63
Presentación PINsafe Por qué no es suficiente la contraseña ASEGUR@IT | 05-05-2011 Alex Rocha Alex Rocha Country Manager Country Manager Iberia Iberia a.rocha@swivelsecure a.rocha@swivelsecure .com .com simplicidad seguridad libertad www.swivelsecure. com

Spanish alr swivel ppt v2011. asegur it - 2011

Embed Size (px)

Citation preview

Page 1: Spanish alr swivel ppt v2011. asegur it - 2011

Presentación PINsafePor qué no es suficiente la contraseñaASEGUR@IT | 05-05-2011

Alex Rocha Alex Rocha Country Manager IberiaCountry Manager Iberia

[email protected]@swivelsecure.com

simplicidad seguridad libertad

www.swivelsecure.com

Page 2: Spanish alr swivel ppt v2011. asegur it - 2011

Swivel Secure: Empresa

30% I+D30% I+D30% I+D30% I+D LicenciasLicencias+1Mk+1Mk

LicenciasLicencias+1Mk+1Mk

Patentado Patentado en todo el en todo el

mundomundo

Patentado Patentado en todo el en todo el

mundomundoClientesClientes+1000+1000

ClientesClientes+1000+1000

Oficina en Oficina en MadridMadrid

Oficina en Oficina en MadridMadrid

FundadaFundada20002000

FundadaFundada20002000

Grupo MarrGrupo Marr€ € 1.2Bn1.2Bn

Grupo MarrGrupo Marr€ € 1.2Bn1.2Bn

PINsafePINsafe20032003

PINsafePINsafe20032003

Soluciones de Autenticación

Page 3: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe: Producto

CertificadoCertificadoVAR: 671VAR: 671

CertificadoCertificadoVAR: 671VAR: 671 ApplianceAppliance

HW o VMHW o VM

ApplianceApplianceHW o VMHW o VM

SoporteSoporte24/7/36524/7/365

SoporteSoporte24/7/36524/7/365 mFAmFAmFAmFA

Premios Premios otorgadosotorgados

Premios Premios otorgadosotorgados

7 Años7 Años7 Años7 Años Alta Alta DisponibilidadDisponibilidad

Alta Alta DisponibilidadDisponibilidad

PINsafePINsafev.3.8v.3.8

PINsafePINsafev.3.8v.3.8

Page 4: Spanish alr swivel ppt v2011. asegur it - 2011

SWIVEL and PINsafe

Oficina Swivel Cliente PINsafe

EspañaPortugal

Reino Unido Moscú

Australia

Dubai

EE.UU

FranciaAlemania

Page 5: Spanish alr swivel ppt v2011. asegur it - 2011

Microsoft Online Services

Page 6: Spanish alr swivel ppt v2011. asegur it - 2011

Premios & Certificaciones

World’s Hottest Info Security Companies

Page 7: Spanish alr swivel ppt v2011. asegur it - 2011

Referencias World Wide

Page 8: Spanish alr swivel ppt v2011. asegur it - 2011

Referencias Locales

Page 9: Spanish alr swivel ppt v2011. asegur it - 2011

¿Por qué ya no es suficiente sólo la contraseña?

Page 10: Spanish alr swivel ppt v2011. asegur it - 2011

Las contraseñas más utilizadas!

Page 11: Spanish alr swivel ppt v2011. asegur it - 2011

Complejidad de las contraseñas

Page 12: Spanish alr swivel ppt v2011. asegur it - 2011

Encuesta no técnica!

Las otras están debajo del teclado!

Page 13: Spanish alr swivel ppt v2011. asegur it - 2011

Cómo generar una contraseña fuerte!

¡Difícil para los humanos, fácil para las máquinas!

http://strongpasswordgenerator.com

Page 14: Spanish alr swivel ppt v2011. asegur it - 2011

Aplicación para hackear una contraseña

Contraseña pirateadaVídeo tutorial

Google: hack password ( alrededor de 95.800.000 resultados )

Page 15: Spanish alr swivel ppt v2011. asegur it - 2011

Keylogger HW o SW

Google: keyloggers ( alrededor de 8.770.000 resultados )

Versión software

Versión hardware

Page 16: Spanish alr swivel ppt v2011. asegur it - 2011

Las contraseñas son especialmente vulnerables

porque son estáticas

Page 17: Spanish alr swivel ppt v2011. asegur it - 2011

Pero contraseñas complicadas vuélven a utilizar Post-It.

Page 18: Spanish alr swivel ppt v2011. asegur it - 2011

2FA vs Post-It

Page 19: Spanish alr swivel ppt v2011. asegur it - 2011

2FA"Something one has“

“Something one knows"

Page 20: Spanish alr swivel ppt v2011. asegur it - 2011

Ejemplo:

Porque no siempre usar un token es sinónimo de 2FA

Page 21: Spanish alr swivel ppt v2011. asegur it - 2011

Webcam Access Token

Page 22: Spanish alr swivel ppt v2011. asegur it - 2011

Token

Webcam

URLUsuarioContraseña

URL protegida con user/password

para acceder a WEBCAM para poder ver el OTP.

Page 23: Spanish alr swivel ppt v2011. asegur it - 2011

¿Acesibilidad?

¿Onde estan los 2FA?

¿Problemas?

Page 24: Spanish alr swivel ppt v2011. asegur it - 2011

Ejemplo:

Roll-out de Token

Page 25: Spanish alr swivel ppt v2011. asegur it - 2011

Token con protecion PIN

Page 26: Spanish alr swivel ppt v2011. asegur it - 2011

Y se el usuario no sabe el PIN?

Page 27: Spanish alr swivel ppt v2011. asegur it - 2011

Puede tiene esa información también en el token.

Page 28: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe Protocolo Patentado

Multi-factor de autenticación sin token

Page 29: Spanish alr swivel ppt v2011. asegur it - 2011
Page 30: Spanish alr swivel ppt v2011. asegur it - 2011

Protocolo PINsafe

8 1 6 9 5 0 3 4 7 2

51 08

1 2 5 6

Example 2:

PIN

Cadena de Seguridad

OTC

Sigue siendo el mismo

Page 31: Spanish alr swivel ppt v2011. asegur it - 2011

PIN

Cadena de Seguridad

OTC

Sigue siendo el mismo

6 5 2 7 8 9 4 1 3 9

85 96

1 2 5 6

Example 2:

Protocolo PINsafe

Page 32: Spanish alr swivel ppt v2011. asegur it - 2011

Con PINsafe garantizamos la autenticación del usuario, no del

dispositivo token.

Page 33: Spanish alr swivel ppt v2011. asegur it - 2011

¿Quién es el autenticado? ¿Usuario o dispositivo?

Page 34: Spanish alr swivel ppt v2011. asegur it - 2011

¡Cuando el móvil se convierte en token!

Page 35: Spanish alr swivel ppt v2011. asegur it - 2011

2FA

Authenticacìon Fuerte

Page 36: Spanish alr swivel ppt v2011. asegur it - 2011

1. PINsafe SMS

Page 37: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe SMSPrevio envío o al momento

PINsafe Security String 01-----------------------------------1 2 3 4 5 6 7 8 9 01 7 3 9 2 4 6 5 0 8-----------------------------------

PINsafe OTC-----------------------------------651973-----------------------------------

PINsafe Security String 011 2 3 4 5 6 7 8 9 0A Z D I K H S L CPINsafe Security String 021 2 3 4 5 6 7 8 9 07 4 8 2 9 3 6 1 8 0 PINsafe Security String 031 2 3 4 5 6 7 8 9 00 1 2 3 8 9 4 7 6 5PINsafe Security String 041 2 3 4 5 6 7 8 9 00 1 5 8 3 4 9 7 6 2

Home Banking SMS-----------------------------------1 2 3 4 5 6 7 8 9 01 7 3 9 2 A J I L 8-----------------------------------Operation: AT2839127-08-2010 16:45

OTCOTCOTCOTCSecurity StringSecurity StringSecurity StringSecurity String MultiMulti

Security StringSecurity String

MultiMultiSecurity StringSecurity String

Encrypted 3PartEncrypted 3PartSecurity StringSecurity String

Encrypted 3PartEncrypted 3PartSecurity StringSecurity String

Page 38: Spanish alr swivel ppt v2011. asegur it - 2011

2. PINsafe Mobile App

Page 39: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe Mobile App

Page 40: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe Inbound SMS

Page 41: Spanish alr swivel ppt v2011. asegur it - 2011

3. PINsafe (Inbound) SMS

SMS Message to PayPal

4951

OTC SMS response

+349021234567

Page 42: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe Voice

Page 43: Spanish alr swivel ppt v2011. asegur it - 2011

3. PINsafe (Inbound) SMS

Call

4951

Voice / IVR

+349021234567

Page 44: Spanish alr swivel ppt v2011. asegur it - 2011

1.5FA

Authenticacìon Robusta

Page 45: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe TURing

Page 46: Spanish alr swivel ppt v2011. asegur it - 2011

PINsafe TURing(Animado o Estático)

Web Integracion:Animated TURing

Web Integracion:Animated TURing

Page 47: Spanish alr swivel ppt v2011. asegur it - 2011

Cadena de Seguridad

Page 48: Spanish alr swivel ppt v2011. asegur it - 2011

Cadena de Seguridad

Números

Letras mayúsculas

Letras minúsculas

Letras mayúsculas y minúsculas

1 en 10,000

1 en 279,840

1 en 279,840

1 en 4,477,455

Números y letras mayúsuclas 1 en 390,624

Page 49: Spanish alr swivel ppt v2011. asegur it - 2011

Sólo una autenticación robusta puede permitir una determinación de

responsabilidades dentro de una organización.

Page 50: Spanish alr swivel ppt v2011. asegur it - 2011

Unicredit: Case Study

Page 51: Spanish alr swivel ppt v2011. asegur it - 2011

Case Study: UNICREDITAutenticación VPN SSL

Objetivo: Permitir el acceso de 50.000 usuarios a VPN SSLde Juniper utilizando 2FA.

Page 52: Spanish alr swivel ppt v2011. asegur it - 2011

Case Study: UNICREDITAutenticación VPN SSL

( x24 ha A/A + x2 ha A/A = MFA )Sin token

50.000 usuarios

Page 53: Spanish alr swivel ppt v2011. asegur it - 2011

Project: UNICREDITBanca Online

Page 54: Spanish alr swivel ppt v2011. asegur it - 2011

Protección contra Vishing

Page 55: Spanish alr swivel ppt v2011. asegur it - 2011

Vishing scams in UK

Page 56: Spanish alr swivel ppt v2011. asegur it - 2011

Resumen: UniCredit

Page 57: Spanish alr swivel ppt v2011. asegur it - 2011

¿Qué protegemos? ¿Usuario o dispositivo?

Usuario: Únicamente el usuario puede crear el OTC, porque necesita un PIN que

nunca tiene que teclear y sólo está en su memoria.

Dispositivo:Autenticamos el usuario, no el dispositivo.

Legal:El usuario tiene la responsabilidad de no divulgar su PIN, porque

si se compromete el dispositivo, sin el PIN es imposible crear el OTC.

PINsafe:•Es posible con PINsafe tener uno o varios métodos de autenticación para el usuario dependiendo del nivel de seguridad impuesto para cada acceso.•PINsafe SMS (inbound o outbound), PINsafe Voice, PINsafe TURing…

Page 58: Spanish alr swivel ppt v2011. asegur it - 2011

Ejemplo:

WINDOWS 7/2008

UAG

Page 59: Spanish alr swivel ppt v2011. asegur it - 2011

Ejemplos

W2K8/W7 Integration Cadena Seguridad:

TURing

Page 60: Spanish alr swivel ppt v2011. asegur it - 2011

Ejemplos

UAG Integration Cadena Seguridad:

SMS/TURing

Page 61: Spanish alr swivel ppt v2011. asegur it - 2011

Marketing

Page 62: Spanish alr swivel ppt v2011. asegur it - 2011
Page 63: Spanish alr swivel ppt v2011. asegur it - 2011

Gracias,

Alex RochaCountry Manager Iberia

[email protected]+34 622 74 622 3

?