Bluetooth SSO: single sign on con el móvil y autorización en contexto
¿Cuántas veces tenemos que teclear nuestras contraseñas a lo largo del día? Cada vez que queremos desbloquear la sesión del sistema operativo, cada vez que accedemos a una aplicación protegida, cada vez que nos autenticamos desde un equipo distinto... El móvil puede ser nuestro aliado para evitar esta incomodidad, a la vez que puede aumentar la seguridad de los sistemas. Para muchos, los móviles se han convertido en una herramienta imprescindible para la comunicación y la organización personal, principalmente en el ámbito profesional pero también el particular. Por lo tanto, lo habitual es que el móvil vaya siempre con nosotros, por lo que podemos aprovechar su capacidad de almacenamiento, procesado e interacción con otros dispositivos para que nos facilite ciertas tareas repetitivas pero necesarias, como es el caso de la autenticación.
Con este objetivo, Safelayer ha desarrollado el mecanismo de autenticación experimental Bluetooth SSO, en el que se aprovecha la posibilidad de comunicación mediante bluetooth entre el móvil y otros equipos (habitualmente, un PC) para agilizar la identificación de los usuarios. Pero los beneficios del móvil no sólo quedan ahí, sino que se puede explotar su capacidad para recopilar información del contexto de usuario para afinar los procesos de autorización.
Bluetooth SSO está enfocado especialmente a entornos empresariales, en los que los usuarios acceden mayoritariamente a un conjunto concreto de servicios y aplicaciones corporativas (el correo electrónico, los servidores documentales, las herramientas de gestión, etc.), y en los que los equipos están supervisados por la figura del administrador de sistemas; por lo tanto, los equipos conectados a la red corporativa pueden considerarse equipos de confianza.
Bluetooth SSO se ha implementado para dispositivos móviles con sistema operativo Android.
Single sign on
Gracias a la aplicación Bluetooth SSO, un usuario puede acceder a varias aplicaciones web corporativas y desde varios equipos, autenticándose una sola vez desde la aplicación instalada en su móvil. El proceso es el siguiente: el usuario ejecuta la aplicación en su móvil y se autentica en ella; entonces, cuando se aproxima a cualquiera de los PC que forman parte de la red de confianza, sólo debe confirmar si quiere abrir una sesión web en éste. Esta nueva sesión, además, conservará el mismo estado que tuviera la sesión anterior, aunque se hubiera llevado a cabo en otro PC.
Para poder usar este mecanismo de autenticación experimental, los equipos de la red de confianza deben disponer de una interfaz bluetooth, y deben tener instalado un pequeño agente que gestiona la conexión de los móviles.
Pero Bluetooth SSO no sólo mejora la comodidad de los usuarios, sino que también incrementa el nivel de seguridad respecto a otros mecanismos de autenticación, como la tradicional combinación de nombre de usuario y contraseña. Con Bluetooth SSO, la contraseña de usuario nunca se transfiere en la comunicación entre la aplicación y el servidor de autenticación, ya que se emplean contraseñas de un solo uso (One Time Password, OTP), que se renuevan en cada sesión de autenticación. Así, se evita que un atacante intercepte y reutilice la contraseña del usuario legítimo.
Autorización en contexto
El control de acceso a aplicaciones y recursos no sólo consiste en un proceso de autenticación en el que se valida la identidad del usuario, sino que se complementa con el proceso de autorización, en el que se verifica que el usuario cumple ciertas condiciones antes de permitir o denegar la petición de acceso. Habitualmente, estas condiciones se concretan en reglas que comprueban ciertos atributos estables del usuario como, por ejemplo, su rol o su nivel de privilegios. Sin embargo, en muchos escenarios puede resultar crítico que en el proceso de autorización se consideren también otras características influyentes del entorno, que cambian de forma mucho más dinámica.
Las funcionalidades avanzadas del móvil lo convierten en un dispositivo idóneo para recopilar información del contexto del usuario. Por este motivo, la aplicación Bluetooth SSO también posibilita la captación de información adicional relativa al contexto de autorización (como, por ejemplo, la ubicación del usuario o si el móvil utilizado pertenece a la empresa). Este proceso se realiza de manera transparente al usuario, es decir, se lleva a cabo en un segundo plano sin afectar al resto de funcionalidades.
El caso de uso que implementa Bluetooth SSO es el de la firma digital de un documento en el que intervienen varios firmantes: cada uno de los usuarios se autenticará en el portal web con la aplicación instalada en su móvil, y sólo se le permitirá firmar el documento si se cumplen ciertas condiciones de entorno como, por ejemplo, que se encuentre físicamente en una determinada ubicación, que esté conectado a una red considerada segura, o que tenga la última versión del sistema operativo.
Según el Instituto Nacional de Estadística (Encuesta de uso de TIC y Comercio Electrónico en las empresas 2008-2009), más del 90% de las empresas españolas disponían de telefonía móvil en 2009; en éstas, según el Instituto Nacional de Tecnologías de la Comunicación (Indicador INT161: Hábitos de uso del bluetooth en los dispositivos móviles avanzados de las empresas), más del 43% de los usuarios de teléfonos móviles avanzados afirmaba tener el Bluetooth siempre activado. El objetivo de Bluetooth SSO consiste en aprovechar estos nuevos hábitos para mejorar la seguridad TIC.
Este trabajo ha sido parcialmente subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco del proyecto SAT2, referencias TSI-020100-2008-365 y TSI-020100-2009-374 del subprograma AVANZA I+D.
