 4 7 2
51 08
1 2 5 6
Example 2:
PIN
Cadena de Seguridad
OTC
Sigue siendo el mismo
PIN
Cadena de Seguridad
OTC
Sigue siendo el mismo
6 5 2 7 8 9 4 1 3 9
85 96
1 2 5 6
Example 2:
Protocolo PINsafe
Con PINsafe garantizamos la autenticación del usuario, no del
dispositivo token.
¿Quién es el autenticado? ¿Usuario o dispositivo?
¡Cuando el móvil se convierte en token!
2FA
Authenticacìon Fuerte
1. PINsafe SMS
PINsafe SMSPrevio envío o al momento
PINsafe Security String 01-----------------------------------1 2 3 4 5 6 7 8 9 01 7 3 9 2 4 6 5 0 8-----------------------------------
PINsafe OTC-----------------------------------651973-----------------------------------
PINsafe Security String 011 2 3 4 5 6 7 8 9 0A Z D I K H S L CPINsafe Security String 021 2 3 4 5 6 7 8 9 07 4 8 2 9 3 6 1 8 0 PINsafe Security String 031 2 3 4 5 6 7 8 9 00 1 2 3 8 9 4 7 6 5PINsafe Security String 041 2 3 4 5 6 7 8 9 00 1 5 8 3 4 9 7 6 2
Home Banking SMS-----------------------------------1 2 3 4 5 6 7 8 9 01 7 3 9 2 A J I L 8-----------------------------------Operation: AT2839127-08-2010 16:45
OTCOTCOTCOTCSecurity StringSecurity StringSecurity StringSecurity String MultiMulti
Security StringSecurity String
MultiMultiSecurity StringSecurity String
Encrypted 3PartEncrypted 3PartSecurity StringSecurity String
Encrypted 3PartEncrypted 3PartSecurity StringSecurity String
2. PINsafe Mobile App
PINsafe Mobile App
PINsafe Inbound SMS
3. PINsafe (Inbound) SMS
SMS Message to PayPal
4951
OTC SMS response
+349021234567
PINsafe Voice
3. PINsafe (Inbound) SMS
Call
4951
Voice / IVR
+349021234567
1.5FA
Authenticacìon Robusta
PINsafe TURing
PINsafe TURing(Animado o Estático)
Web Integracion:Animated TURing
Web Integracion:Animated TURing
Cadena de Seguridad
Cadena de Seguridad
Números
Letras mayúsculas
Letras minúsculas
Letras mayúsculas y minúsculas
1 en 10,000
1 en 279,840
1 en 279,840
1 en 4,477,455
Números y letras mayúsuclas 1 en 390,624
Sólo una autenticación robusta puede permitir una determinación de
responsabilidades dentro de una organización.
Unicredit: Case Study
Case Study: UNICREDITAutenticación VPN SSL
Objetivo: Permitir el acceso de 50.000 usuarios a VPN SSLde Juniper utilizando 2FA.
Case Study: UNICREDITAutenticación VPN SSL
( x24 ha A/A + x2 ha A/A = MFA )Sin token
50.000 usuarios
Project: UNICREDITBanca Online
Protección contra Vishing
Vishing scams in UK
Resumen: UniCredit
¿Qué protegemos? ¿Usuario o dispositivo?
Usuario: Únicamente el usuario puede crear el OTC, porque necesita un PIN que
nunca tiene que teclear y sólo está en su memoria.
Dispositivo:Autenticamos el usuario, no el dispositivo.
Legal:El usuario tiene la responsabilidad de no divulgar su PIN, porque
si se compromete el dispositivo, sin el PIN es imposible crear el OTC.
PINsafe:•Es posible con PINsafe tener uno o varios métodos de autenticación para el usuario dependiendo del nivel de seguridad impuesto para cada acceso.•PINsafe SMS (inbound o outbound), PINsafe Voice, PINsafe TURing…
Ejemplo:
WINDOWS 7/2008
UAG
Ejemplos
W2K8/W7 Integration Cadena Seguridad:
TURing
Ejemplos
UAG Integration Cadena Seguridad:
SMS/TURing
Marketing
