Durante el tiempo que
llevamos trabajando en ElevenPaths, internamente han ocurrido acontecimientos de todo tipo, pero uno de los más emocionantes ha sido
el nacimiento de Latch. Una tecnología propia que ha sido pensada, ideada, perfilada, patentada e implementada por nuestro equipo... y ahora mostrada al mundo. Estamos orgullosos del trabajo realizado y necesitábamos contarlo.
Por fin podemos hacerlo. Aquí está Latch.Pensamos que el usuario no utiliza los servicios digitales (su banca online, su correo, sus redes sociales...) las 24 horas del día.
¿Por qué se permite que los atacantes sí tengan la posibilidad de intentar acceder a ellos en cualquier momento? Latch es una tecnología que pretende otorgar al usuario el control de su identidad en la red fortaleciendo la gestión de la autenticación y mejorando la seguridad de los proveedores de servicios.
Latch, controla cuándo es posible acceder a tus servicios digitales.Las contraseñas, el sistema de autenticación más antiguo, son un problema de seguridad con el que tenemos que aprender a convivir. Un segundo factor de autenticación, biometría, gestores de contraseñas...
todavía no se ha dado con la fórmula mágica para que el usuario deje de usar contraseñas simples, las reutilice, o las escriba en un papel. Y Latch no es esa solución. Aun en el caso de usuarios avanzados con buenas prácticas en el uso de credenciales, es posible que la contraseña sea robada. El malware que se dedica profesionalmente
al robo de credenciales es "habitual" desde hace tiempo. Pero incluso los usuarios más cuidadosos con sus sistemas pueden sufrir problemas si las bases de datos de terceros son vulneradas, y sus credenciales acaban en manos de atacantes. Y Latch, tampoco es la solución para este problema.
Latch no sustituye a las contraseñas, complementa y fortalece cualquier sistema de autenticación.La aproximación de Latch es diferente. Evitar que los datos de autenticación sean robados es muy complejo. Sin embargo, sí que es posible que
el usuario tome el control de sus servicios digitales, y reduzca su tiempo de exposición."Apagar" el acceso a tu correo, la posibilidad de usar tu tarjeta de crédito, o realizar transacciones online, cuando no esté usando. Bloquearlos incluso cuando se conocen las contraseñas adecuadas. Latch otorga la posibilidad de que sea el propio usuario quien decida cuándo se puede acceder a sus cuentas o usar ciertos servicios. No el proveedor. Ni por supuesto, el atacante.Latch va a permitir que, incluso si un atacante utiliza un usuario y contraseña robado, una tarjeta de crédito, o cualquier sistema de que necesite una aprobación,
al atacante le sea imposible utilizar esta información para hacerse pasar por el usuario fuera de un intervalo definido. En resumen, es posible que el usuario y contraseña que se utilizan para acceder a cualquier servicio, sean (pulsando un botón) solo válidos durante esos pocos segundos en los que es el propio usuario quien los introduce en el sistema.
El esquema LatchAunque hemos hablado de contraseñas, Latch se presenta en realidad como un servicio diseñado para proteger los procesos definidos por cualquier proveedor de servicios para interactuar con sus usuarios. La naturaleza y el uso que se pueda dar a estos procesos son
independientes de la protección que puede ser proporcionada por Latch.La idea fundamental sobre la que se estructura esta protección es
la limitación del tiempo de exposición del que dispone un atacante para intentar aprovechar alguno de estos procesos en su propio beneficio. El usuario decidirá si sus cuentas están en ON u OFF e incluso las acciones que se pueden realizar desde ellas. Esto supone que se logre la reducción de la ventana de tiempo en la que podría suceder un ataque, asociando a cada operación un control externo. El proveedor de servicio consultará a Latch el estado con el que el usuario ha decido configurar la ejecución de esta operación para un momento determinado.
|
Esquema general de funcionamiento de Latch |
En esta figura, un cliente que solicita la ejecución de una operación a un proveedor de servicios puede obtener la confirmación de que
esta operación se ha realizado de forma satisfactoria o que se ha denegado.La configuración del estado definido por una operación concreta se realiza de a través de un canal alternativo (y considerado más "seguro" que el dispositivo habitual), así que cualquier intento de utilizar la operación que ha sido bloqueada por el propio cliente se puede identificar como una anomalía. Su existencia podría implicar a su vez que el usuario que solicita la ejecución de la operación no sea quien está afirmando ser
y se haya detectado así un intento de fraude.Cómo funciona en la prácticaEl usuario solo necesitará utilizar su smartphone para "activar" o "desactivar" los servicios pareados con Latch. Para ello es necesario:
- La creación de una cuenta de usuario en Latch por parte del cliente. Esta cuenta será la utilizada por el usuario para configurar sus estados en las operaciones (establecer a ON u OFF sus cuentas con los proveedores).
- El pareado de su cuenta habitual con el proveedor (la cuenta de correo, o de un blog, por ejemplo) que se desea controlar, con la cuenta de usuario de Latch. Este paso permitirá a Latch sincronizarse con el proveedor de servicio para ofrecerle la respuesta adecuada (configurada por el usuario) dependiendo del proveedor de servicio y la operación concreta dentro de él. Por supuesto, el proveedor de servicio debe ser compatible con Latch. Esto permite a los usuarios que lo decidan, aprovechar esta ventaja ofrecida por el proveedor, sin que este deba imponer la solución a todos sus clientes.
Latch en los proveedores de servicioLatch permite que los usuarios adapten el acceso a sus servicios a la forma en que ellos usan estos servicios y para conseguirlo, los proveedores deben integrar Latch en sus sistemas. Hemos preparado diferentes SDKs en muchos lenguajes diferentes (.NET, PHP, ASP...) y hemos creado plugins para plataformas ya existentes, como Wordpress, PrestaShop, Drupal y Joomla.
Las páginas que usen estas plataformas, pueden ofrecer Latch a sus clientes, de forma muy cómoda. Los usuarios que decidan utilizar el servicio, podrán beneficiarse de Latch también fácilmente.
La integración es sencilla, y el
proveedor puede mejorar sustancialmente la seguridad que ofrece a sus usuarios, cediéndoles un mayor control de su seguridad y por tanto, de su identidad en la red.Y esto no es todo...Latch permite otras fórmulas para intentar proteger al usuario, sus credenciales, servicios online e identidad en la red. Las presentaremos poco a poco.
http://blog.elevenpaths.com/20
13/12/latch-el-nuevo-servicio-
de-elevenpaths.html