¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Información para reflexionar

Информация к размышлению

Otras ediciones de este tema (41)
  • añadir a favoritos
    Añadir a marcadores

Identificación, autenticación, autorización — ¿de qué se encarga cada cosa?

Consultas: 333 Comentarios: 0 Ranking: 0

miércoles, 15 de junio de 2022

Vamos a ver qué significan los términos “identificación”, “autenticación”, “autorización” y qué diferencias hay entre estos procedimientos.

Identificación: «¡Pare! ¿Quién es Vd.?»

Cuando un visitante llega a la oficina de la empresa Doctor Web, se presenta al guardia en la entrada. De esta forma la persona se identifica, informa quién es. Al guardia no le importa para qué viene esta persona, para trabajar, buscar un paquete o para asistir a una reunión. Solamente debe comprobar que esta persona está en la lista de los autorizados para entrar.

De la misma forma Vd. debe presentarse primero si, por ejemplo, desea entrar en Su cuenta de algún sistema: la banca en línea, el correo electrónico o la res social. El sistema solicita un ID (nombre de usuario), Vd. lo introduce, y lo identifica como existente. Esto es la identificación: la comprobación de que la persona indicada/nombre de usuario/email existe.

En sistema hay información sobre el conjunto de IDs restringido. En caso de haber introducido cualquier secuencia de caracteres si el sistema localiza una entrada sobre un usuario con este nombre de usuario, la identificación finaliza. Significa que el primer paso al recurso de información (correo, cuenta de la red social etc.) fue realizado.

Autenticación: «El pase, por favor»

Ahora Vd. debe introducir la contraseña para confirmar que no desea hacerse pasar por otra persona. En cuanto el sistema se entere de que el que sabe el nombre de usuario también se entera de la contraseña, confirmará que es el verdadero titular de la cuenta. Es la autenticación: la comprobación de si la contraseña se corresponde al usuario.

¿Recuerda a la persona que quiere entrar en nuestra oficina? Supongamos que el guardia lo encontró en la lista (lo identificó). Luego debe comprobar los documentos del visitante para autentificarlo.

Para que los malintencionados que averiguaron la contraseña de Su cuenta no puedan entrar en la misma, el sistema por seguridad puede preguntar algo que solo Vd. sabe: por ejemplo, un código SMS de una sola vez para confirmar la entrada. En caso de introducirlo bien, el sistema se asegura finalmente que Vd. es la persona correcta. Es la autenticación de dos factores (2FA — 2-factor authentication).

Para los tipos serios la autenticación de dos factores es obligatoria. Normalmente es un token (un código de un solo uso con periodo de validez restringido) que se envía al móvil de usuario por SMS. Pero no es obligatorio. Hay otras opciones de 2FA —como unidades USB, dispositivos bluetooth, escáneres biométricos etc. Hasta si un malintencionado recibe Su nombre de usuario y contraseña (a través de un malware, al robar una libreta con contraseñas o métodos de ingeniería social y phishing), sin este token el mimo no podrá entrar en la cuenta.

Autorización: «Paso permitido»

Una vez autentificado, el sistema le permitirá leer los mensajes en su buzón. Y el visitante al que el guardia permitió entrar será recibido por los secretarios. Si el mismo busca trabajo, invitarán a un experto en RR.HH., si necesita buscar un paquete, le entregarán el paquete, si tiene una reunión, le acompañarán a la sala de reuniones. Es la autorización: al usuario se le conceden los permisos de acceso a los recursos determinados.

La autorización no simplemente le permite entrar en el sistema, sino también permite realizar las determinadas operaciones en el mismo: leer los documentos, mandar mensajes, cambiar los datos, con el ID que Vd. presentó al principio.

El mundo de antivirus recomienda

  • Use las contraseñas seguras y únicas. Deben contener 8 caracteres o más, ¡contener números, letras mayúsculas y minúsculas y los símbolos especiales (!, @, #, $ etc). Si para crear la contraseña están disponibles solo letras y números sin símbolos especiales, es mejor aumentar la longitud de la misma, para compensar de alguna forma esta restricción y mejorar la seguridad.
  • Los asuntos de seguridad de los asistentes de contraseñas que generan las contraseñas y luego los guardan e introducen de forma automática para la autenticación, se refieren a otro tema de discusión. En resumen: en Doctor Web consideramos que el mejor asistente de contraseñas es nuestro cerebro.
  • Si es muy complicado recordar las contraseñas sofisticadas que consisten en símbolos, se puede usar las frases largas que tiene sentido. Es más complicado averiguar esta contraseña que un conjunto de caracteres no muy largo, y es mucho más fácil recordarlo.
  • No olvide actualizar las contraseñas de vez en cuando. Recomendamos hacerlo cada 3-6 meses. Si no es posible, por lo menos una vez al año.
  • Siempre active la autenticación de dos factores en todos los servicios que lo permite. Es mejor usar dos dispositivos para eso. 2FA no tiene sentido si para entrar en la banca en línea en el navegador en el móvil hay que introducir un código de SMS que llegará al mismo móvil.
  • No comparta los nombres de usuario ni las contraseñas con nadie: esto aumenta el riesgo de compromiso y de filtración de los datos.

¿Ahora entiende qué diferencias hay entre la autenticación, la identificación y la autorización? En caso de alguna pregunta o duda, puede dejar un comentario.

#autenticación_de_dos_factores #protección_contra_la_pérdida_de_datos #nombres #contraseña #SMS #ingeniería_social #terminología

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.