Autenticación electrónica

La autenticación electrónica es el proceso de establecer confianza en las identidades de los usuarios presentadas electrónicamente a un sistema de información . ^[1] La autenticación digital, o e-autenticación, puede usarse como sinónimo para referirse al proceso de autenticación que confirma o certifica la identidad y el funcionamiento de una persona. Cuando se usa junto con una firma electrónica , puede proporcionar evidencia de si los datos recibidos han sido alterados después de ser firmados por su remitente original. La autenticación electrónica puede reducir el riesgo de fraude y robo de identidad al verificar que una persona es quien dice ser cuando realiza transacciones en línea. ^[2]

Se pueden utilizar varios métodos de autenticación electrónica para autenticar la identidad de un usuario, desde una contraseña hasta niveles más altos de seguridad que utilizan la autenticación multifactor (MFA). ^[3] Dependiendo del nivel de seguridad utilizado, el usuario podría necesitar probar su identidad mediante el uso de tokens de seguridad , preguntas de seguridad o estar en posesión de un certificado de una autoridad de certificación de terceros que dé fe de su identidad. ^[4]

Descripción general

Proceso de referencia de inscripción y autenticación digital del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST)

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha desarrollado un modelo genérico de autenticación electrónica ^[5] que proporciona un marco básico sobre cómo se lleva a cabo el proceso de autenticación independientemente de la jurisdicción o la región geográfica. Según este modelo, el proceso de inscripción comienza cuando una persona presenta una solicitud a un proveedor de servicios de credenciales (CSP). El CSP deberá demostrar la identidad del solicitante antes de continuar con la transacción. ^[6] Una vez que el CSP ha confirmado la identidad del solicitante, este recibe el estado de "suscriptor", se le proporciona un autenticador , como un token y una credencial, que puede tener la forma de un nombre de usuario.

El CSP es responsable de administrar la credencial junto con los datos de inscripción del suscriptor durante la vigencia de la credencial. El suscriptor será el encargado de mantener los autenticadores. Un ejemplo de esto es cuando un usuario normalmente utiliza una computadora específica para realizar sus operaciones bancarias en línea . Si intenta acceder a su cuenta bancaria desde otra computadora, el autenticador no estará presente. Para obtener acceso, el suscriptor deberá verificar su identidad ante el CSP, lo que podría hacerse respondiendo una pregunta de seguridad con éxito antes de obtener acceso. ^[4]

Uso de la autorización electrónica en el ámbito médico

Un historial médico bien mantenido puede ayudar a los médicos y hospitales a conocer las condiciones médicas importantes del paciente en cuestión antes de realizar cualquier tratamiento. Por lo tanto, establecer y gestionar de forma segura los historiales médicos personales de cada individuo durante su vida en formato electrónico se ha convertido gradualmente en un tema de interés para los ciudadanos individuales y los departamentos de bienestar social. Como estos datos son privados por naturaleza, la autorización electrónica ayuda a garantizar que solo las partes autorizadas puedan acceder a los datos médicos.

Historia

La necesidad de autenticación ha estado presente a lo largo de la historia. En la antigüedad, las personas se identificaban entre sí mediante el contacto visual y la apariencia física. Los sumerios de la antigua Mesopotamia atestiguaban la autenticidad de sus escritos mediante sellos adornados con símbolos identificativos. Con el paso del tiempo, la forma más común de proporcionar autenticación fue la firma manuscrita. ^[2]

Factores de autenticación

Hay tres factores generalmente aceptados que se utilizan para establecer una identidad digital para la autenticación electrónica, entre ellos:

• Factor de conocimiento, que es algo que el usuario sabe, como una contraseña , respuestas a preguntas de desafío, números de identificación o un PIN .
• Factor de posesión, que es algo que tiene el usuario, como un teléfono móvil, un PC o un token.
• Factor biométrico , que es algo que el usuario es, como sus huellas dactilares, escaneo ocular o patrón de voz.

De los tres factores, el factor biométrico es el más conveniente y convincente para probar la identidad de un individuo, pero es el más costoso de implementar. Cada factor tiene sus debilidades; por lo tanto, la autenticación confiable y sólida depende de la combinación de dos o más factores. Esto se conoce como autenticación multifactorial , ^[2] de la cual la autenticación de dos factores y la verificación en dos pasos son subtipos.

La autenticación multifactor aún puede ser vulnerable a ataques, incluidos ataques de tipo “man-in-the-middle” y ataques troyanos. ^[7]

Métodos

Simbólico

Una muestra de token

Los tokens son, en general, algo que el solicitante posee y controla y que puede utilizarse para autenticar su identidad. En la autenticación electrónica, el solicitante se autentica en un sistema o aplicación a través de una red. Por lo tanto, un token utilizado para la autenticación electrónica es un secreto y debe protegerse. El token puede ser, por ejemplo, una clave criptográfica que se protege encriptándola con una contraseña. Un impostor debe robar la clave cifrada y averiguar la contraseña para utilizar el token.

Contraseñas y autenticación basada en PIN

Las contraseñas y los PIN se clasifican como métodos "que se conocen". Se considera que una combinación de números, símbolos y mayúsculas y minúsculas es más segura que una contraseña compuesta únicamente por letras. Además, la adopción de las funciones Transport Layer Security (TLS) o Secure Socket Layer (SSL) durante el proceso de transmisión de información también creará un canal cifrado para el intercambio de datos y protegerá aún más la información entregada. Actualmente, la mayoría de los ataques de seguridad se dirigen a los sistemas de autenticación basados ​​en contraseñas. ^[8]

Autenticación de clave pública

Este tipo de autenticación consta de dos partes: una es la clave pública y la otra es la clave privada. La clave pública la emite una autoridad de certificación y está disponible para cualquier usuario o servidor. La clave privada la conoce únicamente el usuario. ^[9]

Autenticación con clave simétrica

El usuario comparte una clave única con un servidor de autenticación. Cuando el usuario envía un mensaje generado aleatoriamente (el desafío) cifrado con la clave secreta al servidor de autenticación, si el servidor puede hacer coincidir el mensaje con su clave secreta compartida, el usuario queda autenticado. Cuando se implementa junto con la autenticación con contraseña, este método también proporciona una posible solución para los sistemas de autenticación de dos factores . ^[10]

Autenticación basada en SMS

Autenticación biométrica

El usuario recibe la contraseña leyendo el mensaje en el teléfono móvil y vuelve a escribirla para completar la autenticación. El servicio de mensajes cortos (SMS) es muy eficaz cuando se utilizan habitualmente los teléfonos móviles. El SMS también es adecuado contra ataques del tipo "man-in-the-middle" (MITM), ya que el uso de SMS no implica Internet. ^[11]

Autenticación biométrica

La autenticación biométrica es el uso de atributos físicos únicos y medidas corporales como intermediarios para una mejor identificación y control de acceso. Las características físicas que se utilizan a menudo para la autenticación incluyen huellas dactilares, reconocimiento de voz , reconocimiento facial y escaneo de iris porque todos estos son únicos para cada individuo. Tradicionalmente, la autenticación biométrica se basaba en sistemas de identificación basados ​​en tokens, como el pasaporte, y hoy en día se ha convertido en uno de los sistemas de identificación más seguros para la protección del usuario. Una nueva innovación tecnológica que proporciona una amplia variedad de características físicas o de comportamiento que definen el concepto adecuado de autenticación biométrica. ^[12]

Autenticación de identidad digital

La autenticación de identidad digital se refiere al uso combinado de datos del dispositivo, del comportamiento, de la ubicación y de otros tipos, como la dirección de correo electrónico, la información de la cuenta y de la tarjeta de crédito, para autenticar a los usuarios en línea en tiempo real. Por ejemplo, trabajos recientes han explorado cómo explotar la identificación por huella digital del navegador como parte de un esquema de autenticación multifactorial. ^[13]

Credenciales electrónicas

Las credenciales en papel son documentos que dan fe de la identidad u otros atributos de una persona o entidad denominada el titular de las credenciales. Algunas credenciales en papel comunes incluyen pasaportes, certificados de nacimiento , licencias de conducir y tarjetas de identidad de empleados. Las credenciales en sí se autentifican de diversas maneras: tradicionalmente, quizás mediante una firma o un sello, papeles y tintas especiales, grabado de alta calidad y, en la actualidad, mediante mecanismos más complejos, como hologramas, que hacen que las credenciales sean reconocibles y difíciles de copiar o falsificar. En algunos casos, la simple posesión de las credenciales es suficiente para establecer que el titular físico de las credenciales es, de hecho, el titular de las mismas.

Lo más habitual es que las credenciales contengan información biométrica, como la descripción del sujeto, una fotografía del sujeto o su firma manuscrita, que se puede utilizar para autenticar que el titular de las credenciales es efectivamente el sujeto de las mismas. Cuando estas credenciales en papel se presentan en persona, se pueden comprobar los datos biométricos de autenticación que contienen para confirmar que el titular físico de la credencial es el sujeto.

Las credenciales de identidad electrónicas vinculan un nombre y quizás otros atributos a un token. Actualmente, se utilizan diversos tipos de credenciales electrónicas y constantemente se crean nuevos tipos de credenciales (eID, tarjeta electrónica de identificación de votante , pasaportes biométricos, tarjetas bancarias, etc.). Como mínimo, las credenciales incluyen información de identificación que permite recuperar los registros del registro asociado con las credenciales y un nombre asociado con el suscriptor. ^{[ cita requerida ]}

Verificadores

En cualquier transacción en línea autenticada, el verificador es la parte que verifica que el solicitante tiene posesión y control del token que verifica su identidad. Un solicitante autentica su identidad ante un verificador mediante el uso de un token y un protocolo de autenticación. Esto se denomina Prueba de Posesión (PoP). Muchos protocolos PoP están diseñados de modo que un verificador, sin conocimiento del token antes de la ejecución del protocolo de autenticación, no aprenda nada sobre el token a partir de la ejecución. El verificador y el CSP pueden ser la misma entidad, el verificador y la parte que confía pueden ser la misma entidad o pueden ser las tres entidades separadas. No es deseable que los verificadores aprendan secretos compartidos a menos que sean parte de la misma entidad que el CSP que registró los tokens. Cuando el verificador y la parte que confía son entidades separadas, el verificador debe transmitir el resultado del protocolo de autenticación a la parte que confía. El objeto creado por el verificador para transmitir este resultado se denomina aserción. ^[14]

Esquemas de autenticación

Hay cuatro tipos de esquemas de autenticación: autenticación local, autenticación centralizada, autenticación centralizada global, autenticación global y aplicación web (portal).

Al utilizar un esquema de autenticación local, la aplicación conserva los datos correspondientes a las credenciales del usuario. Esta información no suele compartirse con otras aplicaciones. El usuario es responsable de mantener y recordar los tipos y la cantidad de credenciales asociadas al servicio al que necesita acceder. Se trata de un esquema de alto riesgo debido a la posibilidad de que el área de almacenamiento de contraseñas se vea comprometida.

El uso del esquema de autenticación central permite que cada usuario utilice las mismas credenciales para acceder a varios servicios. Cada aplicación es diferente y debe diseñarse con interfaces y la capacidad de interactuar con un sistema central para proporcionar una autenticación exitosa al usuario. Esto permite que el usuario acceda a información importante y pueda acceder a claves privadas que le permitirán firmar documentos electrónicamente.

El uso de un tercero a través de un esquema de autenticación centralizado global permite al usuario acceder directamente a los servicios de autenticación, lo que a su vez le permite acceder a los servicios específicos que necesita.

El esquema más seguro es la autenticación centralizada global y la aplicación web (portal). Es ideal para el uso del gobierno electrónico porque permite una amplia gama de servicios. Utiliza un único mecanismo de autenticación que implica un mínimo de dos factores para permitir el acceso a los servicios requeridos y la capacidad de firmar documentos. ^[2]

Autenticación y firma digital trabajando juntas

A menudo, la autenticación y la firma digital se aplican en conjunto. En las firmas electrónicas avanzadas , el firmante se autentica y se vincula de forma única con una firma. En el caso de una firma electrónica cualificada según se define en el reglamento eIDAS , la identidad del firmante incluso está certificada por un proveedor de servicios de confianza cualificado . Esta vinculación de la firma y la autenticación respalda en primer lugar el valor probatorio de la firma, comúnmente conocido como no repudio del origen. La protección del mensaje a nivel de red se denomina no repudio de la emisión. El remitente autenticado y el contenido del mensaje están vinculados entre sí. Si un tercero intenta cambiar el contenido del mensaje, la firma pierde validez. ^[15]

Evaluación de riesgos

Al desarrollar sistemas electrónicos, existen algunas normas industriales que exigen a las agencias de los Estados Unidos garantizar que las transacciones proporcionen un nivel adecuado de seguridad. En general, los servidores adoptan como guía la Guía de autenticación electrónica para agencias federales (M-04-04) de la Oficina de Administración y Presupuesto (OMB) de los Estados Unidos, que se publica para ayudar a las agencias federales a proporcionar servicios electrónicos seguros que protejan la privacidad individual. En ella se pide a las agencias que comprueben si sus transacciones requieren autenticación electrónica y determinen un nivel adecuado de seguridad. ^[16]

Estableció cuatro niveles de garantía: ^[17]

Nivel de seguridad 1: poca o ninguna confianza en la validez de la identidad declarada.
Nivel de seguridad 2: cierta confianza en la validez de la identidad declarada.
Nivel de seguridad 3: alta confianza en la validez de la identidad declarada.
Nivel de seguridad 4: muy alta confianza en la validez de la identidad declarada.

Determinación de los niveles de garantía

La OMB propone un proceso de cinco pasos para determinar el nivel de garantía apropiado para sus aplicaciones:

• Realizar una evaluación de riesgos, que mida los posibles impactos negativos.
• Compare los cinco niveles de garantía y decida cuál se adapta a este caso.
• Seleccione la tecnología de acuerdo con la guía técnica emitida por NIST.
• Confirme que el proceso de autenticación seleccionado satisface los requisitos.
• Reevaluar el sistema periódicamente y ajustarlo con los cambios. ^[18]

El nivel de garantía de autenticación requerido se evalúa a través de los siguientes factores:

• Inconvenientes, molestias o daños a la reputación o prestigio;
• Pérdida financiera o responsabilidad de la agencia;
• Daño a programas de la agencia o intereses públicos;
• Divulgación no autorizada de información confidencial;
• Seguridad personal; y/o violaciones civiles o penales. ^[18]

Determinación de requisitos técnicos

La guía del Instituto Nacional de Estándares y Tecnología (NIST) define los requisitos técnicos para cada uno de los cuatro niveles de garantía en las siguientes áreas: ^[19]

• Los tokens se utilizan para demostrar la identidad. Las contraseñas y las claves criptográficas simétricas son información privada que el verificador debe proteger. Las claves criptográficas asimétricas tienen una clave privada (que solo conoce el suscriptor) y una clave pública relacionada.
• Comprobación de identidad, registro y entrega de credenciales que vinculan una identidad a un token. Este proceso puede implicar una operación a larga distancia.
• También se pueden combinar credenciales, tokens y protocolos de autenticación para identificar que un reclamante es de hecho el suscriptor reclamado.
• Un mecanismo de afirmación que implica una firma digital del reclamante o es adquirido directamente por un tercero confiable a través de un protocolo de autenticación seguro.

Directrices y reglamentos

Las identidades persona-máquina y máquina-máquina, impulsadas por el crecimiento de las nuevas soluciones en la nube y las transacciones en línea, desempeñan un papel importante en la identificación de personas y el acceso a la información. Según la Oficina de Administración y Presupuesto de los EE. UU., en 2013 y 2014 se gastaron más de 70 millones de dólares en soluciones de gestión de identidad. ^[20]

Los gobiernos utilizan sistemas de autenticación electrónica para ofrecer servicios y reducir el tiempo que las personas tardan en desplazarse a una oficina gubernamental. Se pueden realizar servicios que van desde la solicitud de visas hasta la renovación de licencias de conducir de una manera más eficiente y flexible. La infraestructura para respaldar la autenticación electrónica se considera un componente importante para el éxito del gobierno electrónico. ^[21] La mala coordinación y el diseño técnico deficiente pueden ser obstáculos importantes para la autenticación electrónica. ^[22]

En varios países se han establecido esquemas comunes de autenticación electrónica a nivel nacional para facilitar la reutilización de identidades digitales en diferentes servicios electrónicos. ^[23] Otras iniciativas de políticas han incluido la creación de marcos para la autenticación electrónica, con el fin de establecer niveles comunes de confianza y posiblemente interoperabilidad entre diferentes esquemas de autenticación. ^[24]

Estados Unidos

La autenticación electrónica es un elemento central de los esfuerzos del gobierno de los Estados Unidos por expandir el gobierno electrónico, o e-government , como una forma de hacer que el gobierno sea más eficaz, eficiente y de más fácil acceso. El servicio de autenticación electrónica permite a los usuarios acceder a los servicios gubernamentales en línea utilizando identificadores de inicio de sesión (credenciales de identidad) de otros sitios web en los que tanto el usuario como el gobierno confían.

La autenticación electrónica es una asociación de todo el gobierno que cuenta con el apoyo de las agencias que conforman el Consejo Federal de CIO. La Administración de Servicios Generales de los Estados Unidos (GSA) es la agencia asociada principal. La autenticación electrónica funciona a través de una asociación con un emisor de credenciales de confianza, lo que hace necesario que el usuario inicie sesión en el sitio del emisor para obtener las credenciales de autenticación. Esas credenciales o ID de autenticación electrónica se transfieren luego al sitio web gubernamental de apoyo que provoca la autenticación. El sistema se creó en respuesta a un memorando emitido el 16 de diciembre de 2003 a través de la Oficina de Administración y Presupuesto. Memorándum M04-04 Whitehouse. ^[18] Ese memorando actualiza la guía emitida en la Ley de Eliminación de Trámites de 1998, 44 USC § 3504 e implementa la sección 203 de la Ley de Gobierno Electrónico, 44 ​​USC cap. 36.

El NIST proporciona directrices para los estándares de autenticación digital y elimina la mayoría de los métodos de autenticación basados ​​en el conocimiento. Se ha redactado un estándar más estricto para contraseñas más complicadas que tengan al menos 8 caracteres o frases de contraseña que tengan al menos 64 caracteres. ^[25]

Europa

En Europa , el eIDAS proporciona directrices que deben utilizarse para la autenticación electrónica en relación con las firmas electrónicas y los servicios de certificados para la autenticación de sitios web. Una vez confirmada por el Estado miembro emisor, los demás Estados participantes deben aceptar la firma electrónica del usuario como válida para las transacciones transfronterizas.

En el marco del eIDAS, la identificación electrónica se refiere a una unidad material o inmaterial que contiene datos de identificación personal que se utilizan para la autenticación en un servicio en línea. La autenticación se refiere a un proceso electrónico que permite la identificación electrónica de una persona física o jurídica. Un servicio de confianza es un servicio electrónico que se utiliza para crear, verificar y validar firmas electrónicas, además de crear, verificar y validar certificados para la autenticación de sitios web.

El artículo 8 del eIDAS permite que el mecanismo de autenticación que utilice una persona física o jurídica utilice métodos de identificación electrónica para confirmar su identidad a una parte que confía en ella. El anexo IV establece los requisitos para los certificados cualificados de autenticación de sitios web. ^{[26] [27]}

Rusia

La autenticación electrónica es un elemento central de los esfuerzos del gobierno ruso por expandir el gobierno electrónico, como una forma de hacer que el gobierno sea más eficaz y eficiente y de más fácil acceso para los ciudadanos rusos. El servicio de autenticación electrónica ^[28] permite a los usuarios acceder a los servicios gubernamentales en línea utilizando identificaciones de inicio de sesión (credenciales de identidad) que ya tienen de sitios web en los que ellos y el gobierno confían.

Otras aplicaciones

Además de los servicios gubernamentales, la autenticación electrónica también se utiliza ampliamente en otras tecnologías e industrias. Estas nuevas aplicaciones combinan las características de autorización de identidades en bases de datos tradicionales y nuevas tecnologías para proporcionar un uso más seguro y diverso de la autenticación electrónica. A continuación se describen algunos ejemplos.

Autenticación móvil

La autenticación móvil es la verificación de la identidad de un usuario mediante el uso de un dispositivo móvil. Puede tratarse como un campo independiente o también puede aplicarse con otros esquemas de autenticación multifactor en el campo de la autenticación electrónica. ^[29]

Para la autenticación móvil, existen cinco niveles de sensibilidad de la aplicación, desde el nivel 0 hasta el nivel 4. El nivel 0 es para uso público a través de un dispositivo móvil y no requiere autenticaciones de identidad, mientras que el nivel 4 tiene la mayor cantidad de procedimientos múltiples para identificar a los usuarios. ^[30] En ambos niveles, la autenticación móvil es relativamente fácil de procesar. En primer lugar, los usuarios envían una contraseña de un solo uso (OTP) a través de canales fuera de línea. Luego, un servidor identifica la información y realiza ajustes en la base de datos. Dado que solo el usuario tiene acceso a un código PIN y puede enviar información a través de sus dispositivos móviles, existe un bajo riesgo de ataques. ^[31]

Autenticación de comercio electrónico

A principios de los años 1980, se implementaron los sistemas de intercambio electrónico de datos (EDI), considerados como un ejemplo temprano del comercio electrónico. Sin embargo, garantizar su seguridad no es un problema importante, ya que todos los sistemas están construidos en torno a redes cerradas. Sin embargo, más recientemente, las transacciones entre empresas y consumidores se han transformado. Las partes que realizan transacciones a distancia han obligado a implementar sistemas de autenticación de comercio electrónico. ^[32]

En términos generales, los enfoques adoptados en la autenticación de comercio electrónico son básicamente los mismos que en la autenticación electrónica. La diferencia es que la autenticación de comercio electrónico es un campo más limitado que se centra en las transacciones entre clientes y proveedores. Un ejemplo sencillo de autenticación de comercio electrónico incluye un cliente que se comunica con un servidor de comerciante a través de Internet. El servidor de comerciante suele utilizar un servidor web para aceptar solicitudes de clientes, un sistema de gestión de bases de datos para gestionar los datos y una pasarela de pago para proporcionar servicios de pago en línea . ^[33]

Identidad auto-soberana

Con la identidad soberana (SSI), los titulares de identidad individuales crean y controlan completamente sus credenciales, mientras que los verificadores pueden autenticar las identidades proporcionadas en una red descentralizada.

Perspectivas

Para seguir el ritmo de la evolución de los servicios en el mundo digital, sigue siendo necesario contar con mecanismos de seguridad. Si bien se seguirán utilizando contraseñas, es importante confiar en mecanismos de autenticación, sobre todo en la autenticación multifactorial. A medida que el uso de firmas electrónicas continúa expandiéndose significativamente en los Estados Unidos, la UE y el resto del mundo, se espera que las regulaciones como el eIDAS se modifiquen con el tiempo para reflejar las condiciones cambiantes junto con las regulaciones en los Estados Unidos. ^[34]

Referencias

1. Oficina del Director de Información del Gobierno. "¿Qué es la autenticación electrónica?". Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 22 de diciembre de 2015. Consultado el 1 de noviembre de 2015 .
2. Balbas, Luis. "Autenticación digital: factores, mecanismos y esquemas". Cryptomathic . Consultado el 9 de enero de 2017 .
3. McMahon, Mary. "¿Qué es la autenticación electrónica?". wiseGEEK . Consultado el 2 de noviembre de 2015 .
4. Turner, Dawn M. "Autenticación digital: conceptos básicos". Cryptomathic . Consultado el 9 de enero de 2017 .
5. Burr, WE; Dodson, DF; Newton, EM; Perlner, RA; Polk, WT; Gupta, S.; Nabbus, EA (2011). "Directriz de autenticación electrónica". doi : 10.6028/NIST.SP.800-63-1 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
6. "Publicación especial 800-63A del NIST". pages.nist.gov . Consultado el 19 de septiembre de 2023 .
7. Schneier, Bruce. "El fracaso de la autenticación de dos factores". Schneier on Security . Consultado el 2 de noviembre de 2015 .
8. Oficina del Director de Información del Gobierno. «Autenticación basada en contraseñas y PIN». Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 31 de mayo de 2015. Consultado el 2 de noviembre de 2015 .
9. Oficina del Director de Información del Gobierno. «Autenticación de clave pública». Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 31 de mayo de 2015. Consultado el 3 de noviembre de 2015 .
10. Oficina del Director de Información del Gobierno. «Autenticación de clave simétrica». Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 9 de julio de 2015. Consultado el 3 de noviembre de 2015 .
11. Oficina del Director de Información del Gobierno. «Autenticación basada en SMS». Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 27 de agosto de 2015. Consultado el 3 de noviembre de 2015 .
12. Oficina del Director de Información del Gobierno. «Autenticación biométrica». Gobierno de la Región Administrativa Especial de Hong Kong de la República Popular China . Archivado desde el original el 8 de enero de 2015. Consultado el 3 de noviembre de 2015 .
13. Andriamilanto, Nampoina; Allard, Tristan (2021). "BrFAST: una herramienta para seleccionar atributos de huellas dactilares del navegador para la autenticación web según un equilibrio entre usabilidad y seguridad" (PDF) . Actas complementarias de la conferencia web de 2021. págs. 701–704. doi :10.1145/3442442.3458610. ISBN 978-1-4503-8313-4.S2CID233296722  .​
14. Burr, WE; Dodson, DF; Polk, WT (2006). "Directriz de autenticación electrónica". doi : 10.6028/NIST.SP.800-63v1.0.2 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
15. Turner, Dawn M. "Entender el no repudio del origen y el no repudio de la emisión". Cryptomathic . Consultado el 9 de enero de 2017 .
16. "Evaluación de riesgos de la autenticación electrónica para recetas electrónicas de sustancias controladas" (PDF) . Archivado desde el original (PDF) el 27 de abril de 2017 . Consultado el 3 de noviembre de 2015 .
17. Radack, Shirley. "AUTENTICACIÓN ELECTRÓNICA: GUÍA PARA SELECCIONAR TÉCNICAS SEGURAS". Archivado desde el original el 15 de septiembre de 2015. Consultado el 3 de noviembre de 2015 .
18. Bolten, Joshua. "Memorando: Directrices de autenticación electrónica para agencias federales" (PDF) . Oficina Ejecutiva del Presidente, Oficina de Administración y Presupuesto (OMB) . Consultado el 9 de enero de 2017 .
19. Radack, Shirley. "AUTENTICACIÓN ELECTRÓNICA: GUÍA PARA SELECCIONAR TÉCNICAS SEGURAS". Instituto Nacional de Estándares y Tecnología. Archivado desde el original el 15 de septiembre de 2015. Consultado el 3 de noviembre de 2015 .
20. McCarthy, Shawn. "Autenticación electrónica: en qué se centrarán los administradores de TI durante los próximos 18 meses". GCN . Archivado desde el original el 20 de diciembre de 2014. Consultado el 2 de noviembre de 2015 .
21. "Tecnologías de la Información y las Comunicaciones en todo el Gobierno".
22. Derribando barreras al gobierno electrónico (borrador de documento 1b), Unidad de gobierno electrónico, Comisión Europea, agosto de 2006. Véase el cuadro 1
23. Una descripción general de las iniciativas internacionales en el campo de la autenticación electrónica Archivado el 22 de julio de 2011 en Wayback Machine , Japan PKI Forum, 2 de junio de 2005.
24. Australia Archivado el 12 de febrero de 2012 en Wayback Machine , Canadá Archivado el 5 de marzo de 2008 en Wayback Machine , EE. UU. (M04-04).
25. "Borrador de la publicación especial NIST 800-63-3: Directriz de autenticación digital". Instituto Nacional de Estándares y Tecnología, EE. UU . . Consultado el 9 de enero de 2017 .
26. Turner, Dawn. "Understanding eIDAS". Cryptomathic . Consultado el 12 de abril de 2016 .
27. «Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE». EUR-Lex . El Parlamento Europeo y el Consejo de la Unión Europea . Consultado el 18 de marzo de 2016 .
28. "Постановление Правительства РФ от 28 de noviembre de 2011 г. N 977 "О федеральной государственной информационной системе "Единая система Identificación y autenticación en infraestructura, información de objetividad нных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"".
29. Margaret, Rouse. "Definición de autenticación móvil". SearchSecurity.com . Consultado el 3 de noviembre de 2015 .
30. Gobierno de la India Departamento de Electrónica y Tecnología de la Información Ministerio de Comunicaciones y Tecnología de la Información. "e-Pramaan: Marco para la autenticación electrónica" (PDF) . Consultado el 3 de noviembre de 2015 .
31. Tolentino, Jamie (16 de marzo de 2015). "Cómo aumentar la seguridad de las aplicaciones mediante la autenticación de teléfonos móviles". TNW news . Consultado el 3 de noviembre de 2015 .
32. Ford, Matthew (23 de febrero de 2005). "Identity Authentication and 'E-Commerce'". Warwick, Journal of Information Law &Technology . Consultado el 3 de noviembre de 2015 .
33. Sawma, Victor. "Una nueva metodología para derivar modelos de diseño de contramedidas eficaces". Facultad de Tecnología de la Información e Ingeniería, Universidad de Ottawa. CiteSeerX 10.1.1.100.1216 .  {{cite journal}}: Requiere citar revista |journal=( ayuda )
34. Walker, Heather. «Cómo afecta el eIDAS a los EE. UU.». Cryptomathic . Consultado el 9 de enero de 2017 .

Enlaces externos

• Sitio web de autenticación electrónica del gobierno de EE. UU.
• Memorándum sobre la directiva de autenticación electrónica de Randum M04-04
• DigiD: una identidad digital común implementada por la administración tributaria holandesa y 'GBO.Overheid' (Gemeenschappelijke Beheerorganisatie)
• Cartão do Cidadão – Documento portugués que permite a su titular identificarse de forma segura tanto en el mundo físico como en el digital.
• Animaciones de autenticación electrónica: métodos de autenticación habituales (script)
• Autenticación electrónica: guía para seleccionar técnicas seguras
• Nascio ¿Quién eres? Realmente quiero saber: La autenticación electrónica y sus implicaciones para la privacidad
• Directrices de autenticación electrónica (publicación especial 800-63-2), agosto de 2013
• Estrategia nacional para identidades confiables en el ciberespacio (NSTIC) Archivado el 15 de agosto de 2016 en Wayback Machine