Segurança e auditoria de sistemas. Professor Emiliano S. Monteiro

Transcrição

1 Segurança e auditoria de sistemas Professor Emiliano S. Monteiro

2 Fatores de autenticação Um fator de autenticação é uma categoria de credencial. Um fator é um tipo de autenticação. Nomes de usuário e senhas são ambos do mesmo tipo de fator, portanto, seu uso combinado é a autenticação de fator único (SAF single authentication factor), apesar do fato de que há dois elementos envolvidos. Fator 1: Algo que você conhece Fator 2: Algo que você tem Fator 3: Algo que você é Fator 4: Em algum lugar você está Fator 5: Algo que você faz

3 Fatores de autenticação Tipos (ou categoria) de fatores de autenticação: Existem três categorias de fatores de autenticação. Estes são geralmente divididos como: Fatores de conhecimento: um fator de conhecimento é algo que você conhece, como um nome de usuário e senha. Fatores de aquisição/posse: um fator de posse é algo que você tem, como um cartão inteligente ou um token de segurança. Fatores de Herança/Inerência: Um fator de inerência é algo que você é, uma característica biométrica inerente, como um padrão de impressão digital, voz ou íris.

4 Fatores de autenticação A autenticação de fator único é baseada em apenas uma categoria. O método SFA (Single Factor Authentication fator único de autenticação) mais comum é uma combinação de nome de usuário e senha (também chamado de: algo que você sabe ), a autenticação biométrica esteja se tornando mais comum! A autenticação de dois fatores usa duas ou três categorias. A autenticação de três fatores requer o uso de dados/credenciais de cada uma das três categorias.

5 Fator 1 algo que você sabe/conhece Senhas! Você sabe a senha, o sistema guarda pelo menos o MD5 ou SHA1-5. Sistemas mal projetados guardam a senha em claro (texto puro/limpo) sem criptografar ou sem passar por um algoritmo HASH.

6 Fator 2 algo que você tem É um objeto físico como um CARTÃO ou um token. Dois padrões abertos são usados para gerar esses tokens: 1) Senha Única Baseada em HMAC [Hash-based Message Authentication Code] (HOTP) 2) Senha Única Baseada em Tempo (TOTP) ou One time Password, senha baseada em tempo ou descatável. O HOTP gera um token que não expira até que o usuário o use pela primeira vez (após o qual um novo token precisará ser gerado). O TOTP gera um token a cada 30 segundos (ou 60 segundos). Se um usuário não usá-lo dentro de 30 segundos, um novo token será gerado automaticamente. Alguns fabricantes: RSA Security Fortinet Fortitoken Microcosn Semente criptográfica Outros casos: ROHOS logon key

7

8 Fator 3: Algo que você é Biometria, coleta dados de: impressão digital, palma, retina, íris, voz e rosto.

9

10

11

12 Importante levar em conta no uso de dados biométricos: Foi fornecido consentimento explícito pelo dono dos dados biométricos. O tratamento de dados é necessário para o cumprimento de alguma legislação específica. É necessário para proteger dados do próprio interessado É necessário para atender o exercício de reinvindicações legais É necessário para atender necessidade de interesse público.

13 Fator 4: Em algum lugar você está Localização! É utilizado o protocolo IP e geolocalização ativada. Também são usados outros dados como o endereço MAC.

14 Fator 5: Algo que você faz Picture authentication Padrões de assinatura

15 Formulário para captação de assinatura digital.

16 CVE Common Vulnerabilities and Exposures

17 CVE Common Vulnerabilities and Exposures

18 Etapas

19

20

21

22