miércoles, 9 de enero de 2008

Autenticación con celular.

Sabemos que las contraseñas no son suficientes. Al mismo tiempo es una lata traer con uno el famoso "token" o tarjeta inteligente para añadir un segundo factor de autenticación. ¿No sería conveniente simplemente usar el celular?

A una empresa ya se le ocurrió esta idea y me pareció una propuesta interesante. Por ejemplo alguien quiere acceder al correo electrónico corporativo de forma remota desde su casa. Teclea el nombre de usuario y contraseña usando "https". El servidor de correo recibe esta petición y manda llamar a una aplicación que tiene registrado a "fulanito" y le marca a su celular. El usuario recibe una llamada al celular y con una combinación de teclas confirma que es él y el celular manda la respuesta a la aplicación. Finalmente la aplicación le "dice" al servidor de correo si el usuario debe o no tener acceso a sus mensajes.

Si alguien se roba la contraseña del usuario e intenta acceder al correo, nunca recibirá la famosa llamada y le rechazarán su ingreso al sistema; sólo el que tenga el celular podrá confirmar; y claro, si el usuario autorizado recibe una llamada y no es él quien está accediendo al sistema simplemente ignora la llamada. La contraseña y nombre de usuario es "algo que se sabe" y el celular es "algo que se tiene", juntos conforman dos factores de autenticación. Por cierto, es más fácil que se nos olvide el token o tarjeta que nuestro celular que para muchos de nosotros es algo ya básico.

En fin, como dije, me pareció una buena idea y como la noticia apareció en un sitio dedicado al sector financiero, no dudo que les ofrezcan esta solución a uno que otro banco. Habría que probar bien el esquema que se propone y verificar que realmente satisface las necesidades de seguridad que se están prometiendo.

La liga en: http://www.bankinfosecurity.com/showOnDemand.php?webinarID=58