Módulos de reautenticación para el servidor de autenticaciones Keycloak

Contenido principal del artículo

Daicy Patricia Duarte Paiva

Resumen

En estos días, proteger los recursos del acceso no autorizado es primordial. Actualmente el control de acceso a recursos se realiza en base a roles (RBAC, por sus siglas en inglés) y permisos otorgados al usuario, lo cual no garantiza que sean accedidos so´ lo por personas autorizadas. La  propuesta  de  este  trabajo  es  agregar  una  capa  más de seguridad al control de acceso en  función del nivel de autenticación del usuario (en base al nivel de seguridad del autenticador definido por el NIST (Instituto Nacional de Estándares y Tecnología), es decir, un usuario puede tener un nivel de autenticación para visualizar datos, pero no así para editar datos, para realizar esta acción se requiere un nivel  de  autenticación  mayor, por  ejemplo un  autenticador basado en  hardware. Para lograr esto, fueron desarrollados nuevos módulos para el servidor de autenticaciones Keycloak, a fin de enviar información a la Relying Party (RP) sobre el tipo de autenticador utilizado por el usuario al momento de iniciar sesión, y a partir del dicho dato, solicitar la reautenticación del usuario en caso de que el nivel de autenticación no sea suficiente para acceder al recurso o realizar una determinada acción.

Descargas

Los datos de descargas todavía no están disponibles.

Detalles del artículo

Cómo citar
Duarte Paiva, D. P. . (2021). Módulos de reautenticación para el servidor de autenticaciones Keycloak. Revista Sobre Estudios E Investigaciones Del Saber académico, (15), e2021001. Recuperado a partir de http://publicaciones.uni.edu.py/index.php/rseisa/article/view/289
Sección
Artículos de investigación

Citas

Adobe Blog. (2013, Marzo). A. Blog. Retrieved from Important customer security announcement : https://theblog.adobe.com/important-customer- security-announcement

Bonneau, J., Herley, C., Van Oorschot, P. C., & Stajano, F. (2012). “The quest to replace passwords: A framework for comparative evaluation of web authentication schemes,” in Security and Privacy (SP). Symposium on. IEEE, 2012, 553–567.

De Carné de Carnavalet, X., & Mannan, M. (2014). From Very Weak to Very Strong: Analyzing Password-Strength Meters. Network And Distributed System Security Symposium, 23-26.

Equifax. (2017). Consumer Notice. Retrieved from 2017 Cybersecurity Incident & Important Consumer Information: https://www.equifaxsecurity2017.com/consumer-notice/

Grassi, P. A., Fenton Elaine, J., Newton, L. M., Perlner, R. A., Regenscheid, A. R., Burr, W. E., . . . Theofanos, M. F. (2017). Digital identity guidelines: authentication and lifecycle management. Gaithersburg: National Institute of Standards and Technology Special Publication 800-63B. Retrieved from https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf

Grassi, P. A., Garcia, M. E., & Fenton, J. L. (2017 ). Digital identity guidelines: revision 3. Gaithersburg. Retrieved from https://nvlpubs.nist. gov/nistpubs/SpecialPublications/NIST.SP.800-63- 3.pdf

Gressin, S. (2017, setiembre 8). Federal Trade Comission. Consumer Information. Retrieved from The Equifax Data Breach: What to Do, Federal Trade Commission, Washington, DC : www.consumer.ftc.gov/blog/2017/09/equi fax-data-breach-what-do

Grosse, E., & Upadhyay, M. (2013). Authentication at scale. IEEE Security and Privacy, 11(1), 15–22.

ISO/IEC, “. 2. (2013). Information technology — Security techniques — Information security management systems.

Keycloak. (2019a). Keycloak. Retrieved from Open Source Identity and Access Management For Modern Applications and Services: https://www.keycloak.org/

Keycloak. (2019b, Junio 15). Keycloak. Retrieved from documentation: https://www.keycloak.org/documentation.html

McCallister, E., Grance, T., & Ken, K. (2010). “Guide to protecting the confidentiality of personally identifiable information (PII),. Special Publication 800-122 Guide, 1–59.

Risk based Security. (2019). 2019 midyear quickview data breach report. Cyber Risk Analytics, 1-14.

Stamp, M. (2011). Information security: principles and practice. (Second ed.). Wiley.

Trautman, L. J., & Ormerod, P. C. (2016.). Corporate Directors' and Officers' Cybersecurity Standard of Care: The Yahoo Data Breach. American University Law Review, 66(5), 1232-1291. Retrieved from https://digitalcommons.wcl.american.edu/aulr/vol66/iss5/3