adAS USER permite la activación de diferentes módulos, entre ellos se encuentra adAS2F a través del uso del Doble Factor. Este sistema, incrementa la seguridad en los accesos y cuentas de la entidad y se integra en las aplicaciones y servicios activos del SSO (Single Sign On) a través de las siguientes opciones:

• Activar y crear la confianza necesaria para usar el Doble Factor en aquellas aplicaciones y servicios que se hayan activado a través de la herramienta de administración
• Desactivar, reiniciar o comprobar la vinculación de aquellos dispositivos donde gestionemos nuestro código OTP
• Listar aplicaciones y su estado entorno al Doble Factor
• Activar o desactivar el uso del Doble Factor por el usuario final en aquellas aplicaciones que como administradores del SSO permitamos una configuración personalizada

Para ello, será necesario que la persona usuaria se instale una de las siguientes aplicaciones, bien sea en un dispositivo móvil (smartphone o tablet) o en un PC:

• En dispositivos móviles (opción más recomendada y segura), ya sean Android o iOS y que se pueden descargar a través de sus respectivas ‘store': FreeOTP, Google Authenticator, Microsoft Authenticator, 2FAS Authenticator.
• En PC: x2FAST u OTP Manager (Windows), Step two o Authenticator (Mac OS) y Oathtool (Linux).
• Además, los navegadores Chrome y Edge disponen de las siguientes extensiones: Authenticator (Chrome); Authenticator y 2FA client (Edge).

Clientes como la Universidad de Barcelona, la Universidad de León, la Universidad Politécnica de Barcelona y la Universidad de Sevilla, han querido avanzar en materia de seguridad de la información en sus aplicaciones en respuesta a los procedimientos acordes con las recomendaciones del Esquema Nacional de Seguridad y que tiene por finalidad el refuerzo de ésta, incorporando así adAS2F.

Si deseas conocer más sobre este servicio, puedes ver el vídeotutorial que ha elaborado la Universidad de Sevilla o bien, ponerte en contacto con PRiSE, donde estaremos encantados de facilitarte más información o acceder a nuestra demo.

La política de contraseña, además de permitir configurar diferentes parámetros que debe cumplir las contraseñas de los usuarios finales, incorpora la gestión de contraseñas caducadas.

adAS PWD cuenta con un CAU para que operadores puedan gestionar la contraseña de usuarios finales, pudiendo configurar que sólo puedan gestionar a determinados grupos de usuarios.

Esta nueva versión de adAS PWD cuenta con un nuevo módulo gracias a la colaboración de la Universidad de Salamanca, dando cumplimiento a que  un usuario sin autenticar pudiera conocer su uid, muy práctico para nuevos alumnos o usuarios que no hayan accedido tras un largo período.

Si quieres conocer todas las novedades o quieres probar adAS PWD, solicítanos más información o acceso a nuestra demo.

Lock

Las contraseñas (o passwords, como dirían nuestros amigos los anglosajones) son parte de nuestra vida desde mucho antes que Internet se colara en nuestras vidas. En 1967, John Shepherd-Barron inventó el concepto de PIN (Persona Identification Number o Número de identificación personal) cuando trabajaba en el primer cajero de un banco londinense. Su primera idea fue utilizar una contraseña de 6 dígitos, pero al hablarlo con su mujer ella prefería 4 dígitos, ya que le resultaba más cómodo de recordar. Pero a raíz de la popularización de Internet, cada vez más utilizamos un par “nombre de usuario” y “contraseña” para leer nuestro correo, escribir un comentario en un blog o ver nuestras fotos.

4 Recomendaciones a la hora de establecer una nueva contraseña:

Desde PRISE os comentamos las directrices más importantes a seguir a la hora de crear una contraseña.

• Tamaño de la contraseña y caracteres:
  Entre 8 y 14 caracteres: mayúsculas o minúsculas incluyendo más de un número y, además, al menos un carácter especial: !@#$%^&*-+<>?{}[]_.
• Tener varias contraseñas, en función del uso que vayamos a darle.
  Obviamente lo ideal es tener una contraseña muy fuerte diferente para cada uno de los portales, pero si no compaginamos usabilidad con seguridad, el modelo termina siendo un fracaso.
• Contraseña basada en una frase que nos resulte familiar. Por ejemplo, una canción favorita y utilizar la primera letra de cada palabra. Sobre dicha cadena de primeras letras, reemplazamos algunas vocales o consonantes por números o caracteres especiales que visualmente no nos resulte diferente a la palabra que obtuvimos al coger cada primera letra de cada palabra. Por ejemplo, si nos basamos en la canción “La casa por el tejado” de Fito y Fitipaldis: La casa por el tejado —> Lcpet —> L[p3t
• Cambio de la contraseña ocasional:
  No cambiar la contraseña de forma regular ya que tendemos a modificar determinados caracteres de la previamente asignada, estableciendo de ese modo una contraseña cada vez mas débil.

Desgraciadamente, estas recomendaciones que damos no son aplicadas tantas veces como quisiéramos. A principios de año, la empresa de seguridad Keeper reveló en su informe anual, en el que analizó más de 10 de millones de contraseñas, cuales eran las 25 contraseñas más utilizadas, siendo la primera de ellas ¨123456¨, correspondiendo al 17%. Un elemento en común de todas estas contraseñas fue que la mayoría tenían seis caracteres o incluso menos.

Estas estadísticas demuestran que todavía queda mucho en la educación del usuario a la hora de que elijan contraseña. Aunque hay que decir a su favor que los bancos siguen haciendo un “favor” al mantener el PIN de 4 dígitos, ya que, ¿qué hay más seguro que un banco?

Este identificador debe cumplir las siguientes características:

• Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
• Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
• Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

Este método criptográfico es utilizado en numerosos sistemas, como los basados en certificados o los que utilizan infraestructuras de clave pública (PKI).

Por este motivo acabamos de publicar una aplicación de evaluación de la LOPD en empresas y organizaciones. Esta aplicación puede orientarte acerca del estado del cumplimiento de la Ley Orgánica de Protección de Datos en tu empresa y de lo que se necesitaría realizar (auditoría, adecuación, etc.) en cada caso concreto.

¡Evalúate para saber tu estado!

Estas jornadas están organizadas por el Servicio de Informática y Comunicaciones de la Universidad de Sevilla y pretenden ser un punto de encuentro entre responsables de identidad digital de las universidades españolas y técnicos en identidad digital.

Miembros de PRiSE participarán en estas jornadas, en dos charlas bastante interesantes:

• El martes Elena Galván participará en la sesión de las 10:00 «Donde la identidad digital se presenta y nos cuenta sus problemas» y junto a Liborio Revilla (EHU) nos introducirán los distintos conceptos que se dan en la Identidad Digital así como las implicaciones en cuanto a privacidad que ésta conlleva.
• Ese mismo martes, Cándido Rodriguez participará en la sesión de las 11.30 «Donde conocemos los orígenes de la identidad», junto con miembros de distintas universidades: Reyes Hernández (USAL), Lluís Alfons Ariño (URV) y Roberto S. Galende (Universidad de León). Esta sesión se basará en aspectos más técnicos de la identidad digital, donde nuestro compañero Cándido presentará el Directorio Virtual VirDAP, el cual permite interactuar con sistemas heterogéneos como Bases de Datos, LDAP, Directorios Activos, etc. a través de la tecnología LDAP, mejorando considerablemente el rendimiento.

Para más información sobre el programa o la localización del evento, toda la información la tenéis en la página web del evento.

Esperamos veros allí

Esta grabación se difundió por internet y comenzó la locura: se distribuyó su identidad, dirección postal y de correo electrónico, perfil en redes sociales, se crearon grupos que amenazaban a la señora de las formas más variopintas e que incluso pedían que se le despidiera de su trabajo.

Dejando al margen que fuera recriminable lo que la señora hizo, podemos ver un claro caso de lo que puede llegar a suceder cuando los datos personales se encuentran desprotegidos: ¿deberían haberse difundido su dirección postal, dónde trabajaba, cuál era su perfil en las redes sociales o su edad? Y es más, ¿cómo pudieron obtener esa información desde internet?

Desde PRiSE os invitamos a pensar sobre esto: ¿Sabes qué datos tienes publicados en redes sociales, foros y otras páginas web y que son visibles por toda la red? ¿Qué información publicas en tu blog o microblog?

Una buena manera de saber qué hay publicado de tí en la red es poner tu nombre y apellidos entre comillas en tu buscador favorito. Puede llegar a sorprenderte la cantidad de información personal que tienes publicada en internet.

Ésta realiza un análisis de las características que ofrece facebook para compartir tus datos personales con el resto del mundo.

Una vez realizado este análisis, la aplicación hace recomendaciones sobre qué debemos modificar en la configuración de nuestros perfiles para mejorar la privacidad y la protección de nuestros datos personales.

Una de las mejores características de esta aplicación es que no almacena ni comparte la información analizada, ya que está desarrollada para que se ejecute sólo en tu navegador.

Desde PRiSE recomendamos que revises las preferencias de privacidad de tus cuentas en redes sociales: ¡Hay que estar seguros de lo que compartimos sobre nosotros en la red!.

Actualización

Existe otra aplicación similar , la denominada SaveFace. Ésta funciona de forma similar a Scan for Privacy, con la salvedad de que este último directamente te protege la cuenta de facebook, sin pedirte confirmación ni mostrarte tu estado inicial.

Esto podría ser un aspecto a mejorar por parte de SaveFace, ya que quizás sea más educativo que sepamos qué es lo que no tenemos adecuado en nuestro perfil y vulnera la privacidad de nuestros datos.

La semana pasada recuperé la citada cuenta de correo y pensé en crearme una cuenta en facebook asociada a ésta.

Para mi sorpresa, ya tenía en mi perfil todo preparado para poder confirmar la relación de amistad con todas aquellas personas que habían solicitado ser mis «amigos» hace años. Por lo tanto:

1. Facebook tiene guardada toda dirección de correo a la que cualquier persona haya enviado una solicitud a través de Buscar a una persona

2. Facebook trata cuentas de correo de personas que no han solicitado el alta en la red social

Entro en Configuración de privacidad – Información de contacto e indico

que mi dirección de correo entonces@cuenta sólo la puedo ver yo.

Para mi confirmación, facebook me indica: Sólo yo puedo ver este contenido.

Verifico que en mi perfil no aparece la dirección de correo electrónico.

Después, realizo unas cuantas búsquedas. El facebook está para cotillear, no?

Y igual que te buscas en Google, en facebook no vas a ser diferente. Término de búsqueda: entonces@cuenta. Recuerdo mi acción previa: indicar que la dirección de correo sólo sea visible para mi.

Y facebook encuentra un perfil que responde a esos términos de búsqueda, imagináis cual?

3. Facebook no respeta el nivel de privacidad indicado por el usuario

No todos tenemos el mismo concepto de «visibilidad» que facebook.