Glosario 4 - IAM
135
Factores
En el diseño de autenticación, se utilizan diferentes tecnologías para implementar la autenticación, como la de conocimiento, la de propiedad/token y la biométrica/inherencia. Estas se caracterizan por algo que se sabe/tiene/es.
136
Número de Identificación Personal (PIN)
Un número que se utiliza junto con dispositivos de autenticación como tarjetas inteligentes; dado que el PIN solo debe ser conocido por el usuario, la pérdida de la tarjeta inteligente no debería representar un riesgo de seguridad.
137
Mejores prácticas de contraseñas
Reglas que rigen la selección y el mantenimiento seguros de secretos de autenticación de factores de conocimiento, como la longitud, la complejidad, la antigüedad y la reutilización.
138
Políticas de cuenta
Un conjunto de reglas que rigen la información de seguridad del usuario, como la caducidad y la unicidad de la contraseña, que se pueden configurar globalmente.
139
Administrador de contraseñas
Software que puede sugerir y almacenar contraseñas de sitios web y aplicaciones para reducir los riesgos derivados de malas decisiones y comportamientos del usuario. La mayoría de los navegadores tienen un administrador de contraseñas integrado.
140
Autenticación multifactor (MFA)
Un esquema de autenticación que requiere que el usuario presente al menos dos factores diferentes como credenciales; por ejemplo, algo que sabe, algo que tiene, algo que es, algo que hace y un lugar donde se encuentra. Especificar dos factores se conoce como "2FA".
141
Autenticación biométrica
Un mecanismo de autenticación que permite a un usuario realizar un escaneo biométrico para operar un sistema de entrada o acceso. Las características físicas almacenadas como una plantilla de datos digitales pueden utilizarse para autenticar a un usuario. Entre las características típicas se incluyen el patrón facial, el iris, la retina, el patrón de huellas dactilares y el reconocimiento de firma.
142
Tasa de falso rechazo (FRR)
Una métrica de evaluación biométrica que mide el número de sujetos válidos a los que se les niega el acceso.
143
Tasa de falsa aceptación (FAR)
Una métrica de evaluación biométrica que mide el número de usuarios no autorizados a los que se les permite el acceso por error.
144
Tasa de error de cruce (CER)
Un factor de evaluación biométrica que expresa el punto en el que se encuentran la FAR y la FRR; un valor bajo indica un mejor rendimiento.
145
Token de autenticación dura
Token de autenticación generado por un criptoprocesador en un dispositivo de hardware dedicado. Dado que el token nunca se transmite directamente, implementa un factor de propiedad dentro de un esquema de autenticación multifactor.
146
Tarjetas inteligentes
Dispositivo de seguridad similar a una tarjeta de crédito que almacena información de autenticación, como la clave privada del usuario, en un criptoprocesador integrado.
147
Contraseña de un solo uso (OTP)
Contraseña generada para una sesión específica y que deja de ser válida una vez finalizada.
148
Clave de seguridad
HSM portátil con interfaz de computadora, como USB o NFC, utilizado para la autenticación multifactor.
149
Token de autenticación blanda
OTP enviada a un número registrado o cuenta de correo electrónico, o generada por una aplicación de autenticación, como medio de verificación en dos pasos al autenticar el acceso a la cuenta.
150
Sin contraseña
Esquema de autenticación multifactor que utiliza factores de propiedad y biométricos, pero no factores de conocimiento.
151
Atestiguación
Capacidad de un autenticador u otro módulo criptográfico para demostrar que es una raíz de confianza y puede proporcionar informes fiables que demuestran que un dispositivo o computadora es una plataforma confiable.
152
Permisos
Configuración de seguridad que controla el acceso a objetos, incluyendo elementos del sistema de archivos y recursos de red.
153
Control de acceso discrecional (DAC)
Modelo de control de acceso donde cada recurso está protegido por una lista de control de acceso (ACL) administrada por el propietario (o propietarios) del recurso.
154
Control de acceso obligatorio (MAC)
Modelo de control de acceso donde los recursos están protegidos por reglas inflexibles definidas por el sistema. A los recursos (objetos) y usuarios (sujetos) se les asigna un nivel de autorización (o etiqueta).
155
Control de acceso basado en roles (RBAC)
Modelo de control de acceso donde los recursos están protegidos por ACL administradas por administradores y que otorgan permisos de usuario según las funciones del puesto.
156
Cuenta de grupo
Una cuenta de grupo es un conjunto de cuentas de usuario que resulta útil para establecer permisos de archivos y derechos de usuario, ya que, cuando muchas personas necesitan el mismo nivel de acceso, se puede establecer un grupo que contenga a todos los usuarios relevantes.
157
Control de acceso basado en atributos (ABAC)
Técnica de control de acceso que evalúa un conjunto de atributos que posee cada sujeto para determinar si se le debe conceder acceso.
158
Control de acceso basado en reglas
Técnica de control de acceso no discrecional basada en un conjunto de reglas o restricciones operativas para aplicar una política de permisos con privilegios mínimos.
159
Mínimo privilegio
Principio básico de seguridad que establece que a un recurso se le deben asignar los derechos, privilegios o información mínimos necesarios para desempeñar su función.
160
Aprovisionamiento
Proceso de implementación de una cuenta, host o aplicación en un entorno de producción de destino. Esto implica comprobar la identidad o integridad del recurso y otorgarle credenciales y permisos de acceso.
161
Deprovisioning
The process of removing an account, host, or application from the production environment. This requires revoking any privileged access that had been assigned to the object.
162
security identifier (SID)
The value assigned to an account by Windows and that is used by the operating system to identify that account.
163
group policy objects (GPOs)
On a Windows domain, a way to deploy per-user and per-computer settings such as password policy, account restrictions, firewall status, and so on.
164
geolocation
The identification or estimation of the physical location of an object, such as a radar source, mobile phone, or Internet-connected computing device.
165
time-of-day restrictions
Policies or configuration settings that limit a user's access to resources.
166
Privileged access management (PAM)
Policies, procedures, and support software for managing accounts and credentials with administrative permissions.
167
NT LAN Manager (NTLM) authentication
A challenge-response authentication protocol created by Microsoft for use in its products.
168
pluggable authentication module (PAM)
A framework for implementing authentication providers in Linux.
169
directory service
A network service that stores identity information about all the objects in a particular network, including users, groups, servers, client computers, and printers.
170
Lightweight Directory Access Protocol (LDAP)
Protocol used to access network directory databases, which store information about authorized users and their privileges, as well as other organizational information.
171
distinguished name (DN)
A collection of attributes that define a unique identifier for any given resource within an X.500-like directory.
172
single sign-on (SSO)
Authentication technology that enables a user to authenticate once and receive authorizations for multiple services.
173
Kerberos
A single sign-on authentication and authorization service that is based on a time-sensitive, ticket-granting system.
174
key distribution center (KDC)
A component of Kerberos that authenticates users and issues tickets (tokens).
175
Ticket Granting Ticket (TGT)
In Kerberos, a token issued to an authenticated account to allow access to authorized application servers.
176
Federation
A process that provides a shared login capability across multiple systems and enterprises. It essentially connects the identity management services of multiple systems.
177
identity provider (IdP)
In a federated network, the service that holds the user account and performs authentication.
178
Security Assertion Markup Language (SAML)
An XML-based data format used to exchange authentication information between a client and a service.
179
Simple Object Access Protocol (SOAP)
An XML-based web services protocol that is used to exchange messages.
180
Representational
A standardized, stateless architectural style used by web applications for communication and integration.
181
State Transfer (REST)
A standardized, stateless architectural style used by web applications for communication and integration.
182
Open Authorization (OAuth)
A standard for federated identity management, allowing resource servers or consumer sites to work with user accounts created and managed on a separate identity provider.
183
JavaScript Object Notation (JSON)
A file format that uses attribute-value pairs to define configurations in a structure that is easy for both humans and machines to read and consume.
135
factors
In authentication design, different technologies for implementing authentication, such as knowledge, ownership/token, and biometric/inherence. These are characterized as something you know/have/are.
136
personal identification number (PIN)
A number used in conjunction with authentication devices such as smart cards; as the PIN should be known only to the user, loss of the smart card should not represent a security risk.
137
password best practices
Rules to govern secure selection and maintenance of knowledge factor authentication secrets, such as length, complexity, age, and reuse.
138
account policies
A set of rules governing user security information, such as password expiration and uniqueness, which can be set globally.
139
password manager
Software that can suggest and store site and app passwords to reduce risks from poor user choices and behavior. Most browsers have a built-in password manager.
140
multifactor authentication (MFA)
An authentication scheme that requires the user to present at least two different factors as credentials; for example, something you know, something you have, something you are, something you do, and somewhere you are. Specifying two factors is known as "2FA."
141
biometric authentication
An authentication mechanism that allows a user to perform a biometric scan to operate an entry or access system. Physical characteristics stored as a digital data template can be used to authenticate a user. Typical features used include facial pattern, iris, retina, fingerprint pattern, and signature recognition.
142
False Rejection Rate (FRR)
A biometric assessment metric that measures the number of valid subjects who are denied access.
143
False Acceptance Rate (FAR)
A biometric assessment metric that measures the number of unauthorized users who are mistakenly allowed access.
144
Crossover Error Rate (CER)
A biometric evaluation factor expressing the point at which FAR and FRR meet, with a low value indicating better performance.
145
hard authentication token
Authentication token generated by a cryptoprocessor on a dedicated hardware device. As the token is never transmitted directly, this implements an ownership factor within a multifactor authentication scheme.
146
Smart cards
A security device similar to a credit card that can store authentication information, such as a user's private key, on an embedded cryptoprocessor.
147
One-time password (OTP)
A password that is generated for use in one specific session and becomes invalid after the session ends.
148
Security key
Portable HSM with a computer interface, such as USB or NFC, used for multifactor authentication.
149
soft authentication token
OTP sent to a registered number or email account or generated by an authenticator app as a means of two-step verification when authenticating account access.
150
Passwordless
Multifactor authentication scheme that uses ownership and biometric factors, but not knowledge factors.
151
Attestation
Capability of an authenticator or other cryptographic module to prove that it is a root of trust and can provide reliable reporting to prove that a device or computer is a trustworthy platform.
152
permissions
Security settings that control access to objects including file system items and network resources.
153
Discretionary access control (DAC)
An access control model where each resource is protected by an access control list (ACL) managed by the resource's owner (or owners).
154
Mandatory access control (MAC)
An access control model where resources are protected by inflexible, system-defined rules. Resources (objects) and users (subjects) are allocated a clearance level (or label).
155
Role-based access control (RBAC)
An access control model where resources are protected by ACLs that are managed by administrators and that provide user permissions based on job functions.
156
group account
A group account is a collection of user accounts that is useful when establishing file permissions and user rights because when many individuals need the same level of access, a group could be established containing all the relevant users.
157
Attribute-based access control (ABAC)
An access control technique that evaluates a set of attributes that each subject possesses to determine if access should be granted.
158
Rule-based access control
A nondiscretionary access control technique that is based on a set of operational rules or restrictions to enforce a least privileges permissions policy.
159
Least privilege
A basic principle of security stating that something should be allocated the minimum necessary rights, privileges, or information to perform its role.
160
Provisioning
The process of deploying an account, host, or application to a target production environment. This involves proving the identity or integrity of the resource, and issuing it with credentials and access permissions.
161
Desaprovisionamiento
El proceso de eliminar una cuenta, host o aplicación del entorno de producción. Esto requiere revocar cualquier acceso privilegiado asignado al objeto.
162
Identificador de seguridad (SID)
El valor que Windows asigna a una cuenta y que el sistema operativo utiliza para identificarla.
163
Objetos de directiva de grupo (GPO)
En un dominio de Windows, una forma de implementar configuraciones por usuario y por equipo, como la política de contraseñas, las restricciones de cuentas, el estado del firewall, etc.
164
Geolocalización
La identificación o estimación de la ubicación física de un objeto, como una fuente de radar, un teléfono móvil o un dispositivo informático conectado a Internet.
165
Restricciones horarias
Políticas o ajustes de configuración que limitan el acceso de un usuario a los recursos.
166
Administración de acceso privilegiado (PAM)
Políticas, procedimientos y software de soporte para la gestión de cuentas y credenciales con permisos administrativos.
167
Autenticación de NT LAN Manager (NTLM)
Protocolo de autenticación de desafío-respuesta creado por Microsoft para su uso en sus productos.
168
Módulo de autenticación conectable (PAM)
Marco para implementar proveedores de autenticación en Linux.
169
Servicio de directorio
Servicio de red que almacena información de identidad sobre todos los objetos de una red específica, incluyendo usuarios, grupos, servidores, equipos cliente e impresoras.
170
Protocolo ligero de acceso a directorios (LDAP)
Protocolo utilizado para acceder a las bases de datos de directorios de red, que almacenan información sobre los usuarios autorizados y sus privilegios, así como otra información organizativa.
171
Nombre distinguido (DN)
Conjunto de atributos que definen un identificador único para cualquier recurso dentro de un directorio similar a X.500.
172
Inicio de sesión único (SSO)
Tecnología de autenticación que permite a un usuario autenticarse una sola vez y recibir autorizaciones para múltiples servicios.
173
Kerberos
Servicio de autenticación y autorización de inicio de sesión único basado en un sistema de concesión de tickets con límite de tiempo.
174
Centro de distribución de claves (KDC)
Componente de Kerberos que autentica a los usuarios y emite tickets (tokens).
175
Ticket de concesión de tickets (TGT)
En Kerberos, un token emitido a una cuenta autenticada para permitir el acceso a servidores de aplicaciones autorizados.
176
Federación
Proceso que proporciona una capacidad de inicio de sesión compartido entre múltiples sistemas y empresas. En esencia, conecta los servicios de gestión de identidad de múltiples sistemas.
177
Proveedor de identidad (IdP)
En una red federada, el servicio que gestiona la cuenta de usuario y realiza la autenticación.
178
Lenguaje de Marcado para Aserciones de Seguridad (SAML)
Formato de datos basado en XML que se utiliza para intercambiar información de autenticación entre un cliente y un servicio.
179
Protocolo Simple de Acceso a Objetos (SOAP)
Protocolo de servicios web basado en XML que se utiliza para intercambiar mensajes.
180
Representacional
Estilo arquitectónico estandarizado y sin estado que utilizan las aplicaciones web para la comunicación y la integración.
181
Transferencia de Estado (REST)
Un estilo arquitectónico estandarizado y sin estado utilizado por aplicaciones web para la comunicación y la integración.
182
Autorización Abierta (OAuth)
Un estándar para la gestión de identidades federadas que permite que los servidores de recursos o los sitios de consumo trabajen con cuentas de usuario creadas y administradas en un proveedor de identidad independiente.
183
Notación de Objetos JavaScript (JSON)
Un formato de archivo que utiliza pares atributo-valor para definir configuraciones en una estructura fácil de leer y consumir tanto para usuarios como para máquinas.