Autenticación según la categoría del sistema

Temas relacionados con supuesto práctico y defensa
Avatar de Usuario
javibuenog
PreparaTIC26
Mensajes: 59
Registrado: 15 Dic 2008, 09:13
Agradecido: 0
Agradecimiento recibido: 0

Autenticación según la categoría del sistema

Mensaje por javibuenog »

Hola,

Tengo una duda respecto a la aplicación práctica de la medida de seguridad op.acc.5 (mecanismos de autenticación), que aplica a las dimensiones ICAT, según la categoría del sistema.

Nivel MEDIO
a) Se exigirá el uso de al menos dos factores de autenticación.[...]

Nivel ALTO
[...]
b) En el caso del uso de utilización de "algo que se tiene", se requerirá el uso de elementos criptográficos hardware usando algoritmos y parámetros acreditados por el Centro Criptológico Nacional.
[...]

Además en la guía CCN STIC 804 explicita que el factor "algo que se sabe" se ha de usar con cautela para el caso de categoría media/alta.

Mi duda es: cómo se aplica este criterio en la práctica con Cl@ve/Autentica?
Yo entiendo que:
- en el caso de nivel medio y Cl@ve: Cl@vePIN ó Cl@ve Permanente+One-time-password ó Certificado + clave concertada serían válidos.
-en el caso de nivel alto y Cl@ve, qué métodos serían aplicables? serían aplicables los mismos que en el caso de medio (según entiendo el uso de "algo que se tiene" no es obligatorio)? En caso de "algo que se tiene", entiendo por ejemplo podría usar DNIe+otro factor (por ejemplo, one-time-password)
- En el caso de Autentica no tengo muy claro qué segundos factores aparte del certificado de empleado público se usarían, (quizás claves concertadas?) y cómo se haría en el caso de un sistema de categoría alta.

Me sería de gran ayuda si alguien me pudiera aclarar cómo realizar la autenticación para sistemas de categoría media/alta con Cl@ve y Autentica.

Gracias por anticipado!

Avatar de Usuario
dazu
PreparaTIC25
Mensajes: 80
Registrado: 30 Dic 2015, 14:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por dazu »

Buenas javibuenog,
La información que buscas está en unas tablas muy útiles en los siguientes manuales en las entradas del PAe de Cl@ve y AutenticA:
- Cl@ve: https://administracionelectronica.gob.e ... /descargas -> Legislación asociada -> Niveles de seguridad en la identificación (/directrices para asignación de niveles de seguridad en la identificación), tabla de pg. 14.
- AutenticA: https://administracionelectronica.gob.e ... /descargas -> Manuales AutenticA -> Manual del integrador, tabla de pg.5

Resumiendo: (tened en cuenta que un medio aceptado para nivel alto serviría también para nivel medio y bajo, y algo de medio valdría también para bajo).
* Niveles de Cl@ve: del manual de “directrices para asignación de niveles de seguridad en la identificación”, en base a la categorización de la dimensión A en ENS:
- Nivel 2 (básico): cl@ve pin, cl@ve permanente sin otp (o con otp), certificado sw (o hw)
- Nivel 3 (medio / sustancial): cl@ve pin, cl@ve permanente con otp (=sms al móvil), certificado sw (o hw).
- Nivel 4 (alto): certificado hw como el DNI-e.

* Niveles de AutenticA: de su “manual del integrador”, en base a la categorización de la dimensión A en ENS
- Nivel 2 (básico): contraseña fuerte, certificado electrónico (hw o sw), contraseña débil pero bajo supervisión del administrador, acceso a internet a través de contraseña supervisada por administrador.
- Nivel 3 (medio / sustancial): certificado electrónico sw, certificado-e con hw criptográfico.
- Nivel 4 (alto): certificado electrónico con hw criptográfico (DNI-e o tarjeta de empleado público)

Esperamos que te sea útil. ¡Ánimo y a por el tercero!
p.d: no es necesario saberse el resto del contenido de estos dos manuales (demasiado a bajo nivel para el examen), pero estas dos tablas son muy aclaratorias.

Avatar de Usuario
javibuenog
PreparaTIC26
Mensajes: 59
Registrado: 15 Dic 2008, 09:13
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por javibuenog »

Muchas gracias!

Opositor77
PreparaTIC27
Mensajes: 24
Registrado: 24 Jul 2017, 16:51
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Opositor77 »

Hola,

Yo tengo tengo alguna de las dudas que plantea javibuenog, pero todavía hay algo me me "chirria" en la cabeza.

Por un lado, cómo ya habéis comentado, ENS habla de "dos factores de autenticación" para MEDIO y ALTO.

Por otro lado los manuales de Cl@ve para medio y alto dicen:
- Nivel 3 (medio / sustancial): cl@ve pin, cl@ve permanente con otp (=sms al móvil), certificado sw (o hw).
- Nivel 4 (alto): certificado hw como el DNI-e.

Por ejemplo, en Nivel 3 ¿usar sólo "cl@ve pin" sería valido, y cumpliría con "doble factor"? o es necesario usar la "cl@ve pin" con otro elemento?

Para el caso de Autentica, lo mismo, por ejemplo para el Nivel 3 dice que vale "certificado electrónico sw", ¿usar solo ese método cumple con el "dos factores de autenticación" ?

Un saludo y gracias por adelantado.

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Montijeño »

Hola a todos,

Yo tengo una duda aún a más alto nivel: ¿dónde está esa frase de "Se exigirá el uso de al menos dos factores de autenticación..." en el ENS? No la encuentro por más Cmd+F que hago...

Lo que sí veo es la definición de la medida de seguridad op.acc.5 que dice lo siguiente:
4.2.5 Mecanismo de autenticación [op.acc.5].

Los mecanismos de autenticación frente al sistema se adecuarán al nivel del sistema atendiendo a las consideraciones que siguen.

Las guías CCN-STIC desarrollarán los mecanismos concretos adecuados a cada nivel.

[ELIMINO EL NIVEL BAJO QUE NO NOS INTERESA EN ESTE MOMENTO]

Nivel MEDIO

a) No se recomendará el uso de claves concertadas.

b) Se recomendará el uso de otro tipo de mecanismos del tipo dispositivos físicos (tokens) o componentes lógicos tales como certificados software u otros equivalentes o biométricos.

c) En el caso de usar contraseñas se aplicarán políticas rigurosas de calidad de la contraseña y renovación frecuente.

Nivel ALTO

a) Los autenticadores se suspenderán tras un periodo definido de no utilización.

b) No se admitirá el uso de claves concertadas.

c) Se exigirá el uso de dispositivos físicos (tokens) personalizados o biometría.

d) En el caso de utilización de dispositivos físicos (tokens) se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

e) Se emplearán, preferentemente, productos certificados [op.pl.5].
Es decir, y respondiendo a Opositor77 partiendo de que NO son necesarios dos factores de autenticación en todo caso: las tablas que referenció dazu en su respuesta creo que son suficientemente aclaratorias sobre los mecanismos de autenticación a implementar en función del nivel del sistema. Por ejemplo, en el caso de Cl@ve y para un nivel 3 (Nivel MEDIO en ENS), serían válidos el uso de:
a) Clave PIN
b) Clave permanente reforzada con OTP (Sms al móvil)
o c) certificado reconocido en soporte SW.

Salvo que esa frase que no encuentro esté en algún otro lugar que yo desconozco, claro...

Opositor77
PreparaTIC27
Mensajes: 24
Registrado: 24 Jul 2017, 16:51
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Opositor77 »

Hola,

El tema del "doble factor de autenticación" yo lo he extraido de:

CCN-STIC 804 (guia de implantación): [OP.ACC.5] MECANISMO DE AUTENTICACIÓN (pg. 27)

(si buscas "doble factor" llegas también)

Un saludo
Última edición por Opositor77 el 05 Jul 2018, 13:56, editado 1 vez en total.

Avatar de Usuario
al83
PreparaTIC27
Mensajes: 245
Registrado: 18 Nov 2017, 10:31
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por al83 »

Montijeño escribió:
05 Jul 2018, 13:43

Yo tengo una duda aún a más alto nivel: ¿dónde está esa frase de "Se exigirá el uso de al menos dos factores de autenticación..." en el ENS? No la encuentro por más Cmd+F que hago...
Debes tener una versión antigua del ENS, la más reciente (de fecha 04/11/2015) sí incorpora esa frase (que no estaba en la redacción original del ENS).

https://www.boe.es/buscar/act.php?id=BO ... p=20151104

Ése es el enlace a la última versión. Si buscas la frase ahí, sí aparece.

Saludos!

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por anai »

Aparte de tener actualizado el ENS para revisar dudas, el nivel medio para cl@ve necesita un registro previo presencial o mediante certificado, por lo que un registro previo que no cumpla esto no es válido.

Un saludo.

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Montijeño »

al83 escribió:
05 Jul 2018, 13:55
Debes tener una versión antigua del ENS, la más reciente (de fecha 04/11/2015) sí incorpora esa frase (que no estaba en la redacción original del ENS).

https://www.boe.es/buscar/act.php?id=BO ... p=20151104

Ése es el enlace a la última versión. Si buscas la frase ahí, sí aparece.

Saludos!
Uopsss!! Menudo despiste!! :oops:

En este punto entonces... estoy como Opositor77 :lol:
Ese registro previo del que habla anai, ¿se consideraría uno de los dos factores exigidos?

Avatar de Usuario
dazu
PreparaTIC25
Mensajes: 80
Registrado: 30 Dic 2015, 14:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por dazu »

Buenas,
Recordaréis de la preparación del test que los posibles "tres factores" son: "algo que se sabe", "algo que se tiene", "algo que se es".
(viene indicado también en el BOE consolidado del ENS, sección "4.2.5 Mecanismo de autenticación [op.acc.5]."
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330 )
Esta misma sección comenta para nivel Medio en 4.2.5 que:
"Nivel MEDIO
a) Se exigirá el uso de al menos dos factores de autenticación.
b) En el caso de utilización de "algo que se sabe" como factor de autenticación, se establecerán exigencias rigurosas de calidad y renovación.
c) Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo:
1. Presencial.
2. Telemático usando certificado electrónico cualificado.
3. Telemático mediante una autenticación con una credencial electrónica obtenida tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.
"
nota: anai os hablaba de la parte del registro previo, el apartado de c) de este extracto.
Es decir, lo que comentáis de (al menos) dos factores para Medio (o Alto) es cierto.

Volviendo a las tablas de Cl@ve y AutenticA que os incluí, y como mencionaba Montijeño, para el caso de Cl@ve por ej, su guía comenta para nivel medio que sería válido el uso de:
a) Clave PIN
http://clave.gob.es/clave_Home/PIN24H/Que-es.html
Es una forma de realizar trámites por Internet con una validez limitada en el tiempo y que se puede renovar cada vez que necesitemos. Este sistema de identificación electrónica está basado en el uso de un código elegido por el usuario y un PIN comunicado al teléfono mediante la app Cl@ve PIN o con un mensaje SMS .
-->> Es decir, dos "factores": la clave/código elegida por el usuario (algo que se sabe)+ el SMS OTP que le llega a su teléfono (aquí hay polémica sobre si es algo que se tiene (el SMS) u otra cosa que se sabe (el código del SMS). Ver el último párrafo).

b) Clave permanente reforzada con OTP (Sms al móvil)
http://clave.gob.es/clave_Home/Clave-Pe ... queEs.html
Es un sistema de autenticación diseñado para personas que necesitan acceder frecuentemente a los servicios electrónicos de la Administración. Se basa en el uso de un código de usuario, su DNI o NIE, y de una contraseña que se establece en el proceso de activación y que sólo debe ser conocida por ti. Para acceder al proceso de activación es necesario que previamente te hayas registrado en el sistema.
Para los servicios de administración electrónica que requieran un nivel de seguridad elevado, el sistema refuerza la autenticación con la solicitud de introducción de un código numérico de un solo uso (One Time Password, OTP) que se envía previamente por mensaje SMS a tu teléfono móvil.
-->> Es decir, de nuevo dos "factores": la contraseña elegida por el usuario (algo que se sabe)+ el SMS OTP que le llega a su teléfono (aquí hay polémica sobre si es algo que se tiene (el SMS) u otra cosa que se sabe (el código del SMS). Ver el último párrafo).

o c) certificado reconocido en soporte SW.
--> Dos factores: algo que se tiene (el certificado, aunque sea sw) y algo que se sabe (contraseña).

En cuanto a la polémica que os comentaba sobre si un mensaje de OTP (one time password = un código de un sólo uso) recibido en el móvil es "algo que se tiene" o "algo que se sabe" y, por tanto, si hay doble factor de autenticación (algo que se sabe + algo que se tiene), o si la autenticación es con dos pasos pero de un único tipo de factor (algo que se sabe + otra cosa que se sabe), hay opiniones variadas: INCIBE es de la opinión de que no es lo mismo, mientras que otras fuentes lo consideran como un "doble factor de-facto".
En mi opinión (discutible, por supuesto) el ENS lo deja ambiguo/abierto a que no sean factores distintos, sino que sean dos (se podría repetir el tipo de factor y ser dos "algo que se sabe"). Pero insisto, es mi apreciación. Aunque por las tablas de Cl@ve y AutenticA (oficiales) es la que estos sistemas comunes consideran también. Mi recomendación es que aprovechéis la claridad de las tablas.
p.d: os incluyo enlaces al respecto de lo mencionado arriba:
Posición de INCIBE (diciendo que no es lo mismo): https://www.incibe.es/protege-tu-empres ... s-criticos
Entrada de wikipedia (aceptándolo como doble factor) (es wikipedia, ojo): https://es.wikipedia.org/wiki/Autentica ... s_factores

Esperamos que os sea útil. ¡Saludos y ánimo con ello!
Última edición por dazu el 05 Jul 2018, 17:08, editado 1 vez en total.

Avatar de Usuario
javibuenog
PreparaTIC26
Mensajes: 59
Registrado: 15 Dic 2008, 09:13
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por javibuenog »

Opositor77 escribió:
05 Jul 2018, 12:58
Hola,

Yo tengo tengo alguna de las dudas que plantea javibuenog, pero todavía hay algo me me "chirria" en la cabeza.

Por un lado, cómo ya habéis comentado, ENS habla de "dos factores de autenticación" para MEDIO y ALTO.

Por otro lado los manuales de Cl@ve para medio y alto dicen:
- Nivel 3 (medio / sustancial): cl@ve pin, cl@ve permanente con otp (=sms al móvil), certificado sw (o hw).
- Nivel 4 (alto): certificado hw como el DNI-e.

Por ejemplo, en Nivel 3 ¿usar sólo "cl@ve pin" sería valido, y cumpliría con "doble factor"? o es necesario usar la "cl@ve pin" con otro elemento?

Para el caso de Autentica, lo mismo, por ejemplo para el Nivel 3 dice que vale "certificado electrónico sw", ¿usar solo ese método cumple con el "dos factores de autenticación" ?

Un saludo y gracias por adelantado.

Hola!

Si, yo todavía me queda la duda que comenta Opositor77. Cl@vePIN si no me equivoco requiere introducir el DNI + clave, por lo que entiendo que sí serían dos factores, pero todavía no acabo de entender el porqué de los siguientes, ya que entiendo que sólo son un factor:
- Nivel 3 (medio / sustancial):certificado sw (o hw).
- Nivel 4 (alto): certificado hw como el DNI-e.

Gracias a todos por la interesante discusión!

Avatar de Usuario
javibuenog
PreparaTIC26
Mensajes: 59
Registrado: 15 Dic 2008, 09:13
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por javibuenog »

dazu escribió:
05 Jul 2018, 17:07
Buenas,
Recordaréis de la preparación del test que los posibles "tres factores" son: "algo que se sabe", "algo que se tiene", "algo que se es".
(viene indicado también en el BOE consolidado del ENS, sección "4.2.5 Mecanismo de autenticación [op.acc.5]."
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330 )
Esta misma sección comenta para nivel Medio en 4.2.5 que:
"Nivel MEDIO
a) Se exigirá el uso de al menos dos factores de autenticación.
b) En el caso de utilización de "algo que se sabe" como factor de autenticación, se establecerán exigencias rigurosas de calidad y renovación.
c) Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo:
1. Presencial.
2. Telemático usando certificado electrónico cualificado.
3. Telemático mediante una autenticación con una credencial electrónica obtenida tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.
"
nota: anai os hablaba de la parte del registro previo, el apartado de c) de este extracto.
Es decir, lo que comentáis de (al menos) dos factores para Medio (o Alto) es cierto.

Volviendo a las tablas de Cl@ve y AutenticA que os incluí, y como mencionaba Montijeño, para el caso de Cl@ve por ej, su guía comenta para nivel medio que sería válido el uso de:
a) Clave PIN
http://clave.gob.es/clave_Home/PIN24H/Que-es.html
Es una forma de realizar trámites por Internet con una validez limitada en el tiempo y que se puede renovar cada vez que necesitemos. Este sistema de identificación electrónica está basado en el uso de un código elegido por el usuario y un PIN comunicado al teléfono mediante la app Cl@ve PIN o con un mensaje SMS .
-->> Es decir, dos "factores": la clave/código elegida por el usuario (algo que se sabe)+ el SMS OTP que le llega a su teléfono (aquí hay polémica sobre si es algo que se tiene (el SMS) u otra cosa que se sabe (el código del SMS). Ver el último párrafo).

b) Clave permanente reforzada con OTP (Sms al móvil)
http://clave.gob.es/clave_Home/Clave-Pe ... queEs.html
Es un sistema de autenticación diseñado para personas que necesitan acceder frecuentemente a los servicios electrónicos de la Administración. Se basa en el uso de un código de usuario, su DNI o NIE, y de una contraseña que se establece en el proceso de activación y que sólo debe ser conocida por ti. Para acceder al proceso de activación es necesario que previamente te hayas registrado en el sistema.
Para los servicios de administración electrónica que requieran un nivel de seguridad elevado, el sistema refuerza la autenticación con la solicitud de introducción de un código numérico de un solo uso (One Time Password, OTP) que se envía previamente por mensaje SMS a tu teléfono móvil.
-->> Es decir, de nuevo dos "factores": la contraseña elegida por el usuario (algo que se sabe)+ el SMS OTP que le llega a su teléfono (aquí hay polémica sobre si es algo que se tiene (el SMS) u otra cosa que se sabe (el código del SMS). Ver el último párrafo).

o c) certificado reconocido en soporte SW.
--> Dos factores: algo que se tiene (el certificado, aunque sea sw) y algo que se sabe (contraseña).

En cuanto a la polémica que os comentaba sobre si un mensaje de OTP (one time password = un código de un sólo uso) recibido en el móvil es "algo que se tiene" o "algo que se sabe" y, por tanto, si hay doble factor de autenticación (algo que se sabe + algo que se tiene), o si la autenticación es con dos pasos pero de un único tipo de factor (algo que se sabe + otra cosa que se sabe), hay opiniones variadas: INCIBE es de la opinión de que no es lo mismo, mientras que otras fuentes lo consideran como un "doble factor de-facto".
En mi opinión (discutible, por supuesto) el ENS lo deja ambiguo/abierto a que no sean factores distintos, sino que sean dos (se podría repetir el tipo de factor y ser dos "algo que se sabe"). Pero insisto, es mi apreciación. Aunque por las tablas de Cl@ve y AutenticA (oficiales) es la que estos sistemas comunes consideran también. Mi recomendación es que aprovechéis la claridad de las tablas.
p.d: os incluyo enlaces al respecto de lo mencionado arriba:
Posición de INCIBE (diciendo que no es lo mismo): https://www.incibe.es/protege-tu-empres ... s-criticos
Entrada de wikipedia (aceptándolo como doble factor) (es wikipedia, ojo): https://es.wikipedia.org/wiki/Autentica ... s_factores

Esperamos que os sea útil. ¡Saludos y ánimo con ello!

Perdón, no había visto esta última respuesta! ahora lo tengo claro!

Gracias de nuevo

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Montijeño »

Ahora sí, cristalino. ¡Gracias dazu!

Opositor77
PreparaTIC27
Mensajes: 24
Registrado: 24 Jul 2017, 16:51
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por Opositor77 »

Gracias Dazu! más claro imposible.
Un saludo.

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Autenticación según la categoría del sistema

Mensaje por anai »

Montijeño escribió:
05 Jul 2018, 15:59
al83 escribió:
05 Jul 2018, 13:55
Debes tener una versión antigua del ENS, la más reciente (de fecha 04/11/2015) sí incorpora esa frase (que no estaba en la redacción original del ENS).

https://www.boe.es/buscar/act.php?id=BO ... p=20151104

Ése es el enlace a la última versión. Si buscas la frase ahí, sí aparece.

Saludos!
Uopsss!! Menudo despiste!! :oops:

En este punto entonces... estoy como Opositor77 :lol:
Ese registro previo del que habla anai, ¿se consideraría uno de los dos factores exigidos?
Perdona, ya te lo ha aclarado dazu. Era para que tuvierais en cuenta que en clave hay varias posibilidades de registro porque no se había mencionado.

Un saludo

Responder

Volver a “TERCER EXAMEN 2017”