Privacidad, autenticación y control de acceso.

Privacidad, autenticación y control de acceso.

Se analizan la vulnerabilidades que pueden darse en las aplicaciones a la hora de identificar sus usuarios y los permisos que estos poseen. Recogiendo una serie de recomendaciones para el desarrollo de aplicaciones, que tenidas en cuenta, ayuden a mitigar los riesgos de producirse situaciones como el escalado de privilegios o la suplantación de identidad.

Hay dos procesos distintos que intervienen cuando se trata de permitir a un usuario acceder a páginas específicas de un sitio web:

es el proceso de identificación de un individuo sobre la base de sus credenciales (normalmente nombre de usuario y contraseña)

El objetivo de la autenticación es decidir si "alguien es quien dice ser". Hay tres formas de reconocer a un usuario, que se conocen como factores:

1.-Algo que saben, como una contraseña o PIN

2.-Algo que tienen, tal como una licencia de conducir o tarjeta de crédito

3.-Algo que son, como las huellas digitales o la inserción de los patrones

El control de acceso es el proceso de decidir si el usuario tiene permiso para ejecutar algo o no. También llamado autorización, se refiere a la gestión del acceso a los recursos protegidos y al proceso de determinar si un usuario está autorizado a acceder a un recurso particular. Por ejemplo, muchas aplicaciones web cuentan con recursos que sólo están disponibles para los usuarios autenticados, recursos que sólo están disponibles para los administradores, y los recursos que están disponibles para todos.Así, al establecer privilegios de acceso a los usuarios podemos asegurar la confidencialidad y disponibilidad de la información; pero, además, podemos:

1.-Que sólo las personas autorizadas podrán acceder a ciertos recursos (sistemas, equipos, programas, aplicaciones, bases de datos, redes, etc…) por sus funciones laborales.

2.-Nos permiten identificar y auditar los accesos realizados, estableciendo controles de seguridad internos.

3.-Documentar los procedimientos de acceso a las diferentes aplicaciones que tratan datos personales.

4.-En definitiva, controlar los accesos desde diferentes vertientes: red, sistemas y aplicaciones.

Hoy en día es muy común la escalada de privilegios, que no es más que la obtención de los privilegios del administrador. Por ello, debe existir una política o normativa específica que establezca el uso de mecanismos para impedir intentos de escalado de privilegios en nuestras aplicaciones web.Se considera que un sistema aplica políticas para evitar el escalado de privilegios cuando: No es posible acceder a información del sistema que pueda ser utilizada para la escalada de privilegios, no es posible ejecutar acciones haciéndose pasar por otro usuario, etc.

Objetivos

1.-Asegurar la identidad de los usuarios que acceden a las aplicaciones

2.-Garantizar el acceso a recursos protegidos