Autenticación según la categoría del sistema

Temas relacionados con supuesto práctico y defensa
Avatar de Usuario
Go4it
Usuario registrado
Mensajes: 101
Registrado: 02 Ago 2015, 23:33
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Go4it »

Hola,
A raíz de esta conversación, en la que habéis explicado todo en gran detalle, he vuelto a repasar la tabla que mencionaba Dazu sobre los Niveles de Seguridad en Cl@ve:
dazu escribió:
04 Jul 2018, 20:53
Buenas javibuenog,
La información que buscas está en unas tablas muy útiles en los siguientes manuales en las entradas del PAe de Cl@ve y AutenticA:
- Cl@ve: https://administracionelectronica.gob.e ... /descargas -> Legislación asociada -> Niveles de seguridad en la identificación (/directrices para asignación de niveles de seguridad en la identificación), tabla de pg. 14.

[...]

Y no entiendo porqué:
- Si tengo un sistema con nivel de seguridad bajo, para el que se ha exigido un nivel de registro fuerte, NO puedo permitir que los usuarios se autentiquen utilizando Cl@ve PIN.
- Pero si tengo un sistema con nivel de seguridad medio, en el que se ha exigido ese mismo nivel de registro fuerte, puedo permitir que los usuarios se autentiquen utilizando Cl@ve PIN.

La lógica parece decir que si no se considera Cl@ve PIN lo suficientemente seguro para utilizarlo en un nivel BAJO, no debería poderse usar en un nivel MEDIO...

No se si hay algo que se me escapa o estoy razonando de forma incorrecta, pero no lo veo... ¿cómo lo interpretáis vosotros?

Gracias

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por anai »

Hola:

Cl@ve pin lo puedes usar en el nivel bajo. ¿Dónde has visto que no se puede?

Me autocontesto: en la tabla pone que clave pin es para nivel bajo y registro débil. No sé el motivo por el que no lo ponen para registro fuerte pero evidentemente si vale para débil también para fuerte.

Saludos

Avatar de Usuario
Go4it
Usuario registrado
Mensajes: 101
Registrado: 02 Ago 2015, 23:33
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Go4it »

A eso me refería, la tabla es un poco rara para "nivel bajo - con registro fuerte", parece que se les hubiera olvidado poner ahí Clave PIN, porque luego en "nivel medio - registro fuerte" sí permiten el uso de Clave PIN.
O bien otra opción sería, quitar Clave PIN para "nivel medio - registro fuerte", de forma que sólo se permita Clave PIN para "nivel bajo - registro básico".

Qué lío... no se si he montado un trabalenguas.

Avatar de Usuario
pozuelog
PreparaTIC26
Mensajes: 29
Registrado: 03 Sep 2015, 20:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por pozuelog »

Creo que la diferencia está en cómo crean los usuarios su cuenta en Clave Pin.

Se considers registro débil el basado en un CSV (es una carta que pides a la AEAT, que tarda unos días y que incluye un CSV). Esos usuarios sólo se podrán identificar en servicios de nivel bajo.
También tienes opción de registrarte en Clave Pin acercándote a una oficina o a través de un certificado electrónico válido. Ese registro ya si te habilita para usar Clave Pin en nivel Medio según el ENS, pues se considera que el nivel de identificación para el registro en ell sistema es más 'fuerte'

Por otra parte, estoy de acuerdo en que hay una errata en el documento que publicaba el compañero dazu: Se puede utilizar Clave ocasional (clave Pin) con registro fuerte en nivel bajo si el usuario se creó la cuenta con certificado o de manera presencial.

En éste documento se explica con más detalle:
https://www.boe.es/buscar/doc.php?id=BOE-A-2015-14215

Avatar de Usuario
Go4it
Usuario registrado
Mensajes: 101
Registrado: 02 Ago 2015, 23:33
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Go4it »

pozuelog escribió:
09 Jul 2018, 20:30
Creo que la diferencia está en cómo crean los usuarios su cuenta en Clave Pin.

Se considers registro débil el basado en un CSV (es una carta que pides a la AEAT, que tarda unos días y que incluye un CSV). Esos usuarios sólo se podrán identificar en servicios de nivel bajo.
También tienes opción de registrarte en Clave Pin acercándote a una oficina o a través de un certificado electrónico válido. Ese registro ya si te habilita para usar Clave Pin en nivel Medio según el ENS, pues se considera que el nivel de identificación para el registro en ell sistema es más 'fuerte'

Por otra parte, estoy de acuerdo en que hay una errata en el documento que publicaba el compañero dazu: Se puede utilizar Clave ocasional (clave Pin) con registro fuerte en nivel bajo si el usuario se creó la cuenta con certificado o de manera presencial.

En éste documento se explica con más detalle:
https://www.boe.es/buscar/doc.php?id=BOE-A-2015-14215
Tiene mucho sentido todo lo que dices pozuelog :D , leyendo la Resolución que indicas, en concreto el Anexo I queda bastante claro, tienes razón, y faltaría en la tabla Clave PIN para “nivel bajo – registro fuerte”

Gracias!

Responder

Volver a “TERCER EXAMEN 2017”