Saturday, March 04, 2006

Dos factores mejor que uno

Un interesante artículo de Out-Law ilustra la tendencia creciente en grandes bancos europeos (UK, Holanda, Suecia, etc) a distribuir entre sus clientes (de forma gratuita o de pago, según los casos) un dispositivo hardware (token, OTP, o tarjeta inteligente) que complementa los sistemas actuales de autenticación basados en usuario y contraseña.
La lucha contra el phishing obliga a las entidades bancarias a elevar el listón de sus exigencias en materia de seguridad; la idea es que , en el uso de banca online, el usuario conecte el token, introduzca su nombre de usuario, y presione un botón, recibiendo a continuación un código aleatorio de seis cifras, único para esa sesión, que actuará a modo de sustituto o complemento del password. Un segundo código aleatorio se puede generar para autorizar las transacciones habituales de la banca online, sustituyendo la (mal llamada por algunos bancos españoles) firma eletrónica, que no es más que un segundo password añadido al primero. Todo lo que abunde en no emplear las castigadas neuronas de los usuarios en recordar enrevesadas contraseñas parece un paso en la dirección adecuada. Se impone la filosofía de sumar "algo que yo sé" (mi usuario y password habituales) con "algo que tengo" (el dispositivo hardware de turno o, incluso, el propio móvil). Mismo principio que inspira al famoso DNI electrónico. Dos mejor que uno.
Los contras de estos sistemas son, sin embargo, varios: en principio, parece que necesitaré tantos dispositivos como bancos online en los que tenga contratados servicios, lo que incrementa el engorro para el usuario, por no hablar de las dificultades de accesibilidad para discapacitados o el coste de estas soluciones, que puede llegar a ser disuasorio si hablamos de distribuciones masivas.
¿Mayor seguridad? Sí. Pero también incremento de la dificultad de uso (factor absolutamente disuasorio para el usuario medio), aumento del coste y reducción de su universalidad al existir una gran variedad de soluciones y estándares. Parece que, una vez más, procede saber si el valor de lo que intento proteger es superior a los controles establecidos para su protección. Para que no me cueste más el mango que el mazo, vamos.

2 Comments:

At 12:47 PM, Anonymous pau said...

Que haría yo sin mi amado tamagochi! El que me abre las puertas al correo de la empresa...

Si todos aplicansen la misma regla, tendríamos miles de tokens, uno para cada servicio. Un lío!

 
At 11:20 PM, Anonymous Víctor said...

Una solución que solventa gran parte de los problemas que enumeras es la de utilizar como token el móvil. mobileATM (iniciativa conjunta de LINK y Morse) está poniendo a punto esta solución. Más allá de los aspectos tecnológicos, el disponer de una plataforma de servicio con soporte multicompañia y capaz de atender un mercado masivo representa un diferencial en estos momentos que ha sido reconocido por el World Economic Forum como Technology Pioneer 2006. Cualquier información: victor.rodriguez@morse.com

 

Post a Comment

<< Home