Autenticación mutua [cerrado]

1. ¿Cuáles son los diferentes tipos de autenticación mutua que pueden ocurrir entre los componentes de la infraestructura? (Por ejemplo: entre el servidor y la base de datos, solo entre los servidores).

La autenticación consiste en demostrar quién eres (es decir, tu identidad). En la infraestructura de una empresa, cualquier recurso puede necesitar autenticarse. Estos recursos podrían ser aplicaciones, empleados, etc. y el método de autenticación podrían ser certificados, contraseñas, etc.

La autenticación mutua solo significa que los dos recursos necesitan / quieren verificar la identidad del otro antes de dar un paso más.

2. ¿Cuál es el riesgo de no tener ningún tipo de autenticación mutua?

El riesgo es el mismo que no tener ningún tipo de autenticación (unidireccional): un lado no estará seguro de con quién está tratando. El impacto depende de los recursos en cuestión.

Tomemos dos ejemplos:

• La mayoría de las veces, cuando se navega por HTTPS, solo el servidor web se autenticará durante el protocolo de enlace TLS. Por ejemplo, Google no necesita que pruebes tu identidad antes de permitirte ver lo que es un tarso (Wikipedia). Aún , el cliente (usted) quiere asegurarse de que esté navegando en Google y no en algún sitio web sospechoso.

• Cuando las aplicaciones comerciales se comunican entre sí, es posible que cada una necesite verificar la identidad de la otra. (Imagine dos aplicaciones que manejan transferencias bancarias). En ese caso, suponiendo que usen TLS, ambos verificarán el otro certificado. De lo contrario, un atacante puede hacerse pasar por una de las aplicaciones y causar algunos problemas a la empresa.

No hay una regla de oro para decidir si se necesita una autenticación mutua. Debe evaluar el riesgo para cada recurso y decidir si necesita autentificarse.