latch v2
DESCRIPTION
La presente investigación analiza la problemática actual de la gestión de identidades digitales centrada en tres pilares fundamentales: la seguridad de la solución, su usabilidad y el coste de su implementación. En este artículo se profundiza en la posibilidad de utilizar el paradigma de la reducción de tiempo de exposición para garantizar una mejor aproximación a la gestión de identidades, dando lugar a una gestión robusta, usable y de menor coste que soluciones previas. La argumentación teórica se justifica con el desarrollo de la infraestructura de gestión de identidades Latch, analizando datos reales en escenarios de comunicación comunes en Internet. Documento relacionado: http://www.slideshare.net/elevenpaths/044-resci2014-latchTRANSCRIPT
ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánDr. Alfonso Muñoz Muñoz
Latch
Dr. Alfonso Muñ[email protected]
Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición
Cyber [ataques] f (motivation,
target, time, TTP, resources)
Motivaciones• Beneficio económico – CyberCrimen• Beneficio competitivo –CyberCrimen/Espionaje• Motivos ideológicos. Activismo• Beneficio táctico – CyberGuerra/Espionaje
¿El usuario es el culpable?
No será por salvaguardas…
NIST 800-53 PRIVILEGE MANAGEMENT INFRASTRUCTURE
… sigue habiendo problemas…
https://haveibeenpwned.com/
Involucrando al usuario…f (motivation, target, time, TTP, resources)
Reducción del tiempo de exposición.
• Menos exposición menos riesgo
Geer, Manadhata, 2011
1
unexposed
exposed
AttackSuccessfulp
AttackSuccessfulpRR
f (motivation, target, time, TTP, resources)
Pestillo digitalExtendiendo la seguridad al usuario
https://www.elevenpaths.com/es/tecnologia/latch/index.html
• Capa extra de seguridad. El usuario propone - el proveedor decide.• Flexibilidad: 2FA, decisión basada en umbral, control parental, política de acceso usuario, granularidad, …• Difusión: OpenAPI y SDKs (wordpress, joomla, redmine, drupal, prestaship, ssh, openvpn, openldap,
phpMyAdmin, php, java, ruby, python, …)• Beneficios para usuarios y empresas• Implantación: Telefónica, Movistar, Acens, Tuenti, Grupo Cortefiel, Cajamar, Unir, Universidad de
Salamanca…
Ejemplos de uso…
• CMS Joomla (Content Management System )
24797 usuarios
22% de las solicitudes han intentado accesos ilegítimos (con credenciales válidas)
69% de los usuarios configuran autobloqueo
17% utiliza Latch cómo un canal de Segundo factor (OTP)
Ejemplos de uso…
• Impacto de Latch en las pérdidas por fraude CNP
A: adopción esperada de LatchB: usuarios esperados de LatchC: movimiento de dinero usuando tarjetas – LatchD: fraude estimado en función de transferenciasE: cantidad defraudada tarjetas – latchF: Evolución del fraude CNPG: Ahorro esperado por el uso de Latch
Conclusiones…• Problemática actual en gestión de identidades digitales
• Nuevos esquemas son propuestos cada día. – La mayoría irrumpe bruscamente con cambios en los
sistemas de autenticación o autorización actuales
• Se propone arquitectura Latch basada en el paradigma de reducción de tiempo de exposición.
• Capa extra: usabilidad, bajo coste…
• Análisis de datos reales.
ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánD. Alfonso Muñoz Muñoz
Latch
Dr. Alfonso Muñ[email protected]
Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición