La seguridad lógica consiste en salvaguardas de software [1] para los sistemas de una organización, incluyendo identificación de usuarios y acceso mediante contraseña, autenticación , derechos de acceso y niveles de autoridad. Estas medidas tienen como objetivo garantizar que solo los usuarios autorizados puedan realizar acciones o acceder a información en una red o una estación de trabajo. Es un subconjunto de la seguridad informática .
Los elementos de seguridad lógica son:
Los tokens de autenticación son pequeños dispositivos que llevan los usuarios autorizados de sistemas informáticos o redes para ayudar a identificar quién está realmente autorizado a iniciar sesión en un sistema informático o de red. También pueden almacenar claves criptográficas y datos biométricos. El tipo más popular de token de seguridad ( RSA SecurID ) muestra un número que cambia cada minuto. Los usuarios se autentican ingresando un número de identificación personal y el número del token. El token contiene un reloj con la hora del día y un valor de semilla único, y el número que se muestra es un hash criptográfico del valor de semilla y la hora del día. La computadora a la que se accede también contiene el mismo algoritmo y puede hacer coincidir el número haciendo coincidir la semilla del usuario y la hora del día. Se tiene en cuenta el error del reloj y, a veces, se aceptan valores con unos minutos de diferencia. Otro tipo similar de token (Cryptogram) puede producir un valor cada vez que se presiona un botón. Otros tokens de seguridad se pueden conectar directamente a la computadora a través de puertos USB , de tarjeta inteligente o Bluetooth , o mediante interfaces de propósito especial. Los teléfonos celulares y los PDA también se pueden usar como tokens de seguridad con la programación adecuada.
La autenticación de contraseñas utiliza datos secretos para controlar el acceso a un recurso en particular. Por lo general, se pregunta al usuario que intenta acceder a la red, al ordenador o al programa informático si conoce o no la contraseña y se le concede o deniega el acceso en consecuencia. Las contraseñas las crea el usuario o las asigna, de forma similar a los nombres de usuario. Sin embargo, una vez que se le asigna una contraseña, el usuario suele tener la opción de cambiarla por otra de su elección. Según las restricciones del sistema o de la red, el usuario puede cambiar su contraseña por cualquier secuencia alfanumérica. Por lo general, las limitaciones a la creación de contraseñas incluyen restricciones de longitud, el requisito de un número, una letra mayúscula o un carácter especial, o la imposibilidad de utilizar las últimas cuatro o cinco contraseñas cambiadas asociadas con el nombre de usuario. Además, el sistema puede obligar a un usuario a cambiar su contraseña después de un tiempo determinado.
La autenticación bidireccional implica que tanto el usuario como el sistema o red se convenzan mutuamente de que conocen la contraseña compartida sin transmitirla por ningún canal de comunicación. Esto se hace utilizando la contraseña como clave de cifrado para transmitir un fragmento de información generado aleatoriamente, o "el desafío". La otra parte debe devolver un valor cifrado similar que es una función predeterminada de la información ofrecida originalmente, su "respuesta", que demuestra que pudo descifrar el desafío. Kerberos (un protocolo de autenticación de redes informáticas) es un buen ejemplo de esto, ya que envía un entero cifrado N, y la respuesta debe ser el entero cifrado N + 1.
Los derechos de acceso y los niveles de autoridad son los derechos o poderes otorgados a los usuarios para crear, cambiar, eliminar o ver datos y archivos dentro de un sistema o red. Estos derechos varían de un usuario a otro y pueden ir desde privilegios de inicio de sesión anónimo (invitado) hasta privilegios de superusuario (root). Las cuentas de invitado y superusuario son los dos extremos, ya que se pueden denegar o conceder derechos de acceso individuales a cada usuario. Por lo general, solo el administrador del sistema (también conocido como superusuario) tiene la capacidad de conceder o denegar estos derechos.
Las cuentas de invitado o los inicios de sesión anónimos se configuran para que varios usuarios puedan iniciar sesión en la cuenta al mismo tiempo sin una contraseña. A veces se les pide a los usuarios que escriban un nombre de usuario. Esta cuenta tiene un acceso muy limitado y, a menudo, solo se le permite acceder a archivos públicos especiales. Por lo general, las cuentas anónimas tienen derechos de acceso de lectura solo por motivos de seguridad.
El superusuario es un nivel de autoridad asignado a los administradores de sistema en la mayoría de los sistemas operativos de las computadoras. En Unix y sistemas operativos relacionados, este nivel también se denomina raíz y tiene todos los derechos de acceso al sistema, incluido el cambio de propiedad de los archivos. En los sistemas anteriores a Windows XP y NT (como DOS y Windows 9x), todos los usuarios son efectivamente superusuarios y todos los usuarios tienen todos los derechos de acceso. En Windows NT y sistemas relacionados (como Windows 2000 y XP), un superusuario se conoce como la cuenta de administrador. Sin embargo, esta cuenta de administrador puede existir o no dependiendo de si se ha realizado una separación.
{{cite journal}}: Requiere citar revista |journal=( ayuda )