Conexiones seguras, certificados digitales y firma digital no vacunan ante la estupidez y/o ignorancia del usuario

junio 1, 2009 15 comentarios

Por mucha seguridad que se implemente si el usuario no es cuidadoso…

Security By Default Fraude online con firma digital y SSL

En este post vamos a demostrar como dos de los tópicos mas escuchados sobre la prevención del fraude online son directamente falsos:
  • Una página cargada bajo SSL cuyo certificado digital provenga de una entidad de confianza (que el navegador cargue sin emitir errores) y en la que aparezca el famoso ‘candado’ puede ser considerada segura
  • La firma digital y en concreto, el DNI Electrónico, es la ‘herramienta definitiva’ contra el fraude

La realidad:

  • Un certificado digital para un servidor SSL emitido por una CA reconocida, se puede obtener sin ningún esfuerzo o proceso de verificación y en muchos casos, gratis por una larga temporada
  • Tanto el DNI electrónico como los certificados de la FNMT, son poderosas herramientas para identificarse y autorizar procesos online, pero esas herramientas, sin una educación previa, se vuelven contra el usuario, pudiendo servir para hacer fraude con validez legal (la firma digital está reconocida en España como análoga a la manuscrita por la ley)

Archivado en internet, seguridad Tagged with , , , , , ,