<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div>Creo que el nombre de la tecnología es Keystroke Dynamic </div><div><br></div><div>Raúl </div><div><br></div><br><div><div>El 23/08/2011, a las 12:10, Gustavo Fernandez Guirland escribió:</div><br class="Apple-interchange-newline"><blockquote type="cite">De acuerdo, de hecho se usa mucho en FORENSE los patrones de tipeo ya que demostraron ser eficientes.<br><br>Saludos<br><br><div class="gmail_quote">El 23 de agosto de 2011 12:04, Raul Echeberria <span dir="ltr"><<a href="mailto:raul@lacnic.net">raul@lacnic.net</a>></span> escribió:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div style="word-wrap:break-word"><div><br></div><div>Me parecen muy interesantes las tecnologías disponibles en el mercado de reconocimiento de patrones de tipeo.</div>
<div>Si bien está claro que ningun producto o tecnología es suficiente por si mismo, los datos de certeza que tienen estos productos son impresionantes. </div><div><br></div><div>Me parece que es una buena opción de método biométrico para combinar con el uso de otras formas de autenticación.</div>
<div><br></div><div><br></div><div>Raúl </div><div><br></div><div><br></div><div><br></div><div><br></div><br><div><div>El 23/08/2011, a las 11:38, Gustavo Fernandez Guirland escribió:</div><div><div></div><div class="h5">
<br><blockquote type="cite">De acuerdo totalmente contigo Carlos....es que yop creo que a veces en los intercambios de opiniones olvidamos que a mi entender.....LA SEGURIDAD NO ES UNA META ALCANZABLE SINO UN CAMINO CONTINUO, es decir no es finita siempre estamos mejorandola, revisandola, monmitoreandola y buscando vulnerabilidades o posibles incidentes<br>
<br><div class="gmail_quote">El 22 de agosto de 2011 18:37, Carlos Bergero <span dir="ltr"><<a href="mailto:rak@fcien.edu.uy" target="_blank">rak@fcien.edu.uy</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian, se chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe implementar. Por un lado la visión de un Norteamericano, que planteaba que un buen sistema de seguridad debe ser monolítico y cerrado, contundente, por otro lado un alemán que planteaba que la seguridad se construye como una pared, ladrillo por ladrillo, poco a poco. Personalmente esta última imagen me quedó grabada en la retina, y es un concepto que he visto repetirse seguido y con bastante éxito.<br>
En este sentido los mecanismos que se utilizan de autenticación sean cuales sean deben estar dimensionados a las necesidades de seguridad de la información o activos a proteger, y es en ese entorno que debería verificarse su "valides".<br>
<br>
En ese contexto, se debería evaluar el mecanismo de autenticación, y establecer los mecanismos necesarios para protegerlo.<br>
Por ejemplo<br>
Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que sea, y la información asociada a estos sistemas no es de "vida" o "muerte", perfectamente se puede usar un usuario y clave de baja seguridad, ie, pocos caracteres 6 - 8, quizas incluso sin símbolos de puntuación.<br>
<br>
HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!<br>
si ya se una clave así se puede romper en 15 minutos o algo más o menos.<br>
Pero en que entorno?<br>
Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le corro el password cracker que usa GPUs para probar las claves.<br>
<br>
No ese no es el contexto, se van a establecer conexiones al sitio por medio de una red y se van a intentar varias claves antes de dar con la correcta.<br>
Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir alguna centena de conexiones, no, no voy a hacerlas cuentas.<br>
<br>
En ese contexto si alguien una ip intenta lagunos cientos de conexiones contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o 4to. Intento?<br>
<br>
A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?<br>
<br>
Primero, lo más probable es que en ese caso esté sufriendo un DDoS.<br>
Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?<br>
Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a que le roben la clave, le corten el pulgar y le use el OTP ?<br>
<br>
En muchos casos el uso de un lector biométrico, puede ser razonable, pero me da toda la impresión que están sobrevalorados en lo que se refiere a su eficiencia, y por otro se pretende que resuelvan todo el problema, cuando al ser un problema complejo debería resolverse por más de una medida de control.<br>
<br>
Saludos,<br>
Carlos<br>
<br>
El 22/08/11 10:33, Victor Hugo dos Santos escribió:<div><div></div><div><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2011/8/20 Gustavo Fernandez Guirland<<a href="mailto:gfernandezguirland@gmail.com" target="_blank">gfernandezguirland@<u></u>gmail.com</a>>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Justamente...esta mas que claro que el sistema actual de passwords tiene<br>
muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos<br>
en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus<br>
SEGURIDAD.<br>
Entonces creo que afinando los sistemas biométricos, ningun ataque de<br>
diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia<br>
tener todos los patrones de toda la humanidad...algo improbable.<br>
</blockquote>
Hola,<br>
<br>
creo que la mayoría de las personas/empresas... piensan que por tener<br>
un dispositivo biométrico, estarán sumamente seguros/protegidos..<br>
pero, el tema de los biométricos como alguien lo comento antes, esta<br>
relacionado directamente con la sensibilidad/calidad del<br>
dispositivo...<br>
<br>
si tenemos un dispositivo que simplemente detecta el color de los iris<br>
y/o si la huella es circular o cuadrada.. entonces, el sistema no<br>
sirve.<br>
<br>
en todo caso, por mas que se afine los sistemas biométricos, estés<br>
siempre tendrán alguna limitación (sea por capacidad, calidad,<br>
velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,<br>
hace mucho tiempo que los sistemas son capaces de aceptar contraseñas<br>
de 255 caracteres o mas, pero los usuarios en el mejor de los casos<br>
usan 20.<br>
<br>
en base al anterior, es probable que empresas que requieran de<br>
seguridad y utilcen sistemas biometricos, simplesmente no contraten a<br>
gemelos, debido a que los sensores no serán capaces de detectar la<br>
diferencia entre ellos.<br>
<br>
al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo<br>
sistema de autenticación presencial "debería" de estar basado en algún<br>
sistema de doble o triple autenticación.. ejemplos:<br>
- biometria<br>
- contraseñas generadas por el usuario<br>
- alguno sistema de captcha<br>
- tokens<br>
- contraseñas de uso único ??<br>
<br>
salu2<br>
<br>
</blockquote>
<br></div></div><div><div></div><div>
______________________________<u></u>_________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net" target="_blank">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/<u></u>mailman/listinfo/seguridad</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><font face="verdana, sans-serif">NetAdmin/Prog. Gustavo Fernández Guirland<br>Consultor Informático </font><div><font face="verdana, sans-serif">Soporte/Desarrollo/Infraestructura/Coordinador Docente</font></div>
<div><font face="verdana, sans-serif"><br>Tel <a href="tel:%28598%29%202%207110517" value="+59827110517" target="_blank">(598) 2 7110517</a> - <a href="tel:099264161" value="+59899264161" target="_blank">099264161</a></font></div>
<br>
_______________________________________________<br>Seguridad mailing list<br><a href="mailto:Seguridad@lacnic.net" target="_blank">Seguridad@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
</blockquote></div></div></div><br><div>
<span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;font-size:medium"><span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;font-size:medium"><div style="word-wrap:break-word">
<div>Raul </div><div>Twitter @raulecheberria</div></div></span></span>
</div>
<br></div><br>_______________________________________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><font face="verdana, sans-serif">NetAdmin/Prog. Gustavo Fernández Guirland<br>Consultor Informático </font><div><font face="verdana, sans-serif">Soporte/Desarrollo/Infraestructura/Coordinador Docente</font></div>
<div><font face="verdana, sans-serif"><br>Tel (598) 2 7110517 - 099264161</font></div><br>
_______________________________________________<br>Seguridad mailing list<br><a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>https://mail.lacnic.net/mailman/listinfo/seguridad<br></blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Raul </div><div>Twitter @raulecheberria</div></div></span></span>
</div>
<br></body></html>