¿En que sistemas de autenticación se requiere el cambio anual de contraseñas?


En el día de ayer, nos preguntábamos retóricamente: ¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD? En esta entrada se trataba de realizar un breve análisis sobre si los mecanismos de identificación y autenticación de las entidades financieras en los accesos de los clientes a la banca online.

Así también nos centrábamos en lo que es la contraseña (y la consiguiente obligación de cambiarla, al menos una vez al año). Pero ¿cuál es su definición en el RLOPD? La encontramos en su artículo 5.2.c:

información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.

Ahora os propongo el siguiente supuesto de hecho: Tenemos una entidad que, para acceder a sus sistemas de información, utiliza, para la identificación y autenticación de sus usuarios, una smart card o tarjeta inteligente, es decir, una tarjeta en la que se incluye una certificado electrónico.  Como no queremos  aburrir al lector sobre el cifrado asimétrico, la firma electrónica y demás, me voy a remitir a la Wikipedia.

Bien, para la autenticación en este sistema, es necesario la tarjeta inteligente y  el  PIN. En este punto nos preguntamos:

1.- ¿Consideramos a ese PIN como una contraseña? Si esto es así y según el RLOPD, ¿debemos cambiar ese PIN al menos anualmente?

2.- Por el contrario, ¿no consideramos al PIN como una contraseña según el RLOPD?

 Si observamos estrictamente el RLOPD y su concepto de contraseña, deberíamos cambiar al menos anualmente el PIN de la tarjeta inteligente. No obstante, estimamos que el espíritu de esta norma no es ese.

Así, entendemos que el Reglamento, cuando hace mención a la obligación del cambio anual de contraseñas, lo hace cuando EXCLUSIVAMENTE se utilice ese método para la autenticación.

En el supuesto que hemos planteado, no se utiliza únicamente la contraseña (PIN) para la autenticación, sino que tenemos otro elemento, la tarjeta. Por tanto, necesitamos los dos elementos para la autenticación y si falla alguno de ellos, la autenticación no sería posible.

En resumen, el cambio anual de contraseña sería aplicable cuando se utiliza un sistema de autenticación de un sólo factor, mientras que cuando se utilizan un mecanismo de seguridad más robusto,  como una autenticación de más de un factor (tarjeta + PIN, huella dactilar + PIN, datos biométricos+tarjeta+PIN), este cambio no sería necesario

¿Que opináis?

Autores:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Arkaitz Gamino

Consultor – auditor en Seguridad

www.arkaitzgamino.com

Twitter: @arkaitzgamino 

Linkedin: Arkaitz Gamino

3 comentarios sobre “¿En que sistemas de autenticación se requiere el cambio anual de contraseñas?

  1. Efectivamente estoy totalmente de acuerdo contigo en que la idetificación y autenticacón de un usuario de banca on line realizada a través de sistemas de autenticación de al menos 2 factores es má que suficiete para el cumplimiento de lo determinado en el Reglamento de la LOPD. El riesgo de violacón con el empleo de “algo que tengo y algo que se” es mucho menor que usar sistemas basados unicamene en “algo que se”.

    1. Gracias Talía por dar tu punto de vista. No obstante, y cómo comentábamos en la entrada, una interpretación literal del Reglamento nos lleva a cambiar el pin de acceso, al menos, una vez al año.

  2. Pingback: Rlopd | TagHall

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.