http://www3.es.safenetinc.com/news/2006/etoken/gestion_contrasenyas.

aspx Segun wikipedia Single sign-on (SSO) es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación. Hay cinco tipos principales de SSO, también se les llama reduced sign on systems (en inglés, sistemas de autenticación reducida). Enterprise single sign-on (E-SSO), también llamado legacy single sign-on, funciona para una autenticación primaria, interceptando los requerimientos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contraseña. Los sistemas E-SSO permiten interactuar con sistemas que pueden deshabilitar la presentación de la pantalla de login. Web single sign-on (Web-SSO), también llamado Web access management (Web-AM) trabaja sólo con aplicaciones y recursos accedidos vía web. Los accesos son interceptados con la ayuda de un servidor proxy o de un componente instalado en el servidor web destino. Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor de autenticación y regresan solo después de haber logrado un acceso exitoso. Se utilizan cookies, para reconocer aquellos usuarios que acceden y su estado de autenticación. Kerberos es un método popular de externalizar la autenticación de los usuarios. Los usuarios se registran en el servidor Kerberos y reciben un "ticket", luego las aplicaciones-cliente lo presentan para obtener acceso. Identidad federada es una nueva manera de concebir este tema, también para aplicaciones Web. Utiliza protocolos basados en estándares para habilitar que las aplicaciones puedan identificar los clientes sin necesidad de autenticación redundante. OpenID es un proceso de SSO distribuido y descentralizado donde la identidad se compila en una url que cualquier aplicación o servidor puede verificar. Single Sign On y Simple Sign On En muchos casos no es posible recurrir a la autenticación en el dominio como sistema de acceso a terceras aplicaciones. Se hace patente en estos casos la necesidad de establecer sistemas de Single Sign On (SSO) o Simple Sign On que permitan al usuario disponer de una única autenticación frente a diversas aplicaciones. En el caso del Single Sign On (SSO), hasta la fecha, este tipo de herramientas

y de forma segura. el eToken con Certificado y algo que sabemos.permitían gestionar los passwords de acceso a diferentes aplicaciones mediante un único login y password de manera que el usuario sólo debía recordar una contraseña de acceso. el password del eToken) y asegurar que el acceso se efectúa por quién corresponde. De este modo el usuario se autentica en el eToken y éste rellena automáticamente los campos de usuarios y password de las aplicaciones que se lancen. una autenticación basada en contraseñas en este tipo de sistemas SSO supone una grave amenaza desde el punto de vista de la seguridad ya que un atacante que consiguiera el password de acceso a la aplicación de Single Sign On conseguiría fácilmente entrar a todas las demás. Es éste un procedimiento óptimo para implementar un sistema de acceso único de los empleados en corporaciones de tamaño pequeño y mediano ya que su coste y tiempo de despliegue es muy inferior al necesario en el caso de las aplicaciones SSO. La ventaja clara en este caso es que disponemos de un único acceso seguro para el usuario. Sin embargo. los login y password de acceso a aplicaciones. siendo luego la aplicación de Single Sign On la que autentica al usuario frente al resto de las aplicaciones. ante unas necesidades corporativas que cada día mas exigen la posibilidad de acceder a los recursos IT en remoto. el cual no tiene necesidad de recordar múltiples contraseñas y puede gestionar su identidad en el acceso a aplicaciones de forma cómoda. los ataques internos realizados por usuarios descontentos u hostiles. De esta forma es posible realizar una autenticación fuerte del usuario (algo que tenemos. El no establecimiento de una adecuada política de gestión de la identidad supone una doble amenaza: por un lado la suplantación de identidades en los accesos externos de nuestros usuarios y por otro. segura y eficiente Cuando nos referimos a Simple Sign On hacemos referencia a un concepto muy similar al anterior salvo que en este caso se utilizan las propiedades de almacenamiento de información del chip del etoken para guardar en el mismo. Precisamente para evitar este problema la mayor parte de las aplicaciones punteras en el terreno del SSO disponen de la posibilidad de autenticar al usuario utilizando un certificado digital almacenado en un eToken. sirviéndose para ello del password de un compañero. la del SW cliente del SSO. se está brindando a los trabajadores accesos VPN cuya única seguridad radica en un password que habitualmente está contenido dentro de los diccionarios de . En el primer caso vemos como.

El resultado de ambos factores es una pequeña pesadilla para el usuario que debe aprender a convivir con frecuentes cambios de contraseñas. En el segundo caso nos encontramos con usuarios internos que aprovechan los privilegios de su pertenencia al dominio. conocimiento de la red interna y de los passwords de sus propios compañeros. De este modo nos encontramos con que es necesario disponer de nuevas soluciones al problema de la gestión de la identidad del . la preocupación del administrador debería ser aún mayor pues significaría que los usuarios están apuntando las contraseñas en un Post It bajo el teclado. No se explica cómo se invierten cantidades. Uno de lo grandes retos de la informática corporativa es la gestión de la identidad de los usuarios. control de contenidos. Single Sign On eToken es una llave USB totalmente portátil y de bajo coste para identificación fuerte de usuarios y administración de contraseñas. En el caso de que estas llamadas no se produjeran. algunas veces astronómicas. IPS. exclusión de ciertas palabras…). ACA SERIA COMO UN EJEMPLO Gestión de contraseñas. periodicidades y políticas diferentes en el cambio de la misma… lo que deviene en constantes llamadas al administrador para resolver frecuentes olvidos de la contraseña tras su cambio. hasta la fecha. Se pone así de manifiesto cómo en ambos casos el punto débil de muchas de las políticas de seguridad empresarial se encuentra en la deficiente autenticación de sus usuarios frente al dominio y las diversas aplicaciones. el empleado medio de cualquier empresa debe introducir un login y una contraseña en multitud de aplicaciones además del indispensable login en el dominio corporativo… Una medida de seguridad habitual. Se está proporcionando de este modo la vía de entrada perfecta para cualquier tipo de ataque con posibilidades claras de alcanzar los entornos más delicados de la organización. es forzar al usuario a cambiar dicha contraseña con cierta periodicidad así como el establecimiento de políticas en cuanto a la calidad de la misma (extensión. no repetición.contraseñas mas habituales de las herramientas de hacking. para suplantar su identidad y acceder a información sensible ya sea con propósitos de lucro o bien por simple afán destructivo. En un día típico.…) y sin embargo se descuida un aspecto tan fundamental como la autenticación fuerte de los accesos. en seguridad perimetral (Firewalls.

usuario tanto en lo que se refiere al acceso al dominio como en el acceso a aplicaciones. Login en el dominio y Login único Es posible establecer un sistema único de autenticación fuerte en el dominio y de acceso a las aplicaciones combinando las posibilidades de uso del eToken. conseguir que un usuario que se hubiera autenticado en el dominio mediante Windows Smart Card Logon tenga de forma automática acceso al resto de . Estas propiedades permiten asegurar que el certificado no puede ser extraído o copiado de ninguna manera y que además el acceso a su uso se encuentra protegido por un password seguro y resistente a ataques de fuerza bruta (el eToken se bloquea pasado un determinado número de intentos erróneos). firmar correos y documentos. De este modo sólo quién tuviera el dispositivo criptográfico eToken con el certificado correcto y válido almacenado y conociera el password podría acceder al dominio y al resto de aplicaciones. es decir. utilizar estos dispositivos etoken Smartcard o USB con un certificado para cifrar información sensible. Éste dispositivo puede ser tanto una tarjeta Smart Card como un Token USB criptográfico (o lo que es lo mismo. La suplantación de identidad de los usuarios se hace de esta forma imposible y el control de los accesos no autorizados puede ser realizado por los sistemas de seguridad perimetrales (FW e IDS). una tarjeta smart card en formato USB). login único frente aplicaciones con soporte PKI y autenticación en entornos web (eToken Simple Sign On y Web Sign On)… entre otros usos. una aplicación SSO y la funcionalidad Windows Smartcard Logon (soportado nativamente por W2000 y XP entre otros sistemas operativos). autenticarse en VPN´s Ipsec y/o SSL. Es posible además. El procedimiento sería muy sencillo ya que el usuario únicamente debería conectar la tarjeta o el etoken al ordenador e introducir su password para conseguir acceso. Cualquier intento de extraer la información de acceso al dominio mediante técnicas de hacking o ingeniería social resultarían inútiles en este caso. En algunos entornos también es posible sincronizar el acceso al dominio como herramienta de autenticación frente a terceras aplicaciones. Al hablar de Windows Smart Card Logon hacemos referencia a la posibilidad que ofrece el sistema operativo y los servicios de directorio del dominio para autenticar al usuario no en base a un login y password sino a un certificado electrónico almacenado en un dispositivo criptográfico. En ambos casos contamos con las propiedades de seguridad inherentes a los chips criptográficos para almacenar o incluso generar las claves criptográficas que sirven de base al certificado.

cifrado. las cuales gracias a su integración completa con el Directorio Activo de Microsoft permiten que sea el propio usuario mediante un interfaz web sencillo y amigable el que realice el proceso de inicialización del eToken. Para ello únicamente debe acceder a la página web de su intranet publicado por el propio TMS y desde allí seguir las instrucciones (básicamente logarse e introducir el eToken en el puerto USB) para inicializar el etoken y descargar los certificados de acceso a Windows Smart Card Logon. VPN.… desde la PKI corporativa. . El despliegue de los dispositivos puede asimismo realizarse de forma rápida y sencilla utilizando herramientas como el Token Management System.aplicaciones corporativas.

Sign up to vote on this title
UsefulNot useful