Latch v2

12
ElevenPaths – Research area Dr. Jose María Alonso Dr. Antonio Guzmán Dr. Alfonso Muñoz Muñoz Latch Dr. Alfonso Muñoz [email protected] Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición

description

La presente investigación analiza la problemática actual de la gestión de identidades digitales centrada en tres pilares fundamentales: la seguridad de la solución, su usabilidad y el coste de su implementación. En este artículo se profundiza en la posibilidad de utilizar el paradigma de la reducción de tiempo de exposición para garantizar una mejor aproximación a la gestión de identidades, dando lugar a una gestión robusta, usable y de menor coste que soluciones previas. La argumentación teórica se justifica con el desarrollo de la infraestructura de gestión de identidades Latch, analizando datos reales en escenarios de comunicación comunes en Internet. Documento relacionado: http://www.slideshare.net/elevenpaths/044-resci2014-latch

Transcript of Latch v2

Page 1: Latch   v2

ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánDr. Alfonso Muñoz Muñoz

Latch

Dr. Alfonso Muñ[email protected]

Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición

Page 2: Latch   v2

Cyber [ataques] f (motivation,

target, time, TTP, resources)

Motivaciones• Beneficio económico – CyberCrimen• Beneficio competitivo –CyberCrimen/Espionaje• Motivos ideológicos. Activismo• Beneficio táctico – CyberGuerra/Espionaje

Page 3: Latch   v2

¿El usuario es el culpable?

Page 4: Latch   v2

No será por salvaguardas…

NIST 800-53 PRIVILEGE MANAGEMENT INFRASTRUCTURE

Page 5: Latch   v2

… sigue habiendo problemas…

https://haveibeenpwned.com/

Page 6: Latch   v2

Involucrando al usuario…f (motivation, target, time, TTP, resources)

Page 7: Latch   v2

Reducción del tiempo de exposición.

• Menos exposición menos riesgo

Geer, Manadhata, 2011

1

unexposed

exposed

AttackSuccessfulp

AttackSuccessfulpRR

f (motivation, target, time, TTP, resources)

Page 8: Latch   v2

Pestillo digitalExtendiendo la seguridad al usuario

https://www.elevenpaths.com/es/tecnologia/latch/index.html

• Capa extra de seguridad. El usuario propone - el proveedor decide.• Flexibilidad: 2FA, decisión basada en umbral, control parental, política de acceso usuario, granularidad, …• Difusión: OpenAPI y SDKs (wordpress, joomla, redmine, drupal, prestaship, ssh, openvpn, openldap,

phpMyAdmin, php, java, ruby, python, …)• Beneficios para usuarios y empresas• Implantación: Telefónica, Movistar, Acens, Tuenti, Grupo Cortefiel, Cajamar, Unir, Universidad de

Salamanca…

Page 9: Latch   v2

Ejemplos de uso…

• CMS Joomla (Content Management System )

24797 usuarios

22% de las solicitudes han intentado accesos ilegítimos (con credenciales válidas)

69% de los usuarios configuran autobloqueo

17% utiliza Latch cómo un canal de Segundo factor (OTP)

Page 10: Latch   v2

Ejemplos de uso…

• Impacto de Latch en las pérdidas por fraude CNP

A: adopción esperada de LatchB: usuarios esperados de LatchC: movimiento de dinero usuando tarjetas – LatchD: fraude estimado en función de transferenciasE: cantidad defraudada tarjetas – latchF: Evolución del fraude CNPG: Ahorro esperado por el uso de Latch

Page 11: Latch   v2

Conclusiones…• Problemática actual en gestión de identidades digitales

• Nuevos esquemas son propuestos cada día. – La mayoría irrumpe bruscamente con cambios en los

sistemas de autenticación o autorización actuales

• Se propone arquitectura Latch basada en el paradigma de reducción de tiempo de exposición.

• Capa extra: usabilidad, bajo coste…

• Análisis de datos reales.

Page 12: Latch   v2

ElevenPaths – Research areaDr. Jose María AlonsoDr. Antonio GuzmánD. Alfonso Muñoz Muñoz

Latch

Dr. Alfonso Muñ[email protected]

Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición