Autenticación y Control de Acceso
La autenticación verifica la identidad de una parte, y el control de acceso decide qué puede hacer esa parte; juntos son los guardianes que aplican la política de seguridad en todo sistema multiusuario.
Definition
La autenticación es el proceso de establecer confianza en una identidad declarada, mientras que el control de acceso es la aplicación de reglas que determinan qué sujetos autenticados pueden realizar qué operaciones sobre qué recursos.
Scope
Este tema abarca la verificación de identidad (contraseñas, autenticación multifactor, biometría, credenciales criptográficas, inicio de sesión único) y los modelos y mecanismos de autorización (listas de control de acceso, capacidades, control de acceso basado en roles y basado en atributos, el principio de privilegio mínimo). Aborda la identidad federada y protocolos como OAuth y SAML. Excluye las primitivas criptográficas subyacentes a las credenciales y los controles de capa de red tratados en seguridad de red.
Core questions
- ¿Cómo puede un sistema verificar de forma fiable que una parte es quien dice ser?
- ¿Cuáles son las compensaciones entre los factores de autenticación de conocimiento, posesión e inherencia?
- ¿Cómo expresan y aplican la política los modelos de control de acceso (DAC, MAC, RBAC, ABAC)?
- ¿Cómo se aplica en la práctica el principio de privilegio mínimo?
- ¿Cómo se federa la identidad entre organizaciones a través del inicio de sesión único?
Key concepts
- factores de autenticación
- autenticación multifactor
- contraseñas y almacenamiento de credenciales
- biometría
- listas de control de acceso y capacidades
- control de acceso basado en roles (RBAC)
- control de acceso basado en atributos (ABAC)
- privilegio mínimo
- inicio de sesión único e identidad federada
Key theories
- Factores de autenticación y autenticación multifactor
- La identidad se verifica por algo que se sabe (contraseña), se tiene (token o teléfono) o se es (biométrico); la combinación de factores independientes eleva en gran medida la barrera contra el robo de credenciales, ya que comprometer un factor es insuficiente.
- Modelos de control de acceso y privilegio mínimo
- La autorización se estructura a través de modelos —control de acceso discrecional y obligatorio, basado en roles (RBAC) y basado en atributos (ABAC)— que, guiados por el privilegio mínimo, otorgan a cada sujeto solo los derechos que necesita, limitando el daño de un compromiso.
Mechanisms
Los mecanismos de autenticación verifican un factor: comparando un hash de contraseña con "sal", validando un código de un solo uso o una firma de token de hardware, o haciendo coincidir una plantilla biométrica. La autenticación criptográfica (certificados de clave pública, FIDO2/WebAuthn) demuestra la posesión de una clave privada sin enviar un secreto. La autorización consulta entonces una política: las listas de control de acceso adjuntan permisos a los recursos, las capacidades los adjuntan a los sujetos, y RBAC/ABAC calculan decisiones a partir de roles o atributos. Los protocolos de identidad federada (OAuth, OIDC, SAML) permiten que un proveedor dé fe de un usuario a muchos servicios.
Clinical relevance
La autenticación y el control de acceso son donde la mayoría de los ataques reales tienen éxito o fracasan: las contraseñas robadas o susceptibles de phishing causan la gran mayoría de las filtraciones, razón por la cual la autenticación multifactor y las claves de acceso resistentes al phishing (WebAuthn) son ahora fuertemente recomendadas. RBAC rige los permisos en empresas y plataformas en la nube, y el inicio de sesión único (inicios de sesión de Google, Microsoft) moldea la experiencia diaria del usuario y sus riesgos de seguridad.
Evidence & guidelines
NIST SP 800-63 (Directrices de Identidad Digital) define los niveles de garantía de autenticación y la guía moderna de contraseñas (favoreciendo la longitud y la verificación de filtraciones sobre la complejidad forzada). RBAC está estandarizado como INCITS 359, y FIDO2/WebAuthn proporciona autenticación resistente al phishing. OAuth 2.0 (RFC 6749) y OpenID Connect estandarizan la autorización y autenticación federadas.
History
El control de acceso se remonta a los primeros sistemas de tiempo compartido, con la matriz de control de acceso de Lampson y el modelo obligatorio de Bell-LaPadula formalizándolo en la década de 1970. El control de acceso basado en roles fue formalizado por Sandhu y sus colegas en 1996 y se convirtió en el estándar empresarial. La autenticación evolucionó desde las contraseñas a través de tokens de hardware y contraseñas de un solo uso hasta las claves de acceso multifactor y resistentes al phishing de hoy, mientras que la identidad federada (SAML, luego OAuth/OIDC) permitió el inicio de sesión único a escala web.
Key figures
- Ravi Sandhu
- Ross Anderson
- Jerome Saltzer
- Butler Lampson
- Roger Needham
Related topics
Seminal works
- anderson2020
- sandhu1996
- saltzer1975
Frequently asked questions
- ¿Por qué se recomienda tan encarecidamente la autenticación multifactor?
- Las contraseñas por sí solas son robadas rutinariamente a través de phishing, reutilización y filtraciones de bases de datos. Requerir un segundo factor independiente (un dispositivo o biométrico) significa que una contraseña robada no es suficiente para iniciar sesión, bloqueando la gran mayoría de los ataques de toma de control de cuentas.
- ¿Cuál es la diferencia entre RBAC y ABAC?
- El control de acceso basado en roles otorga permisos a través de roles asignados a los usuarios, lo cual es sencillo de administrar. El control de acceso basado en atributos toma decisiones a partir de atributos del usuario, el recurso y el contexto (como la hora o la ubicación), lo que proporciona políticas más granulares y dinámicas a costa de una mayor complejidad.