martes, diciembre 17, 2013

Latch: Cómo proteger las identidades digitales (III de IV)

Una vez que has conseguido añadir tus identidades digitales a Latch mediante el proceso descrito en la parte anterior de esta serie de artículos, el proceso que se sigue es el que está descrito en la imagen siguiente. Como se puede ver, cuando un cliente del servicio protegido con Latch envía el usuario y la contraseña, es el servidor dueño de la identidad el único que tiene potestad para saber si esas credenciales son correctas o no. Esto lo sabe porque únicamente él tiene la base de datos de los usuarios y sus contraseñas almacenadas.

Figura 7: Comprobación del estado del Latch de una cuenta

Si estas credenciales son correctas, puede comprobar en la base de datos si el usuario ha decidido pro-activamente crear un pestillo digital para esta identidad, de tal manera que, en el caso de haber un Latch establecido preguntará al servidor de Latch por el estado actual de este pestillo. El servidor responderá con lo que el usuario haya configurado en su cuenta desde la app que tienen instalada en su smartphone, generándose en el caso descrito en la imagen número 7 una respuesta con el estado de OFF y por tanto una denegación de acceso a los servicios.

Esto, como se puede ver en el artículo de cómo probar Latch con 0xWord, llevará consigo la emisión de una alerta de seguridad que recibirá el usuario en la app de Latch, dejándole claro que alguien ha utilizado su identidad.

Figura 8: Mensaje de alerta cuando alguien intenta acceder a una identidad bloqueada

Si simplemente ha sido un despiste a la hora de configurar el estado del pestillo en la identidad, desde la propia alerta se podrá desbloquear, pero si por el contrario no ha sido el dueño de la identidad el que intentó el acceso, eso significa obligatoriamente que la identidad ha sido robada y por tanto se debería cambiar la contraseña antes de desbloquear el pestillo.

Un Latch con OTP

En algunas ocasiones puede que se desee permitir el acceso a la identidad, pero se quiere controlar el número de accesos que se producen. Esto es especialmente útil en la existencia de cuentas delegadas, como se puede dar en un control parental o en una cuenta de servicio - o incluso la banca online de una empresa - que sea gestionada por un empleado de la organización.

Como forma de conseguir un control más allá del ON/OFF, decidimos que era sencillo añadir una validación basada en OTP que fuera ofrecido directamente por el servidor de Latch, así que el sistema integra el siguiente proceso.

Figura 9: Cuentas delegadas con opción de OTP en Latch

Para eso, como se vio en el artículo de cómo probar Latch con 0xWord, el servido de Latch responderá con un valor OTP al servidor dueño de la identidad cuando se pregunte por el estado del pestillo.

Figura 10: Funcionamiento del OTP en Latch con 0xWord


Este mismo valor será enviado a la app de Latch del usuario para que lo introduzca directamente en la web. Si quieres probar el sistema de OTP con Latch lo puedes hacer con 0xWord.

Un Latch y granularidad en las operaciones

Como existía esta comprobación de estado de los pestillos, pensamos que para una empresa podría ser útil fortificar las opciones de seguridad de una identidad más allá de sólo poner ON/OFF y permitir que un usuario le restringiera determinadas operaciones del servicio que puede hacer con un sitio web. Para ello, el dueño de la identidad puede crear una serie de operaciones que le serán ofrecidas al dueño del Latch para que este pueda decidir si un determinado apartado de la web lo quiere activo, desactivado o con OTP.

Por ejemplo, en un entorno de banca online, un usuario podría prohibir las transferencias internacionales y poner que las transferencias nacionales solo están activas vía OTP. Así, la delegación de las credenciales de la banca online a un administrativo de una empresa estarían mucho más controladas. ¿Por qué iba a poder un contable hacer transferencias internacionales fuera de los momentos destinados a esos pagos?

Figura 11: Funcionamiento de la granularidad de operaciones en Latch

Al final, el dueño de la identidad que acaba delegando su uso, podría tener un control mucho mayor, ya que como se ve en el gráfico superior, no sólo se pregunta por el estado general del Latch, sino que se pregunta por la operación concreta, generando diferentes resultados.

Si quieres probar el sistema de bloqueo de diferentes operaciones, puedes sacarte una cuenta de Latch, bajarte la app de Android o iPhone, y parear una cuenta que te saques de nuestro banco fake Nevele Banck. Tras parear la cuenta podrás ver que hay diferentes operaciones creadas por el banco online para darle al usuario mayor control de las operaciones que permite el sistema.

Saludos Malignos!

************************************************************************************
************************************************************************************

7 comentarios:

Txalin dijo...

Gueno, como dije, ya la he probado, en un HTC One X con android 4.1, y le veo los siguientes fallos/puntos de mejora:

1º) Cuando te logueas en la app del móvil, aunque cierres la aplicación, al iniciarla de nuevo no te pide usuario y password.

2º) No hay forma de desvincular un dispositivo en el panel de control de latch como efectivamente comentó Chema en el post anterior

Esto me lleva a pensar lo siguiente: En caso de perdida o extravío del movil tienes que hablar uno por uno con los proveedores de indentidades para deshabilitar latch, y ya sabemos todos lo rápido que suelen actuar...

Por ello, creo que las siguientes mejoras serían muy positivas:

1º) Que la app pidan login siempre, o al menos, que puedas elegir si recordar el password o no.

2º) Que el password de la web sea distinto de la app, y que en dicha web puedas ver los dispositivos vinculados en tu cuenta de latch e histórico de conexiones

3º) Que en la web de latch puedas deshabilitar un dispositivo

Con esto se consigue lo siguiente:

1º) En caso de robo y bloqueo de las identidades por parte del ladrón, puedes habilitarlas en segundos.

2º) Que puedas controlar cuando se ha accedido a los servicios de latch (y con suerte geolocalizarlos)

3º)Que en caso de bloqueo no tengas que perder mucho tiempo hablando con los proveedores, que como bien dice Chema en sus charlas, suelen ser un montón (facilmente mas de 15 servicios distintos)

Saludos

Maligno dijo...

@Txalin,

No pedir el usuario y la password siempre es una opción de usabilidad para que con el passcode del terminal sea suficiente. No hay que olvidar que la app no guarda ningún usuario y password, por lo que su sensibilidad es relativa.

Por otro lado, el dueño de la web tiene un panel de control en el que estamos trabajando para ver todos los latches asociados.

No hemos querido dejar un acceso web a los usuarios para evitar ataques de phishing y que el usuario utilice Latch desde el mismo equipo al que se conecta al servicio web.

Desde la web de Latch sí que hay un espacio para desvincular todos los Latches "en plan botón" del pánico, lo que generará que la próxima consulta que se haga desde un proveedor de identidad le diremos unpaired y él lo podrá tomar como un ON para que el usuario pueda cambiar los latches.

El tema del log de acceso está en roadmap, pero no lo hemos metido en esta versión beta por falta de tiempo para llegar al lanzmiento. En la versión del MWC estará disponible.

Mil gracias por probarla y darnos feedback! }:))

Pepín dijo...

Hola Chema, me gustaría saber si en los blogs de wordpress.com además de las cuentas outlook, gmail & yahoo sera posible implementar esta capa de seguridad?
Saludos

Anónimo dijo...

Me he bajado Latch y me parece muy buena idea. A ver si pronto se implementa en sitios para poder hacer uso de el de una manera no experimental.De momento que sitios aparte de 0xWORD

Anónimo dijo...

Hola Chema, recién me he encontrado con Latch. espero halla avanzado mucho.

Algo que me vino a la mente, leyendo esta parte, si alguien quiere acceder a un servicio el cual tiene Latch activado, y como tu dices recibes la alerta y recomiendas cambiar de clave antes de quitar el pestillo. Quiere decir que digamos el atacante por medio de digamos adivinar nuestras preguntas de seguridad y cambiar el mismo la clave, aún así no podría acceder al servicio porque el Latch sigue activado?

ballsxan potente dijo...
Este comentario ha sido eliminado por el autor.
ballsxan potente dijo...
Este comentario ha sido eliminado por el autor.

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares