Control de Acceso y Autenticación
Se analizan la vulnerabilidades que pueden darse en las aplicaciones a la hora de identificar sus usuarios y los permisos que estos poseen. Recogiendo una serie de recomendaciones para el desarrollo de aplicaciones, que tenidas en cuenta, ayuden a mitigar los riesgos de producirse situaciones como el escalado de privilegios o la suplantación de identidad.
Hay dos procesos distintos que intervienen cuando se trata de permitir a un usuario acceder a páginas específicas de un sitio web:
La autenticación es el proceso de identificación de un individuo sobre la base de sus credenciales (normalmente nombre de usuario y contraseña)
El objetivo de la autenticación es decidir si "alguien es quien dice ser". Hay tres formas de reconocer a un usuario, que se conocen como factores:Algo que saben, como una contraseña o PIN
Algo que tienen, tal como una licencia de conducir o tarjeta de crédito
Algo que son, como las huellas digitales o la inserción de los patrones
El control de acceso es el proceso de decidir si el usuario tiene permiso para ejecutar algo o no.
También llamado autorización, se refiere a la gestión del acceso a los recursos protegidos y al proceso de determinar si un usuario está autorizado a acceder a un recurso particular. Por ejemplo, muchas aplicaciones web cuentan con recursos que sólo están disponibles para los usuarios autenticados, recursos que sólo están disponibles para los administradores, y los recursos que están disponibles para todos.Así, al establecer privilegios de acceso a los usuarios podemos asegurar la confidencialidad y disponibilidad de la información; pero, además, podemos:- Que sólo las personas autorizadas podrán acceder a ciertos recursos (sistemas, equipos, programas, aplicaciones, bases de datos, redes, etc…) por sus funciones laborales.
- Nos permiten identificar y auditar los accesos realizados, estableciendo controles de seguridad internos.
- Documentar los procedimientos de acceso a las diferentes aplicaciones que tratan datos personales.
- En definitiva, controlar los accesos desde diferentes vertientes: red, sistemas y aplicaciones.
Objetivos
- Asegurar la identidad de los usuarios que acceden a las aplicaciones
- Garantizar el acceso a recursos protegidos
Contenido del área
Código | Título | Tipo | Carácter | |
---|---|---|---|---|
LIBP-0271 | API's privilegiadas | Libro de pautas | Directriz | Obligatoria |
LIBP-0253 | Autenticación | Libro de pautas | Directriz | Obligatoria |
PAUT-0234 | Autorizaciones personalizadas | Pauta | Directriz | No Recomendada |
LIBP-0269 | Canal de comunicación | Libro de pautas | Directriz | Obligatoria |
LIBP-0272 | Contraseñas | Libro de pautas | Directriz | Obligatoria |
LIBP-0254 | Control de acceso | Libro de pautas | Directriz | Obligatoria |
LIBP-0263 | Listas de control | Libro de pautas | Directriz | Recomendada |
LIBP-0285 | Manejo de contraseñas perdidas | Libro de pautas | Directriz | Obligatoria |
LIBP-0258 | Nombres de usuario | Libro de pautas | Directriz | Recomendada |
LIBP-0264 | Uso de permisos en recursos críticos | Libro de pautas | Directriz | Obligatoria |