iPhone consigue seguridad de nivel empresarial con tecnología RSA

23 Jul 2009 en Software

Esta misma semana, RSA acaba de liberar su producto RSA SecurID Token for iPhone. SecurID Token estaba ya disponible en forma no oficial en el iPhone App Store (el Web Shop para venta de aplicaciones iPhone de Apple) desde hace un mes, aunque no era fácil de encontrar.
El producto ofrece el token de software de one time password de RSA al iPhone y autenticación de factor doble para los servicios protegidos. Un producto similar está ya en el mercado para otros smartphones como BlackBerry, sistemas basados en Windows Mobile y teléfonos Java. RSA desarrolló el token de software también para los teléfonos Brew de Verizon.
En la mayoría de las infraestructuras de IT se utiliza esta tecnología para la autorización de acceso a VPN y algunas empresas usuarias han creado VPNs específicas para mobilidad. Esto último, según Rachael Stockton, gerente de marketing de producto en RSA, es ya una tendencia.
La ejecutiva entiende que “cuando el uso de una VPN mobile se intensifica, cambia la categoría del hardware. La gente comienza a usar sus smartphones como si fueran mini computadoras.”
Si bien iPhone es un producto muy orientado a consumidores, también está penetrando en la empresa. Esto se debe a que, cada vez más, los hábitos personales van construyendo una parte de la cultura empresarial. La influencia de los usuarios finales es cada vez mayor en las compras de tecnología de las empresas. Según Stockton, ya existe presión sobre los departamentos de IT para que den soporte a iPhone.
Otra ventaja que plantea RSA es la del costo: los tokens por software son más económicos que los de hardware. Su envío vía e-mail y su reemplazo en caso de pérdida, casi no tienen costo. Aunque se extravíe una BlacBerry o iPhone, el departamento de IT puede revocar el token por software y reingresarlo al pool de uso. De todos modos, por ahora esta ventaja posiblemente no sea percibida en plenitud, ya que RSA vende más tokens por hardware que por software.
¿Cómo funciona el token por software? El password por única vez (one time password) es un sistema que se compone de un elemento básico o “semilla” (seed), un algoritmo y un registro del tiempo (time stamp). Esta semilla se almacena en el dispositivo móvil y detrás del firewall en el servidor de autenticación, en este caso RSA Authentication Manager.
Esta password por única vez se basa en un registro de tiempo, cambiando cada 60 segundos en el token o en el iPhone. Esto, según la gente de RSA, es más seguro que los tokens basados en eventos, los cuales cambian cada vez que son utilizados. Eso es porqué, si un phisher consigue un token basado en eventos, podrá tener tiempo para usarlo mientras el usuario legítimo no lo haga.
La autenticación toma unos segundos. Si los 60 segundos permitidos expiran mientras que el usuario está ingresando el código, IT puede programar al sistema para darle un poco más de tiempo o pasar al modo “next token code.” El producto utiliza encriptado AES de 128-bit y necesita la versión más reciente de iTunes.