ENS, identificación y autenticación

Temas relacionados con supuesto práctico y defensa
Responder
sts
Usuario registrado
Mensajes: 5
Registrado: 21 Jun 2021, 18:28
Agradecido: 0
Agradecimiento recibido: 2 veces

ENS, identificación y autenticación

Mensaje por sts »

Hola

Tengo dificultades con la identificación y la autenticación en el ENS, en concreto a lo referido a las reglas op.acc.1 Identificación y op.acc.5 Mecanismo de autenticación.

Antes de plantear las dudas voy a resumir un poco la teoría, para ponernos en contexto

1- Diferencia entre identificación y autenticación
  • la identificación es el mecanismo por el que se le asigna una identidad a un usuario
  • la autenticación es el mecanismo por el cual se demuestra que esa identidad, y su asignación, es veraz
El ejemplo típico es que cuando gmail te pide el correo electrónico te esta identificando, y cuando te pide la contraseña te esta autenticando.

2- op.acc.1 Identificación

La regla op.acc.1 nos habla única y exclusivamente de identificación

3- op.acc.5 Mecanismo de autenticación

La regla op.acc.5 habla única y exclusivamente de autenticación, y en lo que quiero que nos fijemos es en que si el sistema es de categoría media o alta vamos a necesitar doble factor.

4- Sistemas que no piden doble factor

De la diferencia entre op.acc.1 y op.acc.5 sacamos que si un sistema no nos pide doble factor es que:
  • o es de categoría baja
  • o es que hace solo identificación pero no autenticación, ya que el requerimiento del doble factor es para la autenticación, no para la identificación
--------

Hasta ahí la teoría, ahora viene el problema

1- La dificultad de pensar en un caso práctico en el que haya identificación y no autenticación

Aunque en la teoría esta clara la diferencia es muy difícil pensar que pueda suceder una cosa sin la otra.

Al final siempre terminamos pensando en amabas cosas como un todo y además que ocurren una después de la otra inmediatamente, no realmente separadas.

2- La dificultad de encontrar un ejemplo práctico en el que se me pida doble factor

La inmensa mayoría de los servicios de la AAPP que uso entro directamente con el certificado de la FNMT y eso es un único factor.

NOTA: No, que tu puedas ponerle una contraseña al certificado no constituye un segundo factor, 1º porque es opcional, 2º porque esa contraseña es para desbloquear su uso en el explorador, no es para autenticarse en el sistema; el sistema no tiene ni idea de si tu certificado tenia contraseña o no.

Y esto nos lleva a ¿entonces todos esos sistemas son categoría baja?
No puede ser, muchos de ellos tienen datos personales, y ya solo por eso es muy difícil pensar que sean categoría baja.

3- En la propia documentación se usa los términos identificación y autenticación indistintamente

Por ejemplo:
Para acto seguido poner dos tablas que hablan exactamente de lo mismo, una referente a Cl@ve y otra referente a Autentica.

¿De que están hablando entonces? ¿De Identificación o de Autenticación?

---

Para finalizar, resumo:

¿Alguien puede explicar porque muchos servicios de la AAPP que obviamente no son de categoría baja no piden doble factor?. Y si cree que es porque solo identifican pero no autentican ¿puede explicar como sucede eso en un caso concreto de la AAPP?

Esto es importante porque luego tenemos supuestos como este de 2018 del A2 (supuesto 1) en el que te dicen que los usuarios podrán a entrar en el sistema con un código numérico (es decir, con un solo factor) y luego te piden que categorices y detalles la medida op.acc.5 y uno se queda pensando ¿como demonios meto con calzador aquí una categoría baja para que funcione el código numérico? ¿o como argumento que entrar en el sistema con el código numérico es identificación pero no autentican?

gemelodigital
Usuario registrado
Mensajes: 164
Registrado: 13 Ago 2020, 21:35
Agradecido: 8 veces
Agradecimiento recibido: 47 veces

Re: ENS, identificación y autenticación

Mensaje por gemelodigital »

Hola,

Este tema ya se discutió aquí sin mucho éxito hace un tiempo.

En mi opinión decir que se trata de un procedimiento en el que ocurre identificación pero no autentificación no tiene mucho sentido. Me podría equivocar pero yo entiendo que se trata de un proceso único en dos pasos identificación-autenticación. El sistema te identifica y no te autentica cuando por ejemplo usas un ID correcto y un password que no coincide con el bueno. No veo que pueda existir un procedimiento electrónico en el que te identifiques y no se te autentique, aunque supongo que habrá matices y formas de entender estos conceptos.

En el supuesto práctico que mencionas ten en cuenta que el procedimiento del que se habla es el voto rogado no el propio acto de votar. El voto rogado se hace para ciudadanos que residen en el extranjero, si no lo entiendo mal para que se inscriban y vayan a votar al consulado o embajada. Visto eso habría que pensar la categorización, aunque un ciudadano utilice el código de otro y se inscriba el acto de votar en sí mismo es presencial y se verifica la identidad con el DNI, con lo que la probabilidad de que se lleguen a datar votos fraudulentos es muy baja. Supongo que desde ese punto de vista se podría categorizar como nivel bajo para ser congruente con el hecho de que no se pida registro presencial ni doble factor de autenticación. (lo he mirado muy rápidamente, a lo mejor este análisis es completamente erróneo).

En cuanto al tema del doble factor no tengo mucho más que añadir de lo que se discutió en su día. Lo único que se me ocurre para explicar la incongruencia de que el ENS pida doble-factor y en la práctica no se implemente en casi ninguna parte es que la exigencia comenzó no con el RD 3/2010 original que no solo no pedía doble factor sino que incluso admitía claves concertadas "con cautela" (que inocentes debíamos ser entonces) sino que se introdujo en el RD 951/2015 de modificación del ENS. Puede ser que no hayan calado todavía estas modificaciones...

La pasarela única eIDAS no permite utilizar el certificado FNMT, solo admite el DNIe (cuando funciona que no es muy frecuentemente). En este caso la pasarela solo funciona con las tarjetas de identidad nacional de cada país por dieño, no porque sea un requisito de seguridad. En el sector privado los bancos te permiten acceder con el DNIe pero no con el FNMT, consecuencia, entiendo, del doble factor, que a los bancos les viene impuesto no por el ENS sino por la normativa sectorial europea (aun con claves concertadas los bancos ya requieren 2F con OTPs en el móvil).

Y aunque no es accesible para el ciudadano en general, LexNET creo que sí lo tiene bien implementado: permite acceder con certificado de persona física o empleado público en tarjeta criptográfica o con DNIe pero no con el certificado FNMT en fichero.


Saludos.

Responder

Volver a “TERCER EXAMEN 2020”