by Andrés González » Thu Feb 10, 2011 7:41 pm
Hola Felix, como te he comentado ahora queremos modificar el sistema de seguridad en las contraseñas motivado por la ley de protección de datos. El sistema clásico de encriptar y desencriptar las contraseñas en una base de datos no es suficiente, ya que es un sistema poco fiable puesto que dicha contraseña la pueden averiguar de forma fácil, ya sea con los medios clásicos o por descuido de los usuarios. Necesitamos un sistema similar al que has mencionado, pero claro, hay que valorar la cuestión de costes (los llaveros son caros). Estoy valorando sistemas como la confirmación de una segunda clave OTP que pueden recibir en su email, móvil o por web, con caducidad diaria o posibilidad de regenerarla. Es una forma de asegurar que el usuario sea el correcto, ya que solo él recibe la contraseña OTP en su email y puede ser incluso una clave difícil de memorizar puesto que se puede usar el copiar y pegar. De esta forma tienen que averiguar dos contraseñas, la privada y la OTP. Por otra parte quiero evitar la posibilidad de prueba/error de las contraseñas de los programas y enviar mensajes a los administradores, identificando al usuario de dominio, el usuario del programa, el ordenador, la fecha y la hora, en caso de que fallen los tres intentos de la clave. Igualmente, tanto el usuario de dominio como el del programa, tienen que recibir ese mismo mensaje para que ellos mismos controlen que han hecho accesos incorrectos sin su consentimiento. Igual me complico mucho pero no se me ocurre otro sistema. Voy a echar un vistazo a los links que me dices y te comento.
Saludos
Andrés González desde Mallorca