Segurança da Informação: Autenticação

Pessoal,

Estou colocando uma palhinha do meu curso de Segurança da Informação para Perito em Informática da Polícia Federal para vocês!

AUTENTICAÇÃO

Em segurança da informação, a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema no momento em que ele requisita um login (acesso) em um programa ou computador.

1 Modos de autenticação

A autenticação, em regra, depende de um ou mais modos ou fatores de autenticação a seguir:

  • Algo que o usuário é: geralmente são usados meios biométricos, como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.
  • Algo que o usuário tem: usa-se objetos específicos como cartões de identificação, smart cards, tokens USB.
  • Algo que o usuário conhece: são utilizadas senhas fixas, one-time passwords, sistemas de desafio-resposta.
  • Onde o usuário está: quando o acesso a sistemas só pode ser realizado em uma máquina específica, cujo acesso é restrito.

Considerações sobre as ferramentas de autenticação:

Senhas:

Senhas são utilizadas no processo de verificação da identidade do usuário (login), assegurando que este é realmente quem diz ser. Geralmente, quando o usuário é cadastrado, a senha é criptografada antes de ser armazenada (não recomendado pois permite acesso à senha, caso haja quebra do sistema utilizado) ou se armazena o hash da senha (opção recomendada, pois impede o acesso a senha que gerou o hash).
Para garantir uma boa segurança às senhas utilizadas, são definidas algumas regras básicas:

  • Jamais utilizar palavras que façam parte de dicionários, nem utilizar informações pessoais sobre o usuário (data de nascimento, parte do nome, etc.)
  • Uma boa senha deve ter pelo menos oito caracteres, de preferência com letras, números e símbolos,
  • A senha deve ser simples de digitar e fácil de lembrar.
  • Usar uma senha diferente para cada sistema utilizado.
  • Tentar misturar letras maiúsculas, minúsculas, números e sinais de pontuação.
  • Trocar as senhas a cada dois ou três meses, e sempre que houver desconfiança que alguém descobriu a senha.

No trabalho, deve haver outros cuidados para a proteção do sigilo da senha, como:

  • se certificar de não estar sendo observado ao digitar a sua senha;
  • não fornecer sua senha para qualquer pessoa, em hipótese alguma;
  • não utilize computadores de terceiros (por exemplo, em LAN houses, cybercafés, etc) em operações que necessitem utilizar suas senhas;
  • se certificar de que seu provedor disponibiliza serviços criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha.

No caso do usuário Administrador (ou root), devem ser tomados alguns cuidados especiais, uma vez que ele detém todos os privilégios em um computador:

  • utilizar o usuário Administrador apenas quando for necessário, ou seja para realizar comandos que os usuários comuns não sejam capazes de fazer;
  • elaborar uma senha para o usuário Administrator, com uma segurança maior que a exigida pelo usuário comum;
  • criar tantos usuários com privilégios normais, quantas forem as pessoas que utilizam seu computador, para substituir o uso do usuário Administrator em tarefas rotineiras.

One-time passwords:

One-time passwords são senhas de uso único. A senha a ser utilizada pode ser definida de acordo com o horário ou a quantidade de acessos, de forma que não seja possível a reutilização de uma senha. Esse sistema garante maior segurança, e é usado em sistemas de alta criticidade, como transações bancárias. Entretanto, o problema desse sistema é a dificuldade de administração, uma vez que é preciso o uso de ferramentas adicionais para guardar as senhas, como, por exemplo, tokens de segurança usados por bancos (Token OTP).

800px-rsa-securid-tokens

Smart Cards:

Smart Cards são cartões que possuem um microchip embutido para o armazenamento e processamento de informações. Ele pode ser programado e, geralmente, é usado para guardar informações sobre o usuário, e no caso de uma ICP, para o armazenamento da chave privada de um usuário. O acesso às informações, geralmente, é feito por meio de uma senha (Código PIN) e há um número limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o cartão é bloqueado, e só é reativado por meio de um outro código (Código PUK), que também tem um número limitado de tentativas de acesso. Caso estoure esse outro limite, o cartão é inutilizado.

carte_vitale_anonyme

Token USB:

O token USB é um dispositivo alternativo ao uso do Smart Card, para armazenamento de um par de chaves públicas. Eles armazenam as chaves privadas e os certificados digitais de um usuário de uma ICP, e possuem suporte para vários algoritmos de criptografia como o RSA, DES e 3DES. Esses tokens implementam funções básicas de criptografia com objetivo de impedir o acesso direto à chave privada de um usuário.

token

2 Autenticação Forte

Autenticação forte consiste na autenticação por mais de um modo, ou seja, da combinação de mais de uma maneira de autenticação. Um exemplo disso são as transações de saque num caixa rápido. Em regra, se utiliza:

  • algo que você tem: um cartão da conta bancária; e
  • algo que você sabe: a senha do cartão.

3 Processos do Controle de Acesso

Na segurança da informação, os processos ou serviços que compõem o controle do acesso dos usuários são:

  • Identificação e Autenticação: A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Na identificação, o usuário diz ao sistema quem ele é (normalmente por meio do login). Na autenticação, a identidade é verificada através de uma credencial (uma senha) fornecida pelo usuário.
  • Autorização: Após o usuário ser autenticado, o processo de autorização determina o que ele pode fazer no sistema.
  • Auditoria: A auditoria (accounting) faz a coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Esta informação pode ser utilizada para gerenciamento, planejamento, cobrança, responsabilização do usuário, etc.

4 Controle de Acesso

O controle de acesso é o processo para definir ou restringir os direitos de indivíduos ou aplicações de obter dados. Pode ser classificado quanto:

  • à centralização do controle (Centralizado ou Descentralizado);
  • ao controle pelo sistema (Mandatório ou Discricionário);
  • ao mecanismo de controle (baseado em regras ou em perfis)

4.1 Controle de Acesso Centralizado

Nesse tipo de controle, uma entidade central (sistema ou usuário) toma as decisões sobre acesso aos recursos. Como vantagem, ele garante a padronização do acesso às informações, e impede a superposição de direitos. Como desvantagem, a falha no sistema central impede qualquer acesso às informações.

4.2 Controle de Acesso Descentralizado

Nesse tipo, o controle é delegado a entidades mais próximas dos recursos, que podem gerenciar melhor os problemas com os recursos sob sua supervisão. Como vantagem, a falha em um sistema de controle de acesso não interfere no acesso aos demais sistemas, desde que não haja dependência entre eles. Entretanto, temos como desvantagem a perda da padronização do acesso às informações, e a possibilidade de superposição de direitos, que causam furos de segurança.

4.3 Controle de Acesso Mandatório ou Obrigatório (MAC)

No controle de acesso mandatório (mandatory access control ou MAC), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de múltiplos níveis com dados altamente sensíveis (por exemplo, informações governamentais e militares). Nesse tipo de controle, há a construção de um sistema que manipula múltiplos níveis de classificação entre sujeitos (nível de privilégios) e objetos (nível de sensibilidade da informação). No MAC, há uma divisão de tarefas entre:

  • os administradores do sistemas, que definem os níveis de privilégio dos usuários e a política de acesso;
  • os gestores das informações que estabelecem a rotulação das informações quanto ao seu nível de sensibilidade;

O sistema cuida de aplicar as regras da política com base nos privilégios dos usuário e no rótulo das informações.

4.4 Controle de Acesso Discricionário (DAC)

No controle de acesso discricionário (discretionary access control ou DAC), a política de controle de acesso é determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.

O DAC utiliza como premissas:

  • Todo objeto em um sistema deve ter um proprietário. Um objeto sem um proprietário é considerado não protegido.
  • Direitos de acesso e permissões podem ser dados pelo proprietário do recurso a usuários individuais ou grupos de usuários.

Os indivíduos podem pertencer a um ou mais grupos, podendo adquirir permissões cumulativas O controle de acesso discricionário pode ser implementado por listas de controle de acesso (ACL) relacionado à usuários individuais ou grupos baseados em perfis (roles).

4.5 Controle de Acesso Baseado em Regras

No controle de acesso baseado em regras, o acesso é definido pela lista de regras criadas pelo administrador do sistema, de acordo com a rotulação da informação e o nível de privilégio do usuário. Geralmente, esse tipo de controle é aplicado no Controle de Acesso Mandatório – MAC.

4.6 Controle de Acesso Baseado em Perfis (RBAC)

No controle de acesso baseado em perfil (Role Based Access Control – RBAC), o acesso às informações é baseado em função do cargo ou do grupo em que o usuário pertence. São definidos genéricos com os respectivos privilégios e a determinação do perfil de um usuário é feita de forma discricionária pelo gestor de um recurso. Geralmente, esse tipo de controle é aplicado no Controle de Acesso Discricionário – DAC.

Mais informações sobre como adquirir o curso estão disponíveis no site:

http://socratesfilho.wordpress.com/

Um abraço!

»crosslinked«

Sócrates Filho

Analista de Finanças e Controle da CGU; Futuro Auditor Federal de Controle Externo do TCU; Professor do Ponto dos Concursos na área de TI.

Você pode gostar...

5 Resultados

  1. Maurício disse:

    Muito bom!

  2. Matheus19_ disse:

    Excelente! Prefiro mil vezes assistir aula, com o conteúdo “mastigado” e abordando os principais tópicos do que encarar um livro de mais de mil páginas em inglês. Se fosse só essa matéria pra estudar até ia… valew pela iniciativa professor!

  3. Sócrates Filho disse:

    Antes de tomar essa conclusão precipitada, peço que você leia a aula demonstrativa do curso, que eu deixei disponível no site http://socratesfilho.wordpress.com/
    Um abraço!

  4. Caio disse:

    Pelo o que vi até agora, esse seu curso é puramente uma tradução resumida do livro da Shon Harris…..Melhor comprar entao o livro dela

  1. outubro 17, 2016

    […] física de um funcionário. Além disso, as boas práticas de segurança, como a criação de autenticação de dois fatores e redes privadas virtuais (VPN), garantem que a informação está bloqueada e incapaz de ser […]

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *