La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina? - Agosto 23 de 2007 Expositores: Sr. Jos é Pedro Ferrer.

Presentaciones similares


Presentación del tema: "La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina? - Agosto 23 de 2007 Expositores: Sr. Jos é Pedro Ferrer."— Transcripción de la presentación:

1 La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina? - Agosto 23 de 2007 Expositores: Sr. Jos é Pedro Ferrer - Gerente de IT de Discount Bank Latin America Ing. Leonardo Berro - CISSP - Director de Security Advisor

2 Discount Bank L.A. MultiDiscount.NET Implementacion Doble Autenticación

3 Desarrollar con cada uno de nuestros clientes una relación a largo plazo, brindándoles los múltiples productos y servicios financieros que necesiten en las distintas etapas de su vida. Para ello, nos basaremos en nuestra gente, a la que apoyaremos en su desarrollo profesional y personal, en un ambiente de trabajo en equipo que reconoce el valor de cada una de las personas involucradas. Nuestra adhesión a la misión nos permitirá maximizar el valor para nuestros accionistas, clientes y la sociedad en su conjunto, lo que permitirá el contínuo desarrollo del Discount Bank LA. Nuestra Misión

4 Nuestra Visión Ser reconocido como el banco que mejor satisface las necesidades de sus clientes, por la calidad de sus servicios, su atención profesional y personalizada, por su capacidad de innovación y aprovechamiento del rápido desarrollo tecnológico.

5 1958 Fundado como una sucursal del Discount Bank (Overseas) Limited Fundado como una sucursal del Discount Bank (Overseas) Limited Pasa a ser subsidiario de IDB New York y cambia el nombre a Discount Bank (Latin America) – DBLA 1977 Pasa a ser subsidiario de IDB New York y cambia el nombre a Discount Bank (Latin America) – DBLA 2006 AA establecido por S&P (Apr/06) 2006 AA establecido por S&P (Apr/06) Breve Historia

6 232 Empleados 232 Empleados 12 sucursales estratégicamente ubicadas en Montevideo y Maldonado 12 sucursales estratégicamente ubicadas en Montevideo y Maldonado Al servicio de más de clientes Al servicio de más de clientes Conformación

7 Conformación Personal Banking (Residentes & No Residentes) Personal Banking (Residentes & No Residentes) Características: Segmento Medio - Alto (Colectividad Judía, Profesionales, Jóvenes, Empresarios, etc.) Características: Segmento Medio - Alto (Colectividad Judía, Profesionales, Jóvenes, Empresarios, etc.) Corporate Banking (Residentes & No Residentes) Corporate Banking (Residentes & No Residentes) Características: Pequeñas y Medianas Empresas (Importaciones & Exportaciones, Empresas: Comerciales, Industriales y de Servicios) Características: Pequeñas y Medianas Empresas (Importaciones & Exportaciones, Empresas: Comerciales, Industriales y de Servicios) Servicios a empresas Argentinas, Brasileras y Chilenas principalmente. Servicios a empresas Argentinas, Brasileras y Chilenas principalmente. Private Banking (Residentes & No Residentes) Private Banking (Residentes & No Residentes) Se ofrecen instrumentos de inversión, brindando asesoramiento integral al cliente. Se ofrecen instrumentos de inversión, brindando asesoramiento integral al cliente.

8 1er. Servicio de Windows Home Banking de Uruguay (1997) 1er. Servicio de Windows Home Banking de Uruguay (1997) 26% de la cartera de Clientes activos en el servicio. El 5% de esta cartera accede por día a su información por este medio. 26% de la cartera de Clientes activos en el servicio. El 5% de esta cartera accede por día a su información por este medio Accesos Diarios de Clientes Accesos Diarios de Clientes mas de Transacciones Mensuales mas de Transacciones Mensuales Sistema MultiCuenta ( 1 Usuario – N Cuentas habilitadas ) Sistema MultiCuenta ( 1 Usuario – N Cuentas habilitadas ) Multi-Idioma Multi-Idioma Administración de Sub-Usuarios y Permisos Administración de Sub-Usuarios y Permisos MultiDiscount.NET

9 Seguridad basada en Niveles de Usuarios Seguridad basada en Niveles de Usuarios Administración de Permisos por parte del Banco Administración de Permisos por parte del Banco Falta de seguridad de algunos Clientes para operativas que afectan movimientos de fondos Falta de seguridad de algunos Clientes para operativas que afectan movimientos de fondos Seguridad Pre Autenticación Robusta

10 Ayer en Home Banking Doble autenticación Capa de Windows Capa de Windows Gran cantidad de usuarios en Active Directory Gran cantidad de usuarios en Active Directory Imposibilidad de que el usuario cambiara su clave Imposibilidad de que el usuario cambiara su clave Capa de la Aplicación Capa de la Aplicación Mantenimiento de usuarios en Bases de Datos Mantenimiento de usuarios en Bases de Datos Encripción de claves en Base de datos Encripción de claves en Base de datos

11 Ayer en Home Banking Problemas Doble juego de Usuario/password Doble juego de Usuario/password Usuario memorizaba password en cache Usuario memorizaba password en cache Problemas al borrar el cache Problemas al borrar el cache Almacenamiento de usuario y passwords en PC públicos Almacenamiento de usuario y passwords en PC públicos Alto costo de administración de usuarios Alto costo de administración de usuarios Olvido de password Olvido de password Generación de nuevas claves Generación de nuevas claves Verificación de usuario válido ante bloqueos por errores Verificación de usuario válido ante bloqueos por errores Gran cantidad de llamadas al Call Center Gran cantidad de llamadas al Call Center

12 Flexibilidad para el Cliente Flexibilidad para el Cliente Auto-Administración por parte del Cliente de sus permisos y perfiles de usuarios dependientes Auto-Administración por parte del Cliente de sus permisos y perfiles de usuarios dependientes Mecanismos de Seguridad adicional no tradicional (basado en conocimiento de una clave conocida) Mecanismos de Seguridad adicional no tradicional (basado en conocimiento de una clave conocida) Sin acceso al Token no se puede confirmar una operativa Sin acceso al Token no se puede confirmar una operativa Solución con Autenticación Robusta (TOKEN)

13 La implementación de la tecnología Token requirió los siguientes puntos: En el BackEnd En el BackEnd La Integración de los Tokens en la Administración de Usuarios del Sistema La Integración de los Tokens en la Administración de Usuarios del Sistema En el FrontEnd En el FrontEnd Integración del mecanismo de autenticación mediante Token en las operativas seleccionadas Integración del mecanismo de autenticación mediante Token en las operativas seleccionadas MultiDiscount con TOKEN

14 Nivel Limitado Consultas, Solicitud de Chequeras y Compra Venta de Moneda Nivel Básico Nivel Limitado más Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank Nivel Básico c/Transferencias Nivel Básico más Transferencias a Bancos de Uruguay o del Exterior limitado por un tope máximo diario Nivel Avanzado Consultas, Solicitud de Chequeras, Compra Venta de Moneda, Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank, Transferencias sin límite Perfil de Usuarios

15 MultiDiscount BackEnd Se integró al sistema de administración de usuarios, la gestión del stock de Tokens del Banco. Con ello se permite al momento de afiliar un cliente o cambiar su perfil, preguntarle con qué cuentas de su grupo desea operar con el Token. Se almacena una tupla que identifica para cada cuenta del cliente: NOMBRE DE USUARIO + CUENTA HABILITADA + NRO. DE SERIE DEL TOKEN Seguidamente se corre un proceso de inicialización de Token que lo deja operativo.

16 Hoy en Home Banking Autenticación con Usuario y password sólo para consultas básicas (igual a otros servicios) Autenticación con Usuario y password sólo para consultas básicas (igual a otros servicios) Requerimiento de Token sólo para transacciones críticas (manejo de fondos) Requerimiento de Token sólo para transacciones críticas (manejo de fondos) Ventajas Ventajas Claves dinámicas, únicas e irrepetibles Claves dinámicas, únicas e irrepetibles Mínimo período de validez del código generado Mínimo período de validez del código generado Fácil de usar (solo oprimir un botón) Fácil de usar (solo oprimir un botón) No es necesario recordar códigos ni claves No es necesario recordar códigos ni claves Fácil y rápida implementación e integración a aplicaciones ya existentes Fácil y rápida implementación e integración a aplicaciones ya existentes Permite autenticar desde la propia aplicación mediante el llamado de rutinas encapsuladas Permite autenticar desde la propia aplicación mediante el llamado de rutinas encapsuladas Integrable a distintas plataformas Integrable a distintas plataformas Elimina posibilidades de PHISHING Elimina posibilidades de PHISHING

17 Pantalla de bienvenida a MultiDiscount.NET una vez autenticado el cliente

18

19 Ejemplo de Operativa de Transferencias al Exterior mediante uso de TOKEN

20 FrontEnd Cuando un cliente accede a una operativa definida por el banco, para que requiera autenticación adicional mediante Token, se le presenta una pantalla similar a la siguiente : MultiDiscount.NET

21 En caso de no ingresar un código válido, se puede reintentar hasta un máximo de 3 veces. Seguidamente luego del 3er. reintento, se bloquea administrativamente el usuario, el cual debe contactar al Banco para su reactivación. MultiDiscount.NET

22 Problemas Posición correcta Posición errónea Lectura Lectura1092hE

23 Transacciones via Fax La operativa Los clientes envían faxes, los mismos son digitalizados automáticamente y de la misma forma ingresan a un Workflow. El problema Los niveles de autenticación e integridad, se degradan, como consecuencia de los cambios tecnológicos La Solución El Token es la solución, que permitirá autenticar al usuario y garantizará la integridad del contenido del documento enviado.

24 IngresoWorkFlow La Operativa La Operativa : El cliente envía por fax, una carta orden. A la misma le agrega una clave que autentique el origen del mismo. El problema El nivel de autenticación es muy bajo, ya que es una clave creada a partir de una tabla fija y tampoco garantiza que el contenido no fue modificado. CLIENTE OFFICER VERIFICA

25 Token con Firma Electrónica Autenticación robusta. Teclado reducido. Fácil de utilizar. Generador de Firma Electrónica a partir de múltiples campos. El dispositivo consta de un teclado numérico, en el cual se pueden ingresar como parámetro del hash, los campos involucrados en la transacción, que pueden ser por ejemplo: número de cuenta que se debita, número de cuenta a ser acreditada, importe de la operación, fecha o fecha valor y un número fijo o PIN.

26 ¿ Consultas ?

27 Presentación de Security Advisor Creada en el año 2000: foco exclusivo en Seguridad Informática. Unico Partner Certificado de VASCO en Uruguay. Base instalada: Uruguay, Argentina, Chile, Paraguay y México. Clientes en Uruguay: 80% de los Bancos de plaza. Las más importantes entidades financieras. Multinacionales en Zonamerica (parque tecnológico líder en Sudamérica) Empresas exportadoras y de servicios. Sector Estatal.

28 Areas de Especialización y Productos representados Antivirus, antispam, antispyware, antiphishing Análisis de Vulnerabilidades Sistemas de Detección y Prevención de intrusos (IDS, IPS) Sistemas de firma digital y encriptación Dispositivos para autenticación robusta (Tokens USB, OTP) Diseño e implementación de políticas de seguridad según ISO Control de contenidos (Web, Mail) Firewalls, VPN, QOS

29 Temas a tratar: Definiciones Problemática actual Ataques frecuentes Autenticación robusta Definición Factores Tecnologías: OTP Event Based Implementación en Discount Bank Conclusiones Finales

30 Definiciones El acceso a los sistemas(aplicaciones) involucra 3 instancias: Identificación Autenticación Autorización Identificación: digo quien soy (Ej: logon id) Autenticación: pruebo quien soy para un sistema dado (ej: password) Autorización: se dan los permisos al usuario

31 Problemática Actual Método tradicional de autenticación: usuario y password Debilidades de usuario y password: El usuario las elije sencillas El usuario las anota en papel (30% las escribe y guarda bajo el teclado) El usuario elije la misma para TODOS los sistemas

32 Problemática Actual Los Passwords siguen siendo fundamentalmente una debilidad en seguridad, a pesar de la fortaleza en las políticas del password. Source: Gartner, Assess Authentication Methods for Strong System Security, August 2004

33 Dos recomendaciones para reducir el problema de los passwords: Autenticación Robusta: Use passwords o PINs en conjunto con otro método de autenticación, tal como hardware Tokens. Administración de Passwords: Implemente sistemas de administración de passwords para mitigar vulnerabilidades tanto técnicas como de procedimiento. Problemática Actual Source: Gartner, Assess Authentication Methods for Strong System Security, August 2004

34 Ataques Frecuentes Robo de passwords Ataques de phishing: pronunciado "fishing" es el acto de enviar a usuarios, falsamente indicando que pertenece a una empresa legítimamente establecida, en un intento de que el usuario envíe información privada que será utilizada para el robo de su identidad.

35 Preguntas: ¿ Qué hacer para mitigar los efectos del robo de passwords ? ¿ Qué hacer para mitigar los efectos del phising? Respuesta: AUTENTICACIÓN ROBUSTA Ataques Frecuentes

36 Autenticación Robusta - Definición Un sistema utiliza AUTENTICACIÓN ROBUSTA cuando: Mejora el mecanismo tradicional de usuario y password estática por uno más seguro y/o utiliza más de 1 factor de autenticación

37 Tipo 1 - Algo que sé: Password, PIN, información personal Tipo 2 - Algo que tengo: Token (OTP, Certificados Digitales), SmartCards Tipo 3 - Algo que soy: Huella Dactilar, Patrón del Iris, Scan de Retina, Geometría de la mano Tipo 4 - Algo que sé hacer: Firma manuscrita, patrones de tipeo Tipo 5 - Dónde estoy: Ubicación específica (GPS), terminal de acceso Autenticación Robusta – Factores

38 Password: 1 factor Tarjeta de cajero: 2 factores Token + Pin: 2 factores Token + PIN + Huella dactilar: 3 factores Autenticación Robusta – Factores

39 Token: pieza de software o hardware entregada al usuario para probar su identidad. SmartCards: Almacenamiento de certificado digital Requieren lectores de tarjeta Alto costo de implementación Tokens OTP (One Time Password): Generan una password dinámica No requieren lector El usuario debe digitar lo que ve en el display del Token OTP Tokens USB: Se conectan al puerto USB Almacenan certificado digital o password NO requiere lector (puerto USB estándar Autenticación Robusta – Tecnologías

40 SmartCards, Tokens OTP, Tokens USB se integran a: Aplicaciones propietarias: vía SDK Aplicaciones comerciales: vía Radius, LDAP, etc. Ejemplos de integración a aplicaciones comerciales: OWA, Windows Logon, Terminal Services, Acceso Remoto VPN (Cisco, Check Point), Citrix). Autenticación Robusta – Tecnologías

41 Características a considerar para seleccionar un token: Nivel de seguridad ofrecido: 1 en 1 millón (ANSI X9.9) Compatibilidad: ¿ qué aplicaciones puede proteger ? Facilidad de uso: ¿ necesito conectarlo, necesito lector, instalar drivers ? Costos de administración: help desk, resincronización, entrega y recambio de tokens Autenticación Robusta – Tecnologías

42 ¿ Cómo funcionan los Tokens OTP ? Input + Algoritmo de encriptación = OTP Resultado NO PREDECIBLE Secret key del algoritmo asociada a cada token: distintas secret key generan distintos OTP Autenticación Robusta – Tecnologías

43 Hasta ahora: El Token OTP posee algoritmo de encriptación y secret key Dado el input, se genera el OTP ¿ Y el Servidor cómo sabe si el OTP ingresado es correcto ? Respuesta: el servidor tiene copia de los secret key de cada Token OTP Bill Bob Secret key Bill = A43vY Secret key Bob = tRdv4

44 Según cómo se genera el input, 2 tecnologías de OTP: Time based: el input es el instante de tiempo Event based: el input es un contador que se incrementa en 1 cada vez que presiono un botón Autenticación Robusta – Tecnologías

45 Tecnología Time Based Requiere un clock en el Token y en el Server Input = Tiempo actual Si Hora del reloj del server NOT EQ Hora del reloj del Token Usuario NO puede ingresar (Out of Sinc) Solución: Ventanas de Tiempo En un instante de tiempo, acepto OTPs de una ventana de tiempo

46 Cuanto más grande la ventana... más passwords son posibles... aumento la probabilidad de acierto de un atacante Balance entre Tamaño de ventana y cantidad de out of sinc Tamaño de ventana Nivel de seguridad Cantidad de out of sinc Tecnología Time Based

47 Implementación en Discount Bank

48 Conclusiones finales Autenticación robusta permite eliminar el eslabón más débil de la cadena: la autenticación Tokens One Time Passwords (OTP): fáciles de usar y plugless Cómo seleccionar la tecnología ? Evaluar los costos de implementación y mantenimiento de la solución Tokens Time-based o Event-based ? Seleccionar productos probados y con experiencia en el mercado financiero (transparencia para el usuario)

49 ¡ Gracias !


Descargar ppt "La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina? - Agosto 23 de 2007 Expositores: Sr. Jos é Pedro Ferrer."

Presentaciones similares


Anuncios Google