Entradas

 

Dirección: Passwordless (O: ¿Debemos dejar ese vicio repugnante?)

Imagen
En pleno 2021, no existe un solo día en el que no se mencione esta palabra de moda en alguna de las conversaciones o material de lectura con los que me encuentro. Pero, ¿qué significa passwordless ? En primer lugar, profundicemos un poco en las razones de esta repentina popularidad de un concepto que en realidad ha existido durante más de 15 años. ¿Son un problema las contraseñas? Contraseñas. Son los medios de autenticación más primitivos que existen, ¿cierto? Falso. De hecho, las contraseñas no son (originalmente) un método de autenticación en absoluto. El primer método de autenticación utilizado fue en realidad la biometría . Más concretamente, el reconocimiento facial. Los seres humanos lo han estado usando desde que existimos. ¡Hola Bob! ¡Sé que eres tú, porque conozco tu cara! Esto es lo que hemos hecho durante miles de años. Reconocemos que una persona es Bob porque reconocemos sus rasgos faciales (o de otro tipo) y los asociamos a su identidad. Sin embargo, a partir de cierto p

La importancia de la gramática en IAM (AKA: Un permiso es un verbo)

Imagen
  Existen dos decisiones aparentemente irrelevantes que tendemos a tomar muy a la ligera al crear permisos, lo cual destrozará nuestro modelo de autorización a largo plazo y lo hará totalmente inmanejable. El primero es un poco más conocido: " Evitar permisos demasiado amplios " o " Hacer nuestros permisos tan específicos como sea posible ". Abordaremos este concepto en detalle en posteriores artículos.  Sin embargo, el alcance de este artículo es el segundo principio, que de primeras parece un poco más arbitrario y que, por lo general, genera bastante malestar entre los propietarios de las aplicaciones cuando lo señalamos. Se trata de " Definir los permisos como verbos " o " Nombrar los permisos correctamente ". Los propietarios de aplicaciones normalmente encuentran que esta es una inquiteud exagerada. ¡Qué más dará el nombre de los permisos! ¿no? Usemos un sencillo ejemplo simple para ilustrar los problemas que pueden surgir si no le prestamos

No hay que preocuparse por los usuarios privilegiados (O: Controlando acciones, no personas)

Imagen
En todas las organizaciones, los usuarios necesitan acceso a diferentes recursos para poder realizar su trabajo. Dichos recursos pueden ser datos, aplicaciones, derechos de administración del sistema, capacidades de aprobación para diferentes procesos, etc. La mayoría de los usuarios terminarán teniendo un conjunto de permisos que presentan un riesgo relativamente bajo para la empresa (así debiera ser, al menos). En otras palabras, si esos usuarios decidieran dañar a la organización, o si sus cuentas fueran comprometidas o robadas por atacantes externos, el nivel del daño que podrían infringir está suficientemente bajo control. Sin embargo, es inevitable que otros usuarios acaben teniendo ciertos permisos que suponen un riesgo mucho mayor. Los administradores del sistema podrían deshabilitar todas las cuentas corporativas, evitando que todos los empleados lleven a cabo sus funciones. Los propietarios de los datos podrían revelar información confidencial al público en general, causa

Por qué es importante tener un sistema centralizado de Gestión de Acceso (O: “Autorización-como-Servicio”)

Imagen
En el dominio de la Seguridad de la Información, la Gestión de Identidad y Acceso (IAM, por sus siglas en inglés) es el campo que trata de asegurar que los usuarios adecuados tienen acceso apropiado a diferentes recursos (datos, aplicaciones, etc). En otras palabras, garantiza que estos usuarios solo puedan acceder a aquello para lo que han sido autorizados, según decisiones tomadas por los propietarios de esos recursos, y basadas en los riesgos que suponen. Est a es la teoría , al menos . Pero es ta teoría puede aplicarse de diferentes maneras: Si nuestra organización usa (u ofrece) múltiples aplicaciones, simplemente p odemos asegurarnos de que cada aplicación administre de forma independiente el acceso de usuarios (es decir, quién puede hacer qué ). O bien podemos administrar ese nivel de acceso de manera centralizada, en lo que se conoce como un sistema de Gest ión de A cceso (AM , por sus siglas en inglés ). De esta manera, nuestra s aplicaciones simplemente deben preg