jueves, febrero 26, 2015

Autenticación fuerte en Windows sin contraseñas: DNIe 3.0, biometría o NFC

Hace unos días tuve la fortuna de poder obtener el DNIe 3.0 directamente desde las oficinas de la Policía, que amablemente nos abrieron un hueco para poder tenerlo lo antes posible. Esta colaboración con la Policía se debe a que, como ya hemos anunciado en la nota de prensa de Telefónica, hemos trabajado para poder dotar a los sistemas Microsoft Windows - tanto en entorno personal, como en entorno empresarial con Active Directory - de la capacidad de autenticar usuarios con el DNIe 3.0.

Figura 1: Autenticación fuerte en Windows sin contraseñas: DNIe 3.0, biometría o NFC

Esto lo hemos hecho dentro de nuestra estrategia de autenticación robusta para entornos empresariales que comercializamos desde Eleven Paths como SmartID

Smart ID: Autenticación robusta en Windows sin contraseñas

Este producto nos permite dotar a las empresas de un servidor de autenticación robusta sin contraseñas que combina una buena cantidad de posibilidades que el cliente puede decidir utilizar. Estas van desde biometría con la huella dactilar integrada en Active Dirctory, dispositivos NFC, tarjetas RFID, SmartCards o electronic-IDs basados en SmartCards con certificados digitales no "compliance".

Con SmartID, una empresa podría autenticar a sus empleados, además de todos los mecanismos que ya por defecto trae la plataforma Windows, con tarjetas SmartCard con certificados digitales no compliance con el sistema Microsoft Windows. Estas tarjetas con certificados digitales no "compliance" son, por ejemplo, sistemas complejos como el DNIe o el DNIe 3.0 que como os podéis imaginar, no tienen los campos que Microsoft Windows Active Directory utiliza para autenticar usuarios y por tanto hay que hacer un enrollment especial.

Figura 2: Sistemas soportados de autenticación en Smart ID

Gracias a SmartID, una empresa podría utilizar el DNIe o el DNIe 3.0 como credencial robusta para sus empleados. Pero no solo eso, con SmartID también se puede utilizar cualquier combinación de tarjeta RFID o conexión NFC en conjunción con PIN, o sin él, o incluso la huella dactilar del empleado utilizando las características biométricas de SmartID.

Pero no solo eso, sino que además en conjunción con Latch para Active Directory, una persona podría usar su DNIe 3.0, su huella dactilar biométrica, su tarjeta RFID, un PIN o una SmartCard, protegida con Latch. Todo a elección de la configuración empresarial, que es al final la que elige el mecanismo de seguridad más robusto para cada empleado.

La autenticación usando el DNI 3.0

El DNIe 3.0 tiene dos formas de trabajar, por contacto o "contact-less". Cuando se utiliza el DNIe 3.0 por contacto, el sistema funciona igual que lo hacía el DNIe anterior, es decir, como si fuera una SmartCard. El acceso a los datos básicos del DNIe 3.0 en ese caso se hacen sin necesidad de utilizar el PIN cuando los datos son los básicos, y con PIN cuando se quiere hacer uso de las capacidades criptográficas del DNIe 3.0

Por el contrario, cuando se quiere acceder a los datos básicos vía "contact-less", es decir, utilizando la nueva capacidad NFC del DNIe 3.0 es necesario establecer un canal seguro NFC que se necesita el código CAN o el código MRZ. El primero, el código CAN es el número que se puede ver en la parte frontal del DNIe 3.0. El código MRZ es el va por detrás del DNIe 3.0 y que es del mismo tipo que tiene el DNIe "clásico" por detrás.

Figura 3: Estructura del DNIe 3.0

Con una conexión NFC y, usando uno de estos dos códigos, se puede establecer un canal seguro para consultar los datos básicos. La forma en la que se crea ese canal no es igual dependiendo del código que se vaya a utilizar, pero esos son detalles técnicos que nosotros hemos tenido que resolver en SmartID para dar todas las posibilidades.

Por último, si quieres utilizar las capacidades criptográficas del DNIe 3.0 por medio de NFC, además de establecer el canal seguro con el CAN o el código MRZ, tendrías después que proporcionar el PIN del DNIe 3.0 para poder usar las claves de firma.

Smart ID + Latch

Por supuesto, para que esto acabe de ser robusto y sin contraseñas, además de SmartID en la autenticación Windows para usar biometría, RFID, NFC, DNIe o DNIe 3.0 se puede proteger todo con Latch, haciendo que el uso de la identidad esté controlada. Y todo esto, es lo que tenéis en el siguiente vídeo que os hemos preparado en 5 minutos esta mañana en Eleven Paths.


Figura 4: Vídeo demostrativo de SmartID con DNIe 3.0, RFID, NFC, Biometría y Latch

Si quieres verlo en detalle, esta semana estaremos en el Mobile World Congress de Barcelona en el Stand de Telefónica, así que te pasas por allí, buscas un gorro y te hacemos una demo en el momento.

Enlaces:
- Guía de Referencia DNIe 3.0 con NFC
- Guía de Implementación DNI 3.0 con NFC
Saludos Malignos!

12 comentarios:

  1. Con sólo acercar la tarjeta o DNI? Asi, sin más? Y si te las dejas o te la roban? Accederán sin problemas :-(

    ResponderEliminar
  2. @Anónimo, no has visto la parte de Latch?

    Saludos!

    ResponderEliminar
  3. @Anónimo, y puedes unir varias medidas. Por ejemplo, DNIe 3.0 + PIN del DNIe + Latch }:)

    ResponderEliminar
  4. Latch se podría configurar para que automáticamente permita tags NFC en un rango horario, y me creara un log de accesos, en vez de la parte de usuario, en plan administrador.
    Me intento explicar, como un master latch en mi movil de muchas cuentas para controlar los acceso con alarmas, y controlar por niveles, este no puede pasar a partir de tal hora, este a entrado por defecto le dejo pero me queda registrado con alerta en el movil.

    ResponderEliminar
  5. Buenas,
    Siendo consciente de lo facil que resulta crear una cuenta en windows con privilegios de administrador, lo primero que hay que hacer es cerrar todas las puertas conocidas hasta hoy.

    Una de ellas seria cifrar la particion que contiene el sistema para evitar que se sustituya y se renombren ciertos archivos necesarios para dicho fin y asi se deberia de avisar a los usuarios con una lista de buenas practicas o consejos, da la impresion de que asi como esta expuesto se esta evitando el acceso al 100%, no sera efectivo si no se hacen las cosas bien...

    Claro que requiere de un tiempo para realizar dicha tarea...

    Se pueden yegar a dar una serie de circustancias favorables para un atacante a la hora de realizar una intrusion a un sistema ajeno de manera exitosa.

    Con cualquier distro live cd basada en linux o tools boteables por usb para dicho fin, si no tuenes la particion del sistema, idem.

    Se deberia de añadir un apartado o seccion con algunos consejos practicos y luego haya cada loco con su tema pero ya digo, si no se tiene en cuenta todo eso, de poco serbira lo demas, no?

    Que con el tiempo y una caña hasta las verdes caen.

    Saludos!

    ResponderEliminar
  6. Rectifico;

    'Con cualquier distro live cd basada en linux o con tools boteables por usb para dicho fin, si no tienes la particion del sistema debidamente cifrada...

    ResponderEliminar
  7. @Jonathan Novel, of course. Hay que fortificar el desktop en todas sus partes. La autenticación es solo una pieza más. El acceso físico y el cifrado otra de ellas }:)

    Saludos!

    ResponderEliminar
  8. "La forma en la que se crea ese canal no es igual dependiendo del código que se vaya a utilizar"

    ¿Y cuál es la diferencia entre uno y otro?

    Gracias

    ResponderEliminar
  9. @Maligno
    Estoy testando W10 y ese problema persiste, he incluso resetear las passwords de las bios en la mayoria de maquinas, con extraer la pila x tiempo es suficiente.

    Pues mira...
    no seria interesante tratar de implementar Latch para latchear las bios y testar que ocurriria al extraer la pila y ver si se borra la cache de esta? o si de lo contrario Latch aguanta como un campeon?

    Como crear el plugin no lo se la verdad, yo solo expongo la idea XD

    Añadir se puede, modificar el sistema operativo en este caso Windows ya es otra historia y, bien se sabe desde versiones anteriores que la seguridad en Microsoft no es la prioridad, como le decia la gallina al gallo, poc a poooc...

    Saludo!

    ResponderEliminar
  10. @Maligno

    Ya esta!
    Este es el manual, Maxima seguridad en Windows, 0xWord.com >.<

    Salu2!

    ResponderEliminar
  11. Como sea tan difícil de usar como el DNIe 2.0 lo van a seguir usando 4 gatos.

    Es una pena que se invierta tanto dinero en una cosa que, hecha bien, sería muy útil (por ejemplo para el voto electrónico).

    Por otra parte... Windows es seguro (seguro que la NSA te espía). ¿Habrá soporte del DNIe 3.0 para GNU/Linux?

    ResponderEliminar
  12. @Maligno hola, en mi trabajo estamos buscando una solución como smart id para la autentificación de usuarios de directorio activo mediante biometria ya que a los usuario se les olvida constantemente sus contraseñas.

    Por esto me surgen algunas dudas:

    1. Hay alguna Demo?
    2. Existe una lista de dispositivos (lector de huella) compatibles?
    3. La licencia tiene límite de usuario?
    Gracias.

    ResponderEliminar