Libertonia || Sistemas centrales de autenticación


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

Sistemas centrales de autenticación
Por SegFault departamento una cuenta para gobernarlas a todas , Sección Internet Puesto a las Thu Feb 27th, 2003 at 02:14:01 AM CET

Me gustaría leer opiniones formadas sobre los sistemas de autentificación centralizados (como en el caso de Jorginius en mi anterior historia). El sistema más famoso posiblemente sea Passport, de Microsoft, aunque por ahora no se usa en demasiados sitios. Un grupo de empresas (la principal Sun) crearon Liberty Alliance, con el objetivo de realizar unas especificaciones y desarrollos de identidad en red, pero parece ser que finalmente el proyecto va a perder fuerzas porque creen que no podrán enfrentarse al puesto ocupado por Passport. Quizás pensemos que todavía queda bastante para que estos sistemas se difundan, pero existen varios sistemas de autenticación, como DigitalMe y el utilizado por AOL o Yahoo!. Creo que en la actualidad tan sólo existe un desarrollo importante para realizar algo parecido en la comunidad de soft libre, y es el proyecto DotGNU.

¿Qué es eso?

Un sistema de autenticación centralizado nos permitiría tener una identidad que utilizaríamos en distintos sitios. Existen muchas formas distintas de diseñarlo y actualmente hay varias entidades trabajando, y bastantes implementaciones (AOL, Novell, Microsoft, Sun, PingID, etc). El sistema propuesto por Liberty Alliance o por DotGNU se basa en un software que podría instalarse en un servidor central y cualquier sitio podría decidir utilizar alguno de los sitios servidores. Por ejemplo, si Hispalinux decidiese montar un sistema, los sitios de los LUGs y cualquier otro sitio podría federarse de forma que yo podría ser SegFault en todos ellos sin tener que gestionar una plétora de cuentas y contaseñas. Bastaría con registrarme y crear un usuario en el servidor central y al identificarme en alguno de los sitios asociados, estaría identificado en todos los demás. También (otro ejemplo) OSDN decidiría instalar un sistema central de cuentas para todos sus sitios de forma que no es necesario mantener cuentas en Slashdot, Freshmeat y NewsForge.

Inconvenientes

Claro que siempre podemos pensar que los clientes web actuales permiten una gestión avanzada de contraseñas que hace que no sea necesario un sistema central, pero las ventajas podrían ser muy distintas como guardar parámetros de configuración comunes a todos los sitios. O quizás pensemos que utilizar la misma combinación de usuario/contraseña para todos los sitios es una forma lo suficiente cómoda de no necesitar los servicios de un servidor central de autenticación. También hay que tener en cuenta que el servidor central es un punto único de fallo, y cualquier fallo o compromiso podría resultar en graves problemas, pero posiblemente ocurriría lo mismo si un sitio con algún Nuke fuese comprometido, podrían probarse todas las combinaciones usuario/contraseña en otros sitio. Creo que el sistema de identificación de todos los sitios debería tener la opción de usar un servidor central o un método propio (como actualmente), aunque me imagino que esto podría ser algo complicado de gestionar. También puede ser que esto sólo sea realmente útil para grandes empresas, que podrían beneficiarse de sistemas como el que se implantará en el próximo MS Office o autenticarse en distintos servicios.

Y para terminar

Personalmente, creo que es un sistema que algún día se implantará porque hoy en día existen muchas entidades trabajando intentado desarrollar algún software o protocolo para servir como sistema de autenticación centralizada, todo se reduce a tener una identidad electrónica,

Creo que ha llegado un momento en el que la comunidad de software libre se debe enfrentar a dilemas sobre hasta donde debe llegar la seguridad. ¿Sería lícito o ético desarrollar algún sistema abierto de gestión de derechos? Seguramente muchas empresas lo consideran útil y realmente podría ser muy útil (evitar imprimir historiales médicos salvo con una autorización, imposibilitar la difusión de datos privados, etc), pero también tiene un lado oscuro. Los sistemas de identificación y las restricciones al acceso y uso de algunos ficheros cada vez serán más demandados, ¿Deberían desarrollarse herramientas libres que permitan llevar a cabo tales tareas?

< ¿Intel quiere reemplazar la BIOS? (5 comments) | Nessus 2.0 (2 comments) >

Enlaces Relacionados

· Slashdot
· Freshmeat
· escomposlinux.org
· Jorginius
· en mianterior historia
· Passport, de Microsoft
· demasiadossitios
· Sun
· Liberty Alliance
· especificacionesy desarrollos de identidad en red
· no podrán enfrentarseal puesto ocupado por Passport
· DigitalMe
· utilizadopor AOL o Yahoo!
· algoparecido
· proyecto DotGNU
· identidad que utilizaríamos en distintossitios
· Hispalinux
· OSDN
· implantaráen el próximo MS Office
· protocolo
· dilemas
· More on Privacidad
· Also by SegFault

Encuesta

Votos: 39
Resultados	\|	Otras Encuestas

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

Sistemas centrales de autenticación | 17 comentarios (15 temáticos, 2 editoriales, 0 ocultos)

Por centrarnos (5.00 / 7) (#8)
por SegFault (segfault tiene un Mailbox en frenopatico punto net) a las Thu Feb 27th, 2003 at 06:10:37 PM CET
(Información Usuario) http://www.frenopatico.net/segfault

Por evitar el tema de la lengua y centrarnos en la temática del artículo, mencionaré otra posibilidad que creo que no se utiliza mucho, y que quizás sería una opción viable. Me refiero a la autorización utilizando certificados en el cliente. En Apache puede utilizarse con mod_ssl, y podríamos recurrir de a una CA como Verisign o bien crear nuestra propia CA (como Hispalinux con su certificado SSL). Con este mecanismo podemos asegurar que el cliente es quien dice ser (hasta cierto punto) y al ser un método bastante estandarizado y difundido sus ventajas y defectos se conocen (obviamente permite revocar los certificados). Creo que sería otra opción interesante y quizás más sencilla de implementar puesto que las herramientas existen ya.

En Kuro5hin publicaron una introducción a los certificados (y otra parte). Y ya puestos a mencionar a K5, mencionaré otro artículo sobre el uso de contraseñas en distintos sitios.

Me gusta mas (3.60 / 5) (#13)
por Haze a las Sat Mar 1st, 2003 at 05:45:34 PM CET
(Información Usuario)

Soy bastante ignorante en el tema, asi que plasmo unicamente mi opinion de profano en la materia.

De momento el tema de la autenticacion me parece que cojea demasiado, o al menos da la impresion de que si alguien con las suficientes ganas te quiere suplantar va a terminar haciendolo si no eres muy cuidadoso.

Creo que, por el momento, la mejor medida (y mayor problema) de seguridad es uno mismo, y particularmente prefiero tomar la responsabilidad, asi al menos voy espabilando, que no tener un tercero que me autentifique. ¿Que es necesario para certificacion? de acuerdo, pero que si su seguridad se compromete la mia no lo haga, y si se compromete la mia, que pueda anular el certificado anterior y pedir otro.

Por lo que me ha dado tiempo a leer de los enlaces que nos proporciona SegFault, esto ya estaria funcionando mas o menos asi.

Pero me sigue pareciendo que se deberia atacar la base del problema, que con un 'man in the middle' hay posibilidades reales de conseguir dar el pego, principalmente con aplicaciones web en las que el usuario ya da a 'Aceptar' a las ventanitas que van saliendo mas como acto reflejo que como accion meditada. Creo recordar que el famoso ataque a eBay de hace unos meses se hizo asi, y tuvo bastante exito.

Por esto creo que la mejor inversion en seguridad informatica que puede hacerse es concienciar al usuario, como intenta hacer todo sysadmin, y lo que creo deberia hacer el Estado en lugar de tanto plan con mas presupuesto en publicidad que en medios.

Desdeluego si al usuario se le explicasen claramente unas normas no muy complicadas (no usar outlook, no hacerse cuentas en hotmail, etc };-]) que pudiese seguir pese a no entenderlas (las famosas formulitas), que supiese que significan las diferentes alertas que da el navegador, etc creo que su confianza creceria y se iria animando el comercio electronico y se atraeria mas gente a la Red.

Actualmente me parece que la mayor parte de la gente que no confia en su seguridad en la Red realmente su problema es que sabe que su seguridad puede comprometerse, pero no sabe ni como ni porque. Me parece que formarlo de forma basica en seguridad seria algo bastante mas util para el principiante que explicarle el Office o meterlo en Usenet a molestar, pero no he visto ninguna academia que procure dejar minimamente claros los aspectos de seguridad a sus alumnos, mucho menos los cursillos patrocinados por el Estado.

Saludos.

[ Padre ]

Interesante alternativa (3.25 / 4) (#14)
por r00z a las Sat Mar 1st, 2003 at 08:39:09 PM CET
(Información Usuario) http://r00z.ath.cx/

Muy interesante, la verdad es que veo más 'sólida' esta opción que las que menciona el artículo. Una única pega: este sistema puede que no sea del todo atractivo para el usuario final si este tiene que gestionar su clave (crear el par de claves, firmar las claves, llevar las claves siempre encima por si las necesita 'fuera de casa', etc). La verdad es que es bastante engorroso si sólo quieres leer tu correo y postear en algun foro. Más bien creo que el marco perfecto para este sistema es el típico caso del empleado que accede a la intranet de su empresa a través de Internet.

[ Padre ]

Interesante pregunta (3.33 / 6) (#3)
por Victor (victor@taquiones.net) a las Thu Feb 27th, 2003 at 10:49:22 AM CET
(Información Usuario) http://www.taquiones.net/victor.html

En mi opinión si que debería el software libre trabajar sobre ello. Es como los servicios de directorio, un aspecto en el que muchas empresas se basan para elegir el software, y no conviene que encuentren en este mundillo otro hueco más por el que poder atacar.

Creo que se podría hacer muy bien, ejemplos no faltan, y, siempre que fuese opcional, muy aceptado por la comunidad.

Mis felicitaciones por la exposición; el tema lo merece.
Victor Moral <victor@taquiones.net>

¿Autenticación? (2.50 / 4) (#4)
por gonzotba a las Thu Feb 27th, 2003 at 01:21:02 PM CET
(Información Usuario)

Autenticar:

(De auténtico). 1. tr. Autorizar o legalizar algo. 2. tr. acreditar (dar fe de la verdad de un hecho o documento con autoridad legal).

Igual es el término correcto, pero a mí me suena como una patada en los mismísimos...

Prefiero esta otra palabra (3.25 / 4) (#10)
por Lebowski a las Fri Feb 28th, 2003 at 02:18:40 AM CET
(Información Usuario) http://www.wernitz.net

validar

Creo que cumple perfectamente con lo que se pide, ¿no?
--- A cuidarse y a portarse mal, que es más divertido.
[ Padre ]

Sí, autenticar (3.25 / 4) (#12)
por iarenaza a las Sat Mar 1st, 2003 at 02:29:30 PM CET
(Información Usuario) http://www.escomposlinux.org/

Es el término que se usa en la literatura al respecto. Es un término lingüísticamente correcto y además es el término establecido. Que nos guste o no es otra cosa :)

Saludos. Iñaki.

[ Padre ]

Autenticar (3.00 / 3) (#15)
por Envite a las Mon Mar 3rd, 2003 at 01:18:07 AM CET
(Información Usuario)

Autenticar es comprobar si algo es lo que parece ser. Los bancos autentican las firmas de los cheques. Los anticuarios autentican piezas antes de comprarlas... que sea lo adecuado o no para este caso, eso ya no lo se, pero es una palabra bastante vieja y usada, no una adaptacion moderna del ingles.
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
Voltaire
[ Padre ]

Pues tienes razón (2.66 / 3) (#5)
por SegFault (segfault tiene un Mailbox en frenopatico punto net) a las Thu Feb 27th, 2003 at 03:25:28 PM CET
(Información Usuario) http://www.frenopatico.net/segfault

Una vez utilizo autentificación y el resto uso ese palabro, pero lo he visto utilizado varias veces. ¿Cúal sería la palabra correcta? ¿o las 2 son válidaS?

[ Padre ]

Autenticar o autentificar (2.66 / 3) (#6)
por bgood (bgood@aqui.no) a las Thu Feb 27th, 2003 at 04:28:39 PM CET
(Información Usuario) http://bgood.cjb.net

Las dos son perfectamente válidas.Aunque a mi autenticar me suena fatal. Lo recoge la RAE.www.rae.es.

[ Padre ]

Precisamente (2.66 / 3) (#7)
por gonzotba a las Thu Feb 27th, 2003 at 05:20:49 PM CET
(Información Usuario)

Precisamente de la RAE es la definición que pongo. Lo que no tengo claro es que se pueda referir al proceso al que se le suele aplicar. "Catalejo" también está en el diccionario de la RAE, pero no creo que sirva en este caso.

Pero hagamos las cosas bien:
autentificar.
1. tr. autenticar (autorizar o legalizar algo).

Por lo visto son sinónimos. De todas maneras, me gusta más "autentificar".

[ Padre ]

Me gustan los juegos de palabras (2.75 / 4) (#11)
por jamarier a las Fri Feb 28th, 2003 at 02:59:18 PM CET
(Información Usuario) http://barbacana.net/blog/

Siendo, como se ha indicado palabras sinonimas, me gusta mas la palabra autentificar porque tiene letras en comun con identificar.

Asi que , como a mi me gustan los juegos de palabras, a partir de ahora dire:

Autentificar=Autenticar+Identificar

Que ademas es una definicion bastante buena del conjunto.

(lamentablemente he perdido en mi ultima actualizacion de fonts las tildes, seguiremos buscandolos B-(

[ Padre ]

Acreditar (2.75 / 4) (#17)
por Heimy a las Wed Mar 5th, 2003 at 01:22:15 PM CET
(Información Usuario)

Autenticar no me parece mala palabra. Te suena mal por lo de siempre: llevas escuchando «autentificar» tanto que la otra te repele.

Por mi parte prefiero el segundo significado de «autenticar», sinónimo de «acreditar» :-). Me parece la más correcta.

[ Padre ]

lo que la RAE diga... (2.40 / 5) (#9)
por preage a las Fri Feb 28th, 2003 at 01:49:16 AM CET
(Información Usuario) http://geocities.com/dariapra

A mí autenticar me suena fatal.

Con independencia de lo bien o mal que le suenen a cada uno las palabras autenticar y autentificar, en mi opinión la RAE no tiene autoridad moral para decir cómo se deben adaptar palabras provinientes del inglés al castellano:

de la RAE son perlas como cederrón o güisqui; ¿será la próxima guiq?
la mayor parte de sus integrantes son gente de letras, ajena al mundo de la ciencia y de la técnica (cuando no desdeñosas; ¿cuántas veces hemos oído de los labios de gente de letras aquello que quienes tenemos carreras universitarias científico-técnicas no tenemos cultura?)

[ Padre ]

Psché... (2.66 / 3) (#16)
por Heimy a las Wed Mar 5th, 2003 at 01:20:42 PM CET
(Información Usuario)

Vale que RAE haya metido la pata con cdrom, whysky, etc... pero lo otro más que una razón me parece una pataleta. Total, que los que le damos significados somos nosotros en nuestra literatura, no ellos en la suya; y ya que las palabras son sinónimas según el diccionario, somos nosotros los que nos tenemos que poner de acuerdo. Mi preferencia la indico en otra respuesta.

[ Padre ]

Sistemas centrales de autenticación | 17 comentarios (15 temáticos, 2 editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda