Autenticacin

Autenticacin es el acto de establecimiento o confirmacin de algo (o alguien) como

autntico. La autenticacin de un objeto puede significar (pensar) la confirmacin de su
procedencia, mientras que la autenticacin de una persona a menudo consiste en verificar su
identidad. La autenticacin depende de uno o varios factores.
ndice
[ocultar]

1 Definiciones

2 Mtodos de autenticacin

3 Caractersticas de autenticacin

4 Mecanismo general de autenticacin

5 Control de acceso

6 Autenticacin por multifactor

7 Autenticacin

8 Autenticacin de usuarios en Unix

8.1 Autenticacin clsica

8.1.1 Problemas del modelo clsico

8.2 Shadow Password

8.3 Envejecimiento de contraseas

8.4 Otros mtodos

9 PAM
o

9.1 Sintaxis del archivo de configuracin

10 Vase tambin

11 Enlaces externos

12 Referencias

Definiciones[editar]
Autenticacin, autentificacin (no recomendado) o mejor dicho acreditacin, en trminos
de seguridad de redes de datos, se puede considerar uno de los tres pasos fundamentales
(AAA). Cada uno de ellos es, de forma ordenada:
1. Autenticacin. En la seguridad de ordenador, la autenticacin es el proceso de
intento de verificar la identidad digital del remitente de una comunicacin como
una peticin para conectarse. El remitente siendo autenticado puede ser una
persona que usa un ordenador, un ordenador por s mismo o un programa del
ordenador. En un web de confianza, "autenticacin" es un modo de asegurar
que los usuarios son quien ellos dicen que ellos son - que el usuario que
intenta realizar funciones en un sistema es de hecho el usuario que tiene la
autorizacin para hacer as.
2. Autorizacin. Proceso por el cual la red de datos autoriza al usuario
identificado a acceder a determinados recursos de la misma.
3. Auditora. Mediante la cual la red o sistemas asociados registran todos y cada
uno de los accesos a los recursos que realiza el usuario autorizados o no.
El problema de la autorizacin a menudo, es idntico a la de autenticacin; muchos
protocolos de seguridad extensamente adoptados estndar, regulaciones obligatorias, y
hasta estatutos estn basados en esta asuncin. Sin embargo, el uso ms exacto
describe la autenticacin como el proceso de verificar la identidad de una persona,
mientras la autorizacin es el proceso de verificacin que una persona conocida tiene la
autoridad para realizar una cierta operacin. La autenticacin, por lo tanto, debe preceder
la autorizacin. Para distinguir la autenticacin de la autorizacin de trmino
estrechamente relacionada, existen unas notaciones de taquigrafa que son: A1 para la
autenticacin y A2 para la autorizacin que de vez en cuando son usadas,tambin existen
los trminos AuthN y AuthZ que son usados en algunas comunidades.

Mtodos de autenticacin[editar]
Los mtodos de autenticacin estn en funcin de lo que utilizan para la verificacin y
estos se dividen en tres categoras:

Sistemas basados en algo conocido. Ejemplo, un password (Unix)

o passphrase (PGP).

Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una tarjeta
inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle
criptogrfico.

Sistemas basados en una caracterstica fsica del usuario o un acto involuntario

del mismo: Ejemplo, verificacin de voz, de escritura, de huellas, de patrones
oculares.

Caractersticas de autenticacin[editar]
Cualquier sistema de identificacin ha de poseer unas determinadas caractersticas
para ser viable:

Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de
fallo de en los sistemas menos seguros).

Econmicamente factible para la organizacin (si su precio es superior al valor de

lo que se intenta proteger, tenemos un sistema incorrecto).

Soportar con xito cierto tipo de ataques.

Ser aceptable para los usuarios, que sern al fin y al cabo quienes lo utilicen.

Mecanismo general de autenticacin[editar]

La mayor parte de los sistemas informticos y redes mantienen de uno u otro
modo una relacin de identidades personales (usuarios) asociadas normalmente
con un perfil de seguridad, roles y permisos. La autenticacin de usuarios permite
a estos sistemas asumir con una seguridad razonable que quien se est
conectando es quien dice ser para que luego las acciones que se ejecuten en el
sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos
de autorizacin y/o auditora oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) por tanto para
la autenticacin es la existencia de identidades biunvocamente identificadas con
un identificador nico (valga la redundancia). Los identificadores de usuarios
pueden tener muchas formas siendo la ms comn una sucesin de caracteres
conocida comnmente como login.
El proceso general de autenticacin consta de los siguientes pasos:
1. El usuario solicita acceso a un sistema.
2. El sistema solicita al usuario que se autentique.

3. El usuario aporta las credenciales que le identifican y permiten verificar la

autenticidad de la identificacin.
4. El sistema valida segn sus reglas si las credenciales aportadas son
suficientes para dar acceso al usuario o no.

Control de acceso[editar]
Un ejemplo familiar es el control de acceso. Un sistema informtico supuesto
para ser utilizado solamente por aquellos autorizados, debe procurar detectar
y excluir el desautorizado. El acceso a l por lo tanto es controlado
generalmente insistiendo en un procedimiento de la autentificacin para
establecer con un cierto grado establecido de confianza la identidad del
usuario, por lo tanto concediendo esos privilegios como puede ser autorizado
a esa identidad. Los ejemplos comunes del control de acceso que implican la
autenticacin incluyen:

Retirar de dinero de un cajero automtico.

Control de un computador remoto sin Internet.

Uso de un sistema Internet banking.

Sin embargo, observar que mucha de la discusin sobre estos asuntos es
engaosa porque los trminos se utilizan sin la precisin. Parte de esta
confusin puede ser debido al tono de la aplicacin de ley de mucha de
la discusin. Ninguna computadora, programa de computadora, o poder
del usuario de la computadora confirman la identidad de otro partido. No
es posible establece o probar una identidad, cualquiera. Hay ediciones
difciles que estn al acecho debajo de qu aparece ser una superficie
directa.
Es solamente posible aplicar una o ms pruebas que, si estn pasadas,
se han declarado previamente para ser suficientes proceder. El problema
es determinarse qu pruebas son suficientes, y muchos tales son
inadecuadas. Tienen sido muchos casos de tales pruebas que son
spoofed con xito; tienen por su falta demostrada, ineludible, ser
inadecuadas. Mucha gente contina mirando las pruebas -- y la decisin
para mirar xito en pasar -como aceptable, y para culpar su falta en
sloppiness o incompetencia de parte alguien. El problema es que la
prueba fue supuesta para trabajar en la prctica -- no bajo condiciones
ideales de ningn sloppiness o incompetencia-y no. Es la prueba que ha
fallado en tales casos. Considerar la caja muy comn de un email de la
confirmacin a el cual deba ser contestado para activar una cuenta en
lnea de una cierta clase. Puesto que el email se puede arreglar
fcilmente para ir a o para venir de direcciones falsas y untraceable, ste
es justo sobre la menos autenticacin robusta posible. El xito en pasar
esta prueba significa poco, sin consideracin alguna hacia sloppiness o
incompetencia.

Autenticacin por multifactor[editar]

Los factores de la autenticacin para los seres humanos se clasifican,
generalmente, en cuatro casos:

Algo que el usuario es (ejemplo, la huella digital o el patrn retiniano), la secuencia

de ADN (hay definiciones clasificadas de cul es suficiente), el patrn de la voz
(otra vez varias definiciones), el reconocimiento de la firma, las seales bioelctricas nicas producidas por el cuerpo vivo, u otro identificador biomtrico).

Algo que el usuario tiene (ejemplo, tarjeta de la identificacin, smbolo de la

seguridad, smbolo del software o telfono celular)

Algo que el usuario sabe (ejemplo, una contrasea, una frase o un nmero de
identificacin personal (el PIN) del paso).

Algo que el usuario hace (ejemplo, reconocimiento de voz, firma, o el paso).

Autenticacin mediante dos factores "algo que tengo" la llave + "algo que s" un
nmero de PIN (token criptogrfico)

Autenticacin triple factor "algo que tengo" el dispositivo criptogrfico + "algo que
s" una clave de autenticacin tipo PIN (al token criptogrfico) + "quin soy" la
huella dactilar que me permite autenticarme al dispositivo de forma unvoca.
Una combinacin de mtodos se utiliza a veces, ejemplo, una tarjeta
de banco y un PIN, en este caso se utiliza el trmino autenticacin
de dos factores. Histricamente, las huellas digitales se han utilizado
como el mtodo ms autoritario de autenticacin, pero procesos
legales recientes en los E.E.U.U. y a otra parte han levantado dudas
fundamentales sobre fiabilidad de la huella digital. Otros mtodos
biomtricos son prometedores (las exploraciones retinianas y de la
huella digital son un ejemplo), pero han demostrado ser fcilmente
engaados en la prctica. En un contexto de los datos de la
computadora, se han desarrollado protocolos de desaforespuesta que permiten el acceso si el que se quiere autenticar
responde correctamente a un desafo propuesto por el verificador.
Hay protocolos desafo-respuesta basados en algoritmos
criptogrficos llamndose protocolos criptogrficos de desaforespuesta. La seguridad de los protocolos criptogrficos de desaforespuesta se basa en la seguridad de los algoritmos
criptogrficos que usa.

Autenticacin[editar]
El Authentication fue definido por Arnnei Speiser en 2003 mientras
que la Web bas el servicio que proporciona en la autenticacin de
usuarios finales que tienen acceso (Login) a un servicio de Internet.
La Autenticacin es similar a la verificacin de la tarjeta de crdito
para los Web site del eCommerce. La verificacin es hecha por un
servicio dedicado que reciba la entrada y vuelva la indicacin del
xito o de fallo. Por ejemplo, un usuario final desea entrar en su Web
site. l consigue entrar en una pgina Web de la conexin que
requiere para acceso, su user-id y una contrasea o a los sitios
asegurados y su contrasea a la vez. La informacin se transmite al
servicio del eAuthentication como pregunta. Si el servicio vuelve
xito, permiten al usuario final entrar en el servicio de esa pgina
Web con sus privilegios como usuario.

Autenticacin de usuarios en Unix[editar]

Autenticacin clsica[editar]
En un sistema Unix habitual cada usuario posee un nombre de
entrada al sistema o login y una clave o password; ambos datos se
almacenan generalmente en el fichero /etc/passwd. Este archivo
contiene una lnea por usuario donde se indica la informacin
necesaria para que los usuarios puedan conectar al sistema y
trabajar en l, separando los diferentes campos mediante `:'.
Al contrario de lo que mucha gente cree, Unix no es capaz de
distinguir a sus usuarios por su nombre de entrada al sistema. Para el
sistema operativo lo que realmente distingue a una persona de otra (o
al menos a un usuario de otro) es el UID del usuario en cuestin; el
login es algo que se utiliza principalmente para comodidad de las
personas (obviamente es ms fcil acordarse de un nombre de
entrada como toni que de un UID como 2643, sobre todo si se tienen
cuentas en varias mquinas, cada una con un UID diferente).
Para cifrar las claves de acceso de sus usuarios, el sistema operativo
Unix emplea un criptosistema irreversible que utiliza la funcin
estndar de C crypt, basada en el algoritmo DES. Para una
descripcin exhaustiva del funcionamiento de crypt. Esta funcin
toma como clave los ocho primeros caracteres de la contrasea
elegida por el usuario (si la longitud de sta es menor, se completa
con ceros) para cifrar un bloque de texto en claro de 64 bits puestos a
cero; para evitar que dos passwords iguales resulten en un mismo
texto cifrado, se realiza una permutacin durante el proceso de
cifrado elegida de forma automtica y aleatoria para cada usuario,
basada en un campo formado por un nmero de 12 bits (con lo que
conseguimos 4096 permutaciones diferentes) llamado salt. El cifrado
resultante se vuelve a cifrar utilizando la contrasea del usuario de
nuevo como clave, y permutando con el mismo salt, repitindose el
proceso 25 veces. El bloque cifrado final, de 64 bits, se concatena
con dos bits cero, obteniendo 66 bits que se hacen representables en
11 caracteres de 6 bits cada uno y que, junto con el salt, pasan a
constituir el campo password del fichero de contraseas,
usualmente /etc/passwd. As, los dos primeros caracteres de este

campo estarn constituidos por el salt y los 11 restantes por la

contrasea cifrada
Problemas del modelo clsico[editar]
Los ataques de texto cifrado escogido constituyen la principal
amenaza al sistema de autenticacin de Unix; a diferencia de lo que
mucha gente cree, no es posible descifrar una contrasea, pero es
muy fcil cifrar una palabra junto a un determinado salt, y comparar el
resultado con la cadena almacenada en el fichero de claves. De esta
forma, un atacante leer el fichero /etc/passwd (este fichero ha de
tener permiso de lectura para todos los usuarios si queremos que el
sistema funcione correctamente), y mediante un programa adivinador
(o crackeador) cifrar todas las palabras de un fichero denominado
diccionario (un fichero ASCII con un gran nmero de palabras de
cualquier idioma o campo de la sociedad: historia clsica, deporte,
cantantes...), comparando el resultado obtenido en este proceso con
la clave cifrada del fichero de contraseas; si ambos coinciden, ya ha
obtenido una clave para acceder al sistema de forma no autorizada.

Shadow Password[editar]
Otro mtodo cada da ms utilizado para proteger las contraseas de
los usuarios el denominado Shadow Password u oscurecimiento de
contraseas. La idea bsica de este mecanismo es impedir que los
usuarios sin privilegios puedan leer el fichero donde se almacenan las
claves cifradas.

Envejecimiento de contraseas[editar]
En casi todas las implementaciones de Shadow Password actuales
se suele incluir la implementacin para otro mecanismo de proteccin
de las claves denominado envejecimiento de contraseas (Password
Aging). La idea bsica de este mecanismo es proteger los passwords
de los usuarios dndoles un determinado periodo de vida: una
contrasea slo va a ser vlida durante un cierto tiempo, pasado el
cual expirar y el usuario deber cambiarla.
Realmente, el envejecimiento previene ms que problemas con las
claves problemas con la transmisin de stas por la red: cuando
conectamos mediante mecanismos comotelnet, ftp o rlogin a un
sistema Unix, cualquier equipo entre el nuestro y el servidor puede
leer los paquetes que enviamos por la red, incluyendo aquellos que
contienen nuestro nombre de usuario y nuestra contrasea.

Otros mtodos[editar]
Algo por lo que se ha criticado el esquema de autenticacin de
usuarios de Unix es la longitud, para propsitos de alta seguridad,
demasiado corta de sus claves; lo que hace aos era poco ms que
un planteamiento terico, actualmente es algo factible: sin ni siquiera
entrar en temas de hardware dedicado, seguramente demasiado caro
para la mayora de atacantes, con un supercomputador es posible
romper claves de Unix en menos de dos das.
Un mtodo que aumenta la seguridad de nuestras claves frente a
ataques de intrusos es el cifrado mediante la funcin conocida como
bigcrypt() o crypt16(), que permite longitudes para las claves y los

salts ms largas que crypt y sin embargo, aunque se aumenta la

seguridad de las claves, el problema que se presenta aqu es la
incompatibilidad con las claves del resto de Unices que sigan
utilizando crypt; este es un problema comn con otras
aproximaciones que tambin se basan en modificar el algoritmo de
cifrado, cuando no en utilizar uno nuevo.

PAM[editar]
PAM (Pluggable Authentication Module) no es un modelo de
autenticacin en s, sino que se trata de un mecanismo que
proporciona una interfaz entre las aplicaciones de usuario y diferentes
mtodos de autenticacin, tratando de esta forma de solucionar uno
de los problemas clsicos de la autenticacin de usuarios: el hecho
de que una vez que se ha definido e implantado cierto mecanismo en
un entorno, es difcil cambiarlo. Mediante PAM podemos comunicar a
nuestra aplicaciones con los mtodos de autenticacin que deseemos
de una forma transparente, lo que permite integrar las utilidades de
un sistema Unix clsico (login, ftp, telnet...) con esquemas diferentes
del habitual password: claves de un solo uso, biomtricos, tarjetas
inteligentes...
La gran mayora de las aplicaciones de linux usan estos mtodos
(PAM) para autenticarse frente al sistema, ya que una aplicacin
preparada para PAM (PAM-aware) puede cambiar el mecanismo de
autenticacin que usa sin necesidade de recompilar los fuentes.
Incluso se puede llegar a cambiar el sistema de autenticacin local
sin siquiera tocar las aplicaciones existentes.
PAM viene `de serie' en diferentes sistemas Unix, tanto libres como
comerciales, y el nivel de abstraccin que proporciona permite cosas
tan interesantes como kerberizar nuestra autenticacin (al menos la
parte servidora) sin ms que cambiar la configuracin de PAM, que
se encuentra bien en el fichero /etc/pam.conf o bien en diferentes
archivos dentro del directorio /etc/pam.d/
PAM trabaja con cuatro tipos separados de tareas de administracin:
authentication, account, session, y password. La asociacin del
esquema de administracin preferido con el comportamiento de la
aplicacin se hace mediante archivos de configuracin. Las funciones
de administracin las hacen mdulos que se especifican en el archivo
de configuracin. Ms adelante se explicara brevemente la sintaxis
del archivo de configuracin ya que se va fuera del alcance de este
artculo.
Cuando una aplicacin preparada para PAM inicia, se activa su
comunicacin con la API de PAM. Entre otras cosas esto fuerza la
lectura del archivo de configuracin: /etc/pam.conf. Alternativamente
puede ser que se inicie la lectura de los archivos de configuracin
bajo /etc/pam.d/ (cuando existe un archivo de configuracin correcto
bajo este directorio, se ignora el archivo /etc/pam.conf)

Sintaxis del archivo de configuracin[editar]

El archivo (/etc/pam.conf) est formado por una lista de reglas

(tpicamente una por lnea). Cada regla es un conjunto de campos
separados por espacios (los tres primeros son case-sensitives):
service type control module-path module-arguments
La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no
existe el campo "service". En este caso "service" es el nombre del
archivo en el directorio /etc/pam.d/ (el nombre del archivo debe estar
en minsculas) Usualmente service es el nombre del servicio o
aplicacin comnmente usado, ejemplo de esto son login, su y ssh.
type especifica a que grupo de administracin est asociada la regla.
Las entradas vlidas son:

account: este mdulo maneja la cuenta sin basarse en autenticacin. Tpicamente

se usa para restringir/permitir el acceso a un servicio basado en la hora o quizs
desde donde se loguea el usuario (ej.: root solo se puede loguear desde consola

auth: provee mecanismo de autenticacin (el usuario es quien dice ser).

password: este mdulo es requerido para modificar la password del usuario.

session: este mdulo est asociado con hacer tareas previas y/o posteriores al
inicio del servicio mismo (pueden ser cosas como montar un directorio, activar
logueos, etc).
El tercer campo control especifica que hacer si falla
el control aplicado. Existen dos sintaxis para este
campo, una sencilla de un campo y otra que
especifica ms de un campo dentro de corchetes
rectos [] Para la bsica, las opciones son:

required: indica que esta regla debe ser exitosa, de lo contrario el usuario no es
autorizado a correr el servicio. Si falla se devuelve el control al programa, pero
antes se ejecutan todos los mdulos.

requisite: es como el required, pero devuelve el control al programa enseguida de

fallar.

sufficient: Si este mdulo se verifica, entonces (se devuelve) se le da el ok al

programa y no se sigue verificando los otros mdulos.

optional: la falla o no de este mdulo es solo importante si es el nico existente.

El cuarto campo modulepath especifica el path al mdulo

PAM asociado con la regla. Los

mdulos se encuentran en
/lib/security.
El quinto campo modulearguments es un conjunto de cero o
ms argumentos pasados al mdulo
durante su invocacin. Los
argumentos varan segn el mdulo.
La configuracin de los archivos de
configuracin bajo /etc/pam.d/
resulta ser ms flexible (se evita
tener una archivo nico enorme).
Bajo este directorio se puede
encontrar el archivo de confiuracin
personal de un servicio particular
como ser ssh. La nica diferencia
entre la sintaxis del archivo
/etc/pam.conf es que no existe el
campo service.