Revisión de PINsafe de Swivel Secure

Hay muchos esquemas diferentes de autenticación de usuarios disponibles en la actualidad, pero esquemas como la biometría no han logrado despegar a lo grande, principalmente debido a los altos costos. El PINsafe de Swivel es único, ya que no solo parece mucho más rentable, sino que todo el sistema se basa en PIN simples de cuatro dígitos.

Revisión de PINsafe de Swivel Secure

Suena demasiado simplista construir una política de seguridad de fuerza industrial en cuatro pequeños números, pero la tecnología patentada de Swivel ofrece un giro interesante al uso de PIN. Esencialmente, los números se refieren a posiciones y nunca son ingresados ​​por el usuario, por lo que, a menos que revelen personalmente su PIN, hay pocas formas de piratearlo. Cuando un usuario desea acceder a un recurso protegido por PINsafe, se le presenta una pantalla de inicio de sesión simple que requiere que ingrese su nombre de usuario de PINsafe. Luego se les presenta una cadena de seguridad de diez dígitos y obtienen un código de un solo uso (OTC) de cuatro dígitos ingresando los números en las posiciones a las que se refiere su PIN personal. Si su PIN contiene el número ‘1’, use el número en la primera posición en la cadena de seguridad. Si desea mayor seguridad, puede hacer que la cadena de seguridad incluya caracteres en mayúsculas o minúsculas. Hay tres métodos disponibles para presentar la cadena de seguridad, con TURing usado para ofuscar el código, mientras que BUTTON y PATTern usan teclados que se refieren a posiciones para derivar el OTC. PATTern es bastante innovador, ya que requiere que el usuario recuerde un patrón simple en un grupo de diez botones en lugar del PIN en sí.

PINsafe parece un súper sistema para implementar en usuarios móviles, ya que emplea autenticación de dos factores: algo que tienes y algo que sabes. Con un módem GSM conectado al dispositivo PINsafe, puede emitir cadenas de seguridad directamente a los teléfonos móviles de los usuarios a través de SMTP o SMS. Swivel llama a este método autenticación de doble canal, ya que la cadena de seguridad y el OTC se entregan usando diferentes medios de comunicación: el móvil recibe la cadena de seguridad, pero el OTC se ingresa usando un navegador web. Independientemente de que la OTC se introduzca correctamente, el sistema emitirá automáticamente una nueva en el móvil del usuario de forma inmediata. Esto los prepara para ir a su próxima sesión. Pero si se reciben varios mensajes, está claro que alguien está tratando de piratear su cuenta.

El dispositivo PINsafe es fácil de instalar. Para proteger los recursos web, debe cargar el agente de filtro ISAPI suministrado en su servidor web y editar un pequeño archivo de configuración basado en texto para proporcionar detalles de los recursos web protegidos. Se puede usar una base de datos XML local para almacenar los detalles del usuario y el dispositivo se puede integrar con Active Directory o funcionar como un servidor RADIUS. La interfaz web bien diseñada hace que configurar usuarios sea pan comido, mientras que la pertenencia a un grupo define sus privilegios. La integración de SMS requiere un módem GSM conectado al dispositivo, pero todo lo que necesita hacer es seleccionar el grupo de transporte GSM para sus trabajadores e ingresar sus números de teléfono móvil. Para reducir costos, también puede comprar el software PINsafe y suministrar su propio hardware.

En la búsqueda de esquemas alternativos de autenticación de usuarios, con demasiada frecuencia, las soluciones más simples pueden pasarse por alto fácilmente. Descubrimos que, además de ser fácil de instalar y administrar, PINsafe ofrece medidas de seguridad muy estrictas y también un valor particularmente bueno.