Desarrollo de apps seguras: El proceso de login, clave para dar seguridad al usuario

04-03-2017
 
Login

Login

Cada mes aparecen nuevos asaltos o bugs de seguridad a páginas web de referencia. La última fue CloudFlare, servicio usado por millones de web(Yo mismo uso este servicio) y que debido a un bug pudo dejar al descubierto gran cantidad de información, incluidos passwords. Anteriormente tenemos casos como los de Dropbox, Linkedin, etc.

Cada vez es mas complicado saber si una contraseña ha sido comprometida o no y utilizar un patrón para generar contraseñas tampoco es la solución. Partiendo de esta premisa es muy importante dar herramientas para proteger el login del usuario.

Aquí voy a recopilar algunas maneras para hacer el login del usuario mas seguro protegiendo al usuario(Y a la compañía). El usuario es siempre el la pieza mas débil y ayudarlo a estar mas seguro tiene un impacto muy grande en la seguridad global del negocio. Estos sistemas ya están siendo usado por muchos proveedores:

Mostrar los datos de la última conexión

Es una solución muy fácil de implementar y puede hacer saltar la alarma si el usuario no es el responsable de el último login. Tener un historial con la fecha, hora, IP, datos del sistema operativo y navegador puede resultar muy útil a la hora de hacer exámenes forenses o hacer sonar la alarma cuando algo raro pasa.

Enviar mail cuando se hace login desde un nuevo dispositivo

Guardando una cookie en el navegador podemos saber si es la primera vez que se hace login en un determinado dispositivo. Avisar por mail al propietario de la cuenta cada vez que se hace un nuevo login aporta una seguridad extra.

Doble login

Algo mas complejo de implementar, pero que a veces vale la pena, es habilitar el doble login. Es decir, que cuando se hace login desde un dispositivo se deba validar por otro medio, lo mas habitual, a través de un mensaje al teléfono móvil del usuario.

Alertas predictivas

Esta solución ya es de segundo curso, pero con suficientes datos de login del usuario es posible crear modelos que detecten anomalías y permitan levantar alarmas de un uso ‘raro’ del servicio. Un simple sistema de machine learning puede ejercer como vigilante y ahorrarnos un disgusto.

Leave a Reply

© Albert Coronado Calzada