Esto es algo con lo que hemos estado trabajando casi desde los comienzo de SoftCrim, y desde hace unas semanas, lo tenemos casi terminado. Y hoy, os explicaremos en qué consiste esta nueva tecnología que hemos creado, dentro de todas las tecnologías que estamos creando dentro del la Herramienta A.N.A que nuestro CEO ya explicó en su blog.
Algunas de las soluciones dentro de la Herramienta ANA
La VentANA ¿Para qué sirve?
Como su nombre indica, es una Ventana que si esta cerrada, no va a permitir el paso a los atacantes que hayan podido robar tu usuario y tu contraseña, ya sea atacando HSTS, un Phishing, Keylogger, app maliciosa, etc. Comportándose como un 2FA
¿Qué diferencia a la VentANA con las demás tecnologías?
Nosotros-fieles a nuestra filosofía- seguimos mirando las tecnologías que hay existentes y tratamos de mejorarlas, y aquí es donde nuestro 2FA trae novedades, novedades en cuanto a que estamos desarrollando dentro de la VentANA, un componente que tienen todas las ventanas, una PersiANA, que sirve para cuando tú tengas la ventana abierta para poder entrar tú, que solamente entres tú desde un dispositivo de confianza que el usuario haya proporcionado anteriormente. Esto es útil ya que si por ejemplo, si abres la VentANA, para poder entrar a tu cuenta, y por lo que sea el atacante que te ha robado el usuario y contraseña entra en ese mismo momento que tienes la VentANA abierta, podría entrar siempre y cuando, o tengas la PersiANA echada, es decir, sería otro muro más dentro del propio muro que es la VentANA, limitado así mucho a la posibilidad de que u atacante pueda colarse en tu sistema
Funcionamiento
Aquí hay otra novedad, ya que en la VentANA, no hay que introducir ningún código de pareado, ya que puede ser demasiado esfuerzo para el usuario, con lo que lo activas, descargándote el «plugin»-si eres un administrador de sistemas- y lo implementas en tu web ej: Twitter, Facebook, etc.
Para los usuarios sería entrar en la configuración de sus cuentas, posteriormente en seguridad y activar la VentANA, tal y como se hace con el 2FA de Google.
Google Autentjication
Una vez aquí, depende de si se quiere la VentANA cerrada.
VentANA Cerrada
Con lo que si alguien tuviese tu usuario y contraseña, no podría entrar en tu cuenta, en este caso, a la administración de SoftCrim para escribir, borrar, crear usuarios, etc.
Login fallido en la administración de SoftCrim por usar 2FA
Y por supuesto, si abres la VentANA, puede entrar cualquiera.
La VentANA está abierta
Y como es de esperar, te dejará entrar.
Login pasado con éxito
A esto le faltaría la PersiANA, con lo que si accediese desde mi equipo de confianza, aunque tenga la Ventana Abierta y la PersiANA bajada, yo podría entrar sin problemas.
Ahora bien, en el caso de que perdiese dicho equipo de confianza, solo haría falta escribirnos un correo y nosotros desbloquearlo para que pudieses entrar y cambiar la contraseña. Además si te robase el equipo y supiese la contraseña de tu equipo, con la herramienta ANA y dentro de esta herramienta, con la VentANA, solamente podría abrir y cerrar la ventana, ya que nosotros no guardamos ningún dato del usuario, su funcionamiento es mediante consultas con el servidor. En el siguiente mapa conceptual quedará más claro.
Funcionamiento VentANA
Estamos dando un paso hacía adelante en cuanto a seguridad, y estamos contentos que después de todo el trabajo realizado en más de un año que llevamos con SoftCrim abierto, se empiece a notar todo el trabajo ahora.
Hasta la Póxima entrada