sábado, febrero 20, 2016

Ya puedes integrar Mobile Connect en tus servicios

Este lunes comienza el Mobile World Congress y, sin duda, una de las estrellas de esta edición será Mobile Connect, el nuevo estándar para autenticación en servicios basados en el número de teléfono. Detrás del estándar está la GSMA, que es la organización que aglutina a todas las Telcos del mundo, y nosotros en Eleven Paths hemos estado trabajando fuerte para que Telefónica sea una de las primeras en tenerlo listo y funcionando. Y ya está disponible para que empieces a integrarlo donde quieras.

Figura 1: Ya puedes integrar Mobile Connect en tus servicios

El funcionamiento de Mobile Connect es fácil de entender y se basa en autenticar a los usuarios de cualquier sistema mediante un desafió a la tarjeta SIM de su número de teléfono. Es decir, cuando un usuario se quiere autenticar en un servicio, en lugar de introducir un login_id y una password, pide autenticarse con Mobile Connect e introduce su número de teléfono. El servidor en el que se quiere autenticar comprueba que ese número de teléfono es de uno de sus empleados y entonces solicita a la operadora - a la telco - que verifique si el dueño del número de teléfono realmente se quiere conectar a su sistema. 

El servidor se conecta con un servicio de Mobile Connect que ofrece una de las telcos y será la infraestructura de red de las telcos la que busque la SIM del número solicitado para enviar, vía canal de operadora, un mensaje a la SIM del usuario. Ese mensaje hará que se ejecute un programa en la SIM del cliente que le preguntará si quiere autenticarse en ese servicio, y lo hará solicitando diferentes niveles de seguridad, según lo haya requerido el servicio en el que se está autenticando. El siguiente vídeo muestra un ejemplo sencillo de uso.


Figura 2: Ejemplo de login con Mobile Connect

En un nivel de autenticación básica se le solicitará al usuario que dé su aprobación con un clic. En un nivel de aprobación superior se le solicitará el PIN de Mobile Connect. En un nivel de autenticación superior se solicitará el PIN y que luego introduzca un OTP en el servidor web y, en un nivel de autenticación aún superior se le puede exigir que usando FIDO, ponga su huella dactilar para aprobar el acceso con biometría o incluso con el DNIe. Es decisión de lo que quiera el servicio al que se vaya a conectar. 

Figura 3: Mi Movistar España ya permite autenticarse con Mobile Connect

El servicio ya está lanzando en varios países en Telefónica desde hace un tiempo, que lo hemos tenido a prueba, y ya puedes usarlo en Mi Movistar España y en Mi Movistar Perú, donde puedes aprender también a utilizarlo fácilmente.

Figura 4: Mi Movistar Perú permite autenticarse también con Mobile Connect

La ventaja de utilizar Mobile Connect es que el usuario no necesita ni un smartphone ni una conexión de datos, es decir, no necesita que el cliente tenga un plan de Internet en el terminal para poder autenticarse usando Mobile Connect y no se necesita un smartphone porque el cliente de Mobile Connect corre directamente en la SIM del terminal. 
Desde ahora ya puedes comenzar a integrar este sistema de autenticación en tus servicios, con lo que podrías tener cualquier servicio en el que si tienes el número de teléfono de tus usuarios podrías autenticarlos con Mobile Connect, lo que además te sirve como forma de verificación de los datos. En la web de Developers de Mobile Connect ya tienes toda la información que necesitas para comenzar a trabajar con él, y en el vídeo siguiente se explica un poco su funcionamiento.


Figura 6: Integración y uso de Mobile Connect

Además, si necesitas ayuda para implementarlo en algún servicio, puedes ponerte en contacto con nuestros ingenieros de Eleven Paths a través de la Comunidad de Eleven Paths, donde hemos abierto una categoría de Mobile Connect para escuchar vuestras ideas, dudas o comentarios. El uso del servicio es gratis para los sistemas de autenticación básica en Internet, así que puedes ponerlo donde quieras en Internet.
Como ya os he contado en el pasado, nuestra visión de autenticación y autorización se basa en crear soluciones robustas adaptadas a las necesidades de los clientes, para permitir que el usuario decida cuál es la forma más cómoda para autenticarse en un sistema en cada caso. Nuestra idea es poder ofrecerle un abanico lo suficientemente grande de opciones como para que sea una experiencia satisfactoria a la vez que segura. Para ello tenemos soluciones de autenticación y de autorización que se pueden implementar todas juntas en un sistema y adaptarse a las necesidades y situaciones del usuario. 


Figura 8: Demostraciones de Mobile Connect + Latch + SMS + Biometría

Al final, a lo largo de los últimos tres años hemos construido un ecosistema de tecnologías que generan una solución de identidad digital de las que nos sentimos muy satisfechos, ya que recoge la visión que teníamos al inicio de construir algo centrado en el usuario y robusto. En este artículo que os publiqué contamos nuestra visión de autenticación y autorización, pero se resume bien en esta demostración que hicieron nuestros compañeros durante el último Security Innovation Day (vídeo superior) y durante el Security Day 2015 (vídeo siguiente).


Figura 9: Demos de autenticación con SmartID usando DNIe, Biometría, NFC y Latch.
Además autenticación vía firma digital manuscrita con SealSign

Las piezas tecnológicas que usamos para que luego se apliquen a gusto del usuario y del servicio para los procesos de autenticación y autorización son:
- Mobile Connect:  SIM, SIM+OTP, SMS+OTP, SIM+FIDO [Web Mobile Connect]
- SmartID: NFC, DNIe, RFID, SmartCard, Biometría dactilar [Web SmartID]
- Latch: Password+Latch,  Password+Latch+OTP [Web Latch]
- SealSign: Biometría de firma manuscrita, Firma Digital [Web SealSign]
- Liliac: RFID ID Card+ Liliac [Web Liliac]
Jugando con todos estas tecnologías, y aplicándolos todos a la vez, un sistema podría requerir uno u otro dependiendo del entorno en el que se encuentre el usuario, o dejar que el usuario elija en cada caso qué es lo que quiere usar para autenticarse. El mundo no debe pararse por las contraseñas y tenemos ya a día de hoy soluciones para hacer la vida más fácil y más segura a los usuarios.

Saludos Malignos!

5 comentarios:

Daniel Maldonado dijo...

Muy interesante la implementación. Felicidades al equipo de 11path

Unknown dijo...

Me viene fenomenal para el proyecto en el que ando trabajando. La seguridad es lo primero!

Ruben Cotera dijo...

Genial, seguridad seguridad y seguridad. Y lo bueno de éste tipo de sistemas es la transparencia, tanto para el desarrollador como para el usuario, por lo que creo que permitirá que se adopte con mayor facilidad que otros sistemas por parte de ambos. Enhorabuena ElevenPaths!! =D

Anónimo dijo...

El problema es promocionado directamente o indirectamente por las Teleco de turnos que querrán cobrar por estos servicios unos precios desorbitado, sin darse cuenta que el 90% de los móviles son smartphones, y qué hacer lo mismo, más seguro, con más vistas de futuro, que sea mucho más cómodo para el usuario y que prevenga de más ataques ya se está haciendo (ver el sistema de autenticación de Apple desde cualquier equipo registrado y si es el mismo desde donde se solicita es trasparente... Dar un paso más para que todas las autorizaciones sean transparentes... Es solo copiar el sistema de Twitter).

Cuando las operadoras se dará cuenta que no tiene que hace nada en tecnología... Esta solución llega tarde, de la mano de aquel que no entiende donde está el negocio y cuáles son las necesidades de los usuarios. Si no son capaces de hacer una aplicación para ellos medio decente difícilmente podrán proveer de servicios a compañías tecnológicas, diferentes que poner el commodity que es el ancho de banda.. Por mucho que se empeñen es decir que su gasolina súper es diferente que la del de al lado... Si hubiera competencia real los precios estaría en los costes marginales, pues la gasolina súper de BP es la misma que la de Repsol.

A por cierto no existe el mejor hacker del mundo, nunca lo ha existido, ni lo existirá y menos durante varios años... pues el campo es tan amplió que los hay buenos en unas cosas y los hay en reventar, realizando ingeniería inversa completa, de fpga o asic por medio de sideloading y análisis estadístico y probabilistico de la variación en las características del voltaje (amplitud, máximos mínimo, frecuencia) o las variaciones en las emisiones electromagnéticas cuando estos están protegidos, incluso por medio de la exposición directa del wafer al microscopio, y realizando el esquema de que hacen todos los transistores y otras unidades que lo forman, para luego atacarlo re programándolo parcialmente si fuese necesario y de estas maneras obtener los valores que estar tomando los registros según procesan las partes del código dedicadas al encriptado y desencriptado de los datos que cargan para procesar o el propio programa encriptado con cables asimetricas e inferir la forma de encriptado y las claves asimétrica con las que reconstruir el los fpga y asic sin encriptado.

Obviamente hay gente que que hackea a bajo nivel, a nivel de procesador, puertas lógicas y código máquina sin necesidad de verlo, hay otro que los hacen a otra capa como es la de protocolo, sistema operativo, software... Pero obviamente ir por ahí diciendo soy el mejor hacker del mundo... Hace partirse de risa a cualquiera que sepa de EECS... pobrecitos españoles si se lo creen.

Anónimo dijo...

Fíate tú de telefónica. Una vez tenga todo el mundo su APP la ponen de pago y ya te ves obligado a pagar o tener que cambiar todo, o cualquier tontería así.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares