{"id":1593,"date":"2017-04-15T13:00:33","date_gmt":"2017-04-15T18:00:33","guid":{"rendered":"http:\/\/www.iqcol.com\/?p=1593"},"modified":"2017-04-15T13:00:33","modified_gmt":"2017-04-15T18:00:33","slug":"autenticacion-multi-factor-pci","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/autenticacion-multi-factor-pci\/","title":{"rendered":"Autenticaci\u00f3n Multi-Factor PCI"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">Luego del North America Community Meeting en septiembre, en el cual el PCI SSC es miembro activo, y el anuncio de una nueva revisi\u00f3n de la NIST SP 800-63, la cual puede indicar el fin del uso de SMS como un factor de autenticaci\u00f3n.<\/span><br \/>\n<span style=\"font-weight: 400;\">La autenticaci\u00f3n multi factor, como bien sabemos, requiere de al menos 2 factores independientes para realizar la autenticaci\u00f3n sin indicar la validez de los factores hasta que todos han sido presentados, es decir en el caso m\u00e1s com\u00fan que vemos, cuando vamos a ingresar a un sistema ingresando usuario y contrase\u00f1a, y luego de autenticado solicita la validaci\u00f3n del segundo factor, estar\u00edamos realizando una autenticaci\u00f3n de dos pasos en lugar de 2 factores.<\/span><br \/>\n<span style=\"font-weight: 400;\">El error que tenemos est\u00e1 en la retroalimentaci\u00f3n de validez de los factores, pues antes de solicitar el segundo factor, nos indica si el primer factor es v\u00e1lido o no.<\/span><br \/>\n<span style=\"font-weight: 400;\">Los factores que podemos utilizar son:<\/span><br \/>\n<span style=\"font-weight: 400;\">Algo que sabe: usuario y contrase\u00f1a.<\/span><br \/>\n<span style=\"font-weight: 400;\">Algo que tiene: token, tarjeta inteligente.<\/span><br \/>\n<span style=\"font-weight: 400;\">Algo que es: biom\u00e9trico.<\/span><br \/>\n<span style=\"font-weight: 400;\">Tambi\u00e9n es necesario garantizar la independencia de los factores, es decir, un factor no provea acceso a otro. Por ejemplo si utiliz\u00f3 un dispositivo (Smartphone) como algo que poseo, y en ese mismo dispositivo estoy almacenando la contrase\u00f1a, o donde se env\u00eda el link de recuperaci\u00f3n de contrase\u00f1a; aquella persona que tenga acceso al dispositivo podr\u00eda tener acceso a los dos factores necesarios para la autenticaci\u00f3n.<\/span><br \/>\n<span style=\"font-weight: 400;\">Otros escenarios pueden generar la p\u00e9rdida de independencia cuando un factor da acceso a alguno de los dem\u00e1s factores.<\/span><br \/>\n<span style=\"font-weight: 400;\">Esta aclaraci\u00f3n ser\u00e1 tenida en cuenta, en las entidades que est\u00e1n actualmente en proceso de evaluaci\u00f3n PCI-DSS, para el acceso remoto al CDE; y a partir de febrero de 2018 para la autenticaci\u00f3n Multifactor de cuentas administrador.<\/span><br \/>\n<span style=\"font-weight: 400;\">Informaci\u00f3n adicional puede ser encontrada en:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\"><a href=\"https:\/\/www.pcisecuritystandards.org\/pdfs\/Multi-Factor-Authentication-Guidance-v1.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">PCI MULTI-FACTOR AUTENTICATION GUIDANCE V1<\/span><\/a><span style=\"font-weight: 400;\"> (Gu\u00eda oficial liberada por el PCI SSC)<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63-3 Digital Authentication Guideline<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63B Digital Authentication Guideline: Authentication and Lifecycle Management<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">DRAFT NIST Special Publication 800-63C Digital Authentication Guideline: Federation and Assertions<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">ISO 19092:2008 &#8211; Financial services &#8212; Biometrics &#8212; Security framework<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">ISO\/IEC 27040:2015 Information technology \u2014 Security techniques \u2014 Storage security<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Luego del North America Community Meeting en septiembre, en el cual el PCI SSC es miembro activo, y el anuncio de una nueva revisi\u00f3n de la NIST SP 800-63, la cual puede indicar el fin del uso de SMS como un factor de autenticaci\u00f3n. La autenticaci\u00f3n multi factor, como bien sabemos, requiere de al menos [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1593","post","type-post","status-publish","format-standard","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/1593","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=1593"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/1593\/revisions"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=1593"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=1593"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=1593"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}