Una vez que has conseguido añadir tus identidades digitales a Latch mediante el proceso descrito en la parte anterior de esta serie de artículos, el proceso que se sigue es el que está descrito en la imagen siguiente. Como se puede ver, cuando un cliente del servicio protegido con Latch envía el usuario y la contraseña, es el servidor dueño de la identidad el único que tiene potestad para saber si esas credenciales son correctas o no. Esto lo sabe porque únicamente él tiene la base de datos de los usuarios y sus contraseñas almacenadas.
Si estas credenciales son correctas, puede comprobar en la base de datos si el usuario ha decidido pro-activamente crear un pestillo digital para esta identidad, de tal manera que, en el caso de haber un Latch establecido preguntará al servidor de Latch por el estado actual de este pestillo. El servidor responderá con lo que el usuario haya configurado en su cuenta desde la app que tienen instalada en su smartphone, generándose en el caso descrito en la imagen número 7 una respuesta con el estado de OFF y por tanto una denegación de acceso a los servicios.
Esto, como se puede ver en el artículo de cómo probar Latch con 0xWord, llevará consigo la emisión de una alerta de seguridad que recibirá el usuario en la app de Latch, dejándole claro que alguien ha utilizado su identidad.
Si simplemente ha sido un despiste a la hora de configurar el estado del pestillo en la identidad, desde la propia alerta se podrá desbloquear, pero si por el contrario no ha sido el dueño de la identidad el que intentó el acceso, eso significa obligatoriamente que la identidad ha sido robada y por tanto se debería cambiar la contraseña antes de desbloquear el pestillo.
Un Latch con OTP
En algunas ocasiones puede que se desee permitir el acceso a la identidad, pero se quiere controlar el número de accesos que se producen. Esto es especialmente útil en la existencia de cuentas delegadas, como se puede dar en un control parental o en una cuenta de servicio - o incluso la banca online de una empresa - que sea gestionada por un empleado de la organización.
Como forma de conseguir un control más allá del ON/OFF, decidimos que era sencillo añadir una validación basada en OTP que fuera ofrecido directamente por el servidor de Latch, así que el sistema integra el siguiente proceso.
Para eso, como se vio en el artículo de cómo probar Latch con 0xWord, el servido de Latch responderá con un valor OTP al servidor dueño de la identidad cuando se pregunte por el estado del pestillo.
Este mismo valor será enviado a la app de Latch del usuario para que lo introduzca directamente en la web. Si quieres probar el sistema de OTP con Latch lo puedes hacer con 0xWord.
Un Latch y granularidad en las operaciones
Como existía esta comprobación de estado de los pestillos, pensamos que para una empresa podría ser útil fortificar las opciones de seguridad de una identidad más allá de sólo poner ON/OFF y permitir que un usuario le restringiera determinadas operaciones del servicio que puede hacer con un sitio web. Para ello, el dueño de la identidad puede crear una serie de operaciones que le serán ofrecidas al dueño del Latch para que este pueda decidir si un determinado apartado de la web lo quiere activo, desactivado o con OTP.
Por ejemplo, en un entorno de banca online, un usuario podría prohibir las transferencias internacionales y poner que las transferencias nacionales solo están activas vía OTP. Así, la delegación de las credenciales de la banca online a un administrativo de una empresa estarían mucho más controladas. ¿Por qué iba a poder un contable hacer transferencias internacionales fuera de los momentos destinados a esos pagos?
Al final, el dueño de la identidad que acaba delegando su uso, podría tener un control mucho mayor, ya que como se ve en el gráfico superior, no sólo se pregunta por el estado general del Latch, sino que se pregunta por la operación concreta, generando diferentes resultados.
Si quieres probar el sistema de bloqueo de diferentes operaciones, puedes sacarte una cuenta de Latch, bajarte la app de Android o iPhone, y parear una cuenta que te saques de nuestro banco fake Nevele Banck. Tras parear la cuenta podrás ver que hay diferentes operaciones creadas por el banco online para darle al usuario mayor control de las operaciones que permite el sistema.
 |
| Figura 7: Comprobación del estado del Latch de una cuenta |
Si estas credenciales son correctas, puede comprobar en la base de datos si el usuario ha decidido pro-activamente crear un pestillo digital para esta identidad, de tal manera que, en el caso de haber un Latch establecido preguntará al servidor de Latch por el estado actual de este pestillo. El servidor responderá con lo que el usuario haya configurado en su cuenta desde la app que tienen instalada en su smartphone, generándose en el caso descrito en la imagen número 7 una respuesta con el estado de OFF y por tanto una denegación de acceso a los servicios.
Esto, como se puede ver en el artículo de cómo probar Latch con 0xWord, llevará consigo la emisión de una alerta de seguridad que recibirá el usuario en la app de Latch, dejándole claro que alguien ha utilizado su identidad.
 |
| Figura 8: Mensaje de alerta cuando alguien intenta acceder a una identidad bloqueada |
Si simplemente ha sido un despiste a la hora de configurar el estado del pestillo en la identidad, desde la propia alerta se podrá desbloquear, pero si por el contrario no ha sido el dueño de la identidad el que intentó el acceso, eso significa obligatoriamente que la identidad ha sido robada y por tanto se debería cambiar la contraseña antes de desbloquear el pestillo.
Un Latch con OTP
En algunas ocasiones puede que se desee permitir el acceso a la identidad, pero se quiere controlar el número de accesos que se producen. Esto es especialmente útil en la existencia de cuentas delegadas, como se puede dar en un control parental o en una cuenta de servicio - o incluso la banca online de una empresa - que sea gestionada por un empleado de la organización.
Como forma de conseguir un control más allá del ON/OFF, decidimos que era sencillo añadir una validación basada en OTP que fuera ofrecido directamente por el servidor de Latch, así que el sistema integra el siguiente proceso.
 |
| Figura 9: Cuentas delegadas con opción de OTP en Latch |
Para eso, como se vio en el artículo de cómo probar Latch con 0xWord, el servido de Latch responderá con un valor OTP al servidor dueño de la identidad cuando se pregunte por el estado del pestillo.
 |
| Figura 10: Funcionamiento del OTP en Latch con 0xWord |
Este mismo valor será enviado a la app de Latch del usuario para que lo introduzca directamente en la web. Si quieres probar el sistema de OTP con Latch lo puedes hacer con 0xWord.
Un Latch y granularidad en las operaciones
Como existía esta comprobación de estado de los pestillos, pensamos que para una empresa podría ser útil fortificar las opciones de seguridad de una identidad más allá de sólo poner ON/OFF y permitir que un usuario le restringiera determinadas operaciones del servicio que puede hacer con un sitio web. Para ello, el dueño de la identidad puede crear una serie de operaciones que le serán ofrecidas al dueño del Latch para que este pueda decidir si un determinado apartado de la web lo quiere activo, desactivado o con OTP.
Por ejemplo, en un entorno de banca online, un usuario podría prohibir las transferencias internacionales y poner que las transferencias nacionales solo están activas vía OTP. Así, la delegación de las credenciales de la banca online a un administrativo de una empresa estarían mucho más controladas. ¿Por qué iba a poder un contable hacer transferencias internacionales fuera de los momentos destinados a esos pagos?
 |
| Figura 11: Funcionamiento de la granularidad de operaciones en Latch |
Al final, el dueño de la identidad que acaba delegando su uso, podría tener un control mucho mayor, ya que como se ve en el gráfico superior, no sólo se pregunta por el estado general del Latch, sino que se pregunta por la operación concreta, generando diferentes resultados.
Si quieres probar el sistema de bloqueo de diferentes operaciones, puedes sacarte una cuenta de Latch, bajarte la app de Android o iPhone, y parear una cuenta que te saques de nuestro banco fake Nevele Banck. Tras parear la cuenta podrás ver que hay diferentes operaciones creadas por el banco online para darle al usuario mayor control de las operaciones que permite el sistema.
Saludos Malignos!
************************************************************************************
- Latch: Cómo proteger las identidades digitales (IV de IV)
************************************************************************************
