Tengo dificultades con la identificación y la autenticación en el ENS, en concreto a lo referido a las reglas op.acc.1 Identificación y op.acc.5 Mecanismo de autenticación.
Antes de plantear las dudas voy a resumir un poco la teoría, para ponernos en contexto
1- Diferencia entre identificación y autenticación
- la identificación es el mecanismo por el que se le asigna una identidad a un usuario
- la autenticación es el mecanismo por el cual se demuestra que esa identidad, y su asignación, es veraz
2- op.acc.1 Identificación
La regla op.acc.1 nos habla única y exclusivamente de identificación
3- op.acc.5 Mecanismo de autenticación
La regla op.acc.5 habla única y exclusivamente de autenticación, y en lo que quiero que nos fijemos es en que si el sistema es de categoría media o alta vamos a necesitar doble factor.
4- Sistemas que no piden doble factor
De la diferencia entre op.acc.1 y op.acc.5 sacamos que si un sistema no nos pide doble factor es que:
- o es de categoría baja
- o es que hace solo identificación pero no autenticación, ya que el requerimiento del doble factor es para la autenticación, no para la identificación
Hasta ahí la teoría, ahora viene el problema
1- La dificultad de pensar en un caso práctico en el que haya identificación y no autenticación
Aunque en la teoría esta clara la diferencia es muy difícil pensar que pueda suceder una cosa sin la otra.
Al final siempre terminamos pensando en amabas cosas como un todo y además que ocurren una después de la otra inmediatamente, no realmente separadas.
2- La dificultad de encontrar un ejemplo práctico en el que se me pida doble factor
La inmensa mayoría de los servicios de la AAPP que uso entro directamente con el certificado de la FNMT y eso es un único factor.
NOTA: No, que tu puedas ponerle una contraseña al certificado no constituye un segundo factor, 1º porque es opcional, 2º porque esa contraseña es para desbloquear su uso en el explorador, no es para autenticarse en el sistema; el sistema no tiene ni idea de si tu certificado tenia contraseña o no.
Y esto nos lleva a ¿entonces todos esos sistemas son categoría baja?
No puede ser, muchos de ellos tienen datos personales, y ya solo por eso es muy difícil pensar que sean categoría baja.
3- En la propia documentación se usa los términos identificación y autenticación indistintamente
Por ejemplo:
- en Cl@ve_Niveles de Seguridad_v2.0 página 13 dice "[...] en el sistema Cl@ve se han identificado los siguientes niveles de seguridad, asociados a las distintas modalidades de identificación permitidas en el sistema" (visto en https://administracionelectronica.gob.e ... /descargas)
- en Autentica - El repositorio horizontal de usuarios de las AAPP página 4 dice "Estos medios vendrán determinados por el nivel de autenticación de la aplicación según el Esquema Nacional de Seguridad (ENS), según se muestra en la tabla siguiente" (visto en https://administracionelectronica.gob.e ... nicas.html)
¿De que están hablando entonces? ¿De Identificación o de Autenticación?
---
Para finalizar, resumo:
¿Alguien puede explicar porque muchos servicios de la AAPP que obviamente no son de categoría baja no piden doble factor?. Y si cree que es porque solo identifican pero no autentican ¿puede explicar como sucede eso en un caso concreto de la AAPP?
Esto es importante porque luego tenemos supuestos como este de 2018 del A2 (supuesto 1) en el que te dicen que los usuarios podrán a entrar en el sistema con un código numérico (es decir, con un solo factor) y luego te piden que categorices y detalles la medida op.acc.5 y uno se queda pensando ¿como demonios meto con calzador aquí una categoría baja para que funcione el código numérico? ¿o como argumento que entrar en el sistema con el código numérico es identificación pero no autentican?