¿En que sistemas de autenticación se requiere el cambio anual de contraseñas?


En el día de ayer, nos preguntábamos retóricamente: ¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD? En esta entrada se trataba de realizar un breve análisis sobre si los mecanismos de identificación y autenticación de las entidades financieras en los accesos de los clientes a la banca online.

Así también nos centrábamos en lo que es la contraseña (y la consiguiente obligación de cambiarla, al menos una vez al año). Pero ¿cuál es su definición en el RLOPD? La encontramos en su artículo 5.2.c:

información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.

Ahora os propongo el siguiente supuesto de hecho: Tenemos una entidad que, para acceder a sus sistemas de información, utiliza, para la identificación y autenticación de sus usuarios, una smart card o tarjeta inteligente, es decir, una tarjeta en la que se incluye una certificado electrónico.  Como no queremos  aburrir al lector sobre el cifrado asimétrico, la firma electrónica y demás, me voy a remitir a la Wikipedia.

Bien, para la autenticación en este sistema, es necesario la tarjeta inteligente y  el  PIN. En este punto nos preguntamos:

1.- ¿Consideramos a ese PIN como una contraseña? Si esto es así y según el RLOPD, ¿debemos cambiar ese PIN al menos anualmente?

2.- Por el contrario, ¿no consideramos al PIN como una contraseña según el RLOPD?

 Si observamos estrictamente el RLOPD y su concepto de contraseña, deberíamos cambiar al menos anualmente el PIN de la tarjeta inteligente. No obstante, estimamos que el espíritu de esta norma no es ese.

Así, entendemos que el Reglamento, cuando hace mención a la obligación del cambio anual de contraseñas, lo hace cuando EXCLUSIVAMENTE se utilice ese método para la autenticación.

En el supuesto que hemos planteado, no se utiliza únicamente la contraseña (PIN) para la autenticación, sino que tenemos otro elemento, la tarjeta. Por tanto, necesitamos los dos elementos para la autenticación y si falla alguno de ellos, la autenticación no sería posible.

En resumen, el cambio anual de contraseña sería aplicable cuando se utiliza un sistema de autenticación de un sólo factor, mientras que cuando se utilizan un mecanismo de seguridad más robusto,  como una autenticación de más de un factor (tarjeta + PIN, huella dactilar + PIN, datos biométricos+tarjeta+PIN), este cambio no sería necesario

¿Que opináis?

Autores:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Arkaitz Gamino

Consultor – auditor en Seguridad

www.arkaitzgamino.com

Twitter: @arkaitzgamino 

Linkedin: Arkaitz Gamino

Anuncios

3 Responses to “¿En que sistemas de autenticación se requiere el cambio anual de contraseñas?”


  1. 1 Talía Besga 27/12/2011 en 10:58

    Efectivamente estoy totalmente de acuerdo contigo en que la idetificación y autenticacón de un usuario de banca on line realizada a través de sistemas de autenticación de al menos 2 factores es má que suficiete para el cumplimiento de lo determinado en el Reglamento de la LOPD. El riesgo de violacón con el empleo de “algo que tengo y algo que se” es mucho menor que usar sistemas basados unicamene en “algo que se”.

    • 2 Administrador 27/12/2011 en 11:35

      Gracias Talía por dar tu punto de vista. No obstante, y cómo comentábamos en la entrada, una interpretación literal del Reglamento nos lleva a cambiar el pin de acceso, al menos, una vez al año.


  1. 1 Rlopd | TagHall Trackback en 23/02/2012 en 13:20

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

  • Mi compañero Jesús escribiendo sobre "Competencia respecto al Esquema de Certificación AEPD-DPD" ow.ly/Bkx230fDae5 2 weeks ago
  • Ojeando Esquema Certificación de DPO de la AEPD, me pregunto: ¿En base a que competencia la AEPD crea ese Esquema? Yo no veo ninguna.... 2 weeks ago

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: