Módulo de Seguridad

Dada la naturaleza inevitable y tendencia creciente de amenazas y ataques de seguridad, es de vital importancia que todo software disponga de un conjunto de medidas de refuerzo y prevención de fallos de seguridad y vulnerabilidades, que puedan poner en riesgo la aplicación y por ende, la privacidad del usuario.

A continuación se presenta en detalle cada una de las medidas y funcionalidades que integran el Módulo de Seguridad extendido para WOCU Monitoring.

Cambio de contraseñas forzado

En la creación o restablecimiento de cuentas de usuario, se generan unas contraseñas iniciales que son únicamente válidas en el primer inicio de sesión del usuario. Tras este, el sistema obliga al cambio de contraseña.

El proceso es muy sencillo, el usuario debe ingresar primero la contraseña inicial proporcionada para poder definir seguidamente una nueva, imitando un patrón preestablecido para cumplir con la Política de contraseñas estricta aplicada. Por último, habrá que introducir de nuevo esta nueva credencial como confirmación de la misma.

Si la contraseña cumple con los requisitos solicitados, la acción será verificada y se permitirá al usuario acceder al interfaz de inicio de la herramienta, mediante el botón Go to Dashboard.

../../_images/6_001_security-module_change-initial-password_0-43.jpg

Attention

Si no se efectúa el cambio inicial de contraseña forzado, la cuenta de usuario asociada se mantiene deshabilitada. Con esta medida es posible la creación automática de usuarios de una forma totalmente segura.

Política de contraseñas estricta

Como medida de refuerzo de seguridad y protección de la herramienta, se emplea una política de contraseñas estricta constituida por las siguientes medidas de control:

../../_images/6_002_security-module_change-password_0-43.jpg

✓ Cada contraseña tiene una validez máxima permitida de 90 días.

Asimismo, a través de una tarea de expiración de usuarios ejecutada periódicamente, se identificarán y bloquearán las cuentas de usuarios inactivas que no hayan iniciado sesión durante un periodo de tiempo determinado (este es valor es configurable).

Luego los usuarios que superen al menos una de las restricciones de tiempo marcadas, quedarán deshabilitados en WOCU.

✓ En el cambio de contraseñas:

  • Comprobación de la propuesta contra un diccionario de contraseñas no recomendables. Si existe coincidencia, esta será denegada por el sistema.
  • Comprobación de la propuesta contra un histórico de contraseñas para evitar su reutilización y repetición. Si existe coincidencia, esta será denegada por el sistema.

✓ Requisitos mínimos en la construcción de contraseñas:

  • Se prohíbe la utilización de más de dos caracteres idénticos de forma sucesiva.
  • La contraseña no podrá ser idéntica al nombre de usuario de la cuenta.
  • Longitud mínima de 8 caracteres.
  • Debe contener al menos 2 de cada uno de los siguientes elementos: mayúsculas, minúsculas, números y caracteres especiales (no alfanuméricos).

Las contraseñas deben cumplir y superar todos los requisitos de complejidad estipulados, considerados esenciales para mitigar cualquier amenaza de seguridad existente.

Reseteo de contraseñas

Disponibilidad de un portal independiente para restablecer contraseñas por parte del propio usuario (independientemente de su rol). Este portal estará accesible desde la barra superior de navegación, en el menú desplegable del usuario (con el que se ha accedido al sistema) aparecerá la nueva opción Change Password, tal como se muestra en la siguiente imagen:

../../_images/6_003_security-module_main-menu-user_0-43.jpg

Para proceder al reseteo de la contraseña, es necesario insertar la contraseña antigua y dos veces la nueva como medida de confirmación. Recuerda que debe cumplir con la Política de contraseñas estricta estipulada.

../../_images/6_004_security-module_view-change-password_0-43.jpg

Captchas

Inserción de esta tecnología de verificación de usuarios, a fin de limitar la capacidad de los atacantes de ingresar en el interfaz utilizando medios automáticos.

Este recurso permanecerá fijo en la página de ingreso a la herramienta, ubicado a continuación de la solicitud de credenciales de acceso del usuario. Siempre que se inicie una nueva sesión, el usuario debe superar dicha prueba. El desafío consiste en escribir las letras ofuscadas mostradas en la imagen.

../../_images/6_005_security-module_view-captchas_0-43.jpg

Note

Aunque el sistema usa un captcha básico, la implementación permite el uso del recaptcha de Google.

Bloqueo de cuentas ante sucesivos intentos fallidos

Capacidad de monitorización de los intentos de acceso al interfaz y prevención de ataques de fuerza bruta cuando se excede un límite de intentos permitidos previamente configurado. Se controlarán los intentos de acceso por dirección IP, nombre de usuario, user agent, o por una combinación de ambos.

Cuando se supere el límite de intentos fallidos sucesivos, la cuenta quedará bloqueada automáticamente durante al menos 20 minutos. Solo el Administrador de la plataforma podrá habilitar/deshabilitar el bloqueo de cuentas de usuarios.

../../_images/6_006_security-module_account-locked-info_0-43.jpg

La información de estas actividades persistirá en la base de datos, posibilitando la realización de auditorías o reenvío de los eventos registrados a otros sistemas.

Important

El número de intentos fallidos y el tiempo de deshabilitación de la cuenta bloqueada, son totalmente configurables.

Adicionalmente, habiendo ya accedido a la herramienta, se incluye nuevos datos en las siguientes vistas informativas:

../../_images/6_007_security-module_main-menu-options_0-43.jpg
  • Login Information: esta vista solo está accesible para Administradores e incluye la siguiente información:

    • Cuentas conectadas que han iniciado sesión en ese mismo momento: mostrando datos identificativos de la cuenta, sesiones totales y último ingreso satisfactorio a la aplicación.
    • Antecedentes de intentos fallidos: especificando usuario y las marcas de tiempo de los intentos erróneos.
../../_images/6_008_security-module_login-info_0-43.jpg
  • User Login Information: esta vista está accesible para el usuario que ha ingresado a la aplicación e incluye la siguiente información:

    • Datos identificativos de la cuenta de usuario registrada en WOCU.
    • Histórico de intentos fallidos desde el último inicio de sesión satisfactorio.
../../_images/6_009_security-module_user-login-info_0-43.jpg

Reutilización de contraseñas

Como se indica en la Política de contraseñas estricta aplicada, existe un histórico de hashes (identificadores únicos e irrepetibles) para la comprobación durante el cambio de contraseñas.

Se trata de una medida de prevención ante la reutilización y repetición de contraseñas usadas previamente en una cuenta. Por lo tanto, si existe coincidencia entre algún elemento del histórico y la contraseña propuesta, esta será denegada por el sistema.

Note

El número de contraseñas por usuario que se salvan en el historial es configurable. El sistema establece 12 por defecto.

Control de sesiones

El Módulo de Seguridad no permite la reutilización de tokens de sesión, como impedimento del filtrado de sesiones. Como contraposición WOCU actúa de la siguiente manera:

✓ Se registra la dirección IP y la firma del navegador por cada inicio de sesión en la plataforma.

✓ Se comprueba que el token de sesión utilizado por un usuario, pertenece a la misma dirección IP y firma de navegador registradas.

✓ Si un atacante usa el mismo token de sesión utilizando otra dirección IP o navegador web, la sesión queda automáticamente invalidada para dicho atacante.

../../_images/6_010_security-module_control-sesions_0-43.jpg

Estas comprobaciones evitan que en caso de que la sesión de un usuario sea obtenida, por ejemplo, mediante un ataque man in the middle a una conexión sin cifrar, esta no pueda ser reutilizada desde una dirección IP distinta, ni desde un User-Agent distinto. Ante la reutilización de esta, la sesión vulnerada en cuestión es invalidada de inmediato.

Segundo factor de autenticación

Por último, este módulo incluye la posibilidad de integrar mecanismos de doble factor de autenticación, previa instalación de la aplicación Google Authenticator o alguna análoga que soporte el protocolo TOTP. Básicamente, este mecanismo de seguridad permite establecer un reto adicional a la contraseña y al captcha durante el inicio de sesión.

La configuración de dicha funcionalidad se llevará a cabo desde un nuevo portal independiente llamado Two Factor Authentication, accesible desde la barra superior de navegación, en el menú desplegable del usuario (con el que se ha accedido al sistema), como se muestra en la siguiente imagen:

../../_images/6_011_security-module_second-factor-option_0-44.jpg

Una vez dentro del portal de configuración, se habilitará la funcionalidad haciendo uso de la opción Enable Two-Factor Authentication.

../../_images/6_012_security-module_second-factor_account-enable_0-44.jpg

En la siguiente vista habrá que confirmar nuevamente la habilitación de este mecanismo, haciendo clic en el botón Next. Podemos revocar la acción retrocediendo a la vista anterior mediante el botón Back o cancelar el proceso haciendo clic en Cancel.

../../_images/6_013_security-module_second-factor_account-enable_0-44.jpg

A continuación, se accederá a una nueva ventana donde habrá que escanear (con la aplicación Google Authenticator o alguna análoga que soporte el protocolo TOTP) el código QR mostrado.

Una vez escaneado, la aplicación devolverá automáticamente un código que el usuario debe ingresar en el campo Token.

../../_images/6_014_security-module_second-factor_account-qr_0-44.jpg

Validada la acción, el segundo factor quedará habilitado correctamente para el usuario en cuestión.

../../_images/6_015_security-module_second-factor_account-confirmation_0-44.jpg

Aunque no es estrictamente necesario, se recomienda a los usuarios guardar tokens de un solo uso, que podrán introducir en caso de que hayan perdido el acceso a su dispositivo móvil. Para ello, habilitado el segundo factor de autenticación, dentro de la vista Account Security en la sección Backup Tokens, habrá que seleccionar la opción Show Codes para acceder al listado completo de tokens de un único uso, útil como método de respaldo.

Attention

Recuerda copiar en un lugar seguro el código para su futuro uso.

../../_images/6_016_security-module_second-factor_account-backup_0-44.jpg

Finalizada la configuración, una vez el usuario acceda nuevamente en la herramienta e ingrese sus credenciales de acceso y supere el captcha, deberá introducir el token generado en su dispositivo móvil o el token backup de un único uso.

../../_images/6_017_security-module_second-factor_account_0-44.jpg

Por último, desde la vista Account Security, sección Disable Two-Factor Authentication, es posible deshabilitar este mecanismo de seguridad. Para ello, habrá que marcar la casilla Yes, I am sure y confirmar la acción haciendo clic en el botón Disable.

../../_images/6_018_security-module_second-disable_0-44.jpg

Módulo adicional y cómo contratarlo

El Módulo de Seguridad no se distribuye por defecto en WOCU, este viene incluido en la versión Platinium.

Está destinado a clientes con determinadas necesidades de seguridad. Si es su caso, contacte con nuestro Equipo Comercial en sales@a3sec.com y resolverán todas sus dudas.

Limitaciones del Módulo de Seguridad

Actualmente, el Módulo de Seguridad no incluye soporte para autenticación delegada como LDAP o Active Directory. Por tanto, dicho módulo no podrá ser usado en conjunto con el módulo de autenticación delegada que también provee WOCU.