artigo - métodos de autenticação aplicados na internet
TRANSCRIPT
¹ Artigo original do Trabalho de Conclusão do Curso de Graduação Sistemas de Informação do Centro Universitário do Distrito Federal (UDF). ² Acadêmico do 8º semestre do Curso de Graduação em Sistemas de Informação. Email: [email protected]
MÉTODOS DE AUTENTICAÇÃO APLICADOS NA INTERNET. ¹
Rafael Dos Santos Felipe²
Orientador: Professor Anderson Ferreira
Centro Universitário do Distrito Federal (UDF) – Curso de Sistemas de Informação -
Campus II SGAS 903 Bloco D Lote 79 - Asa Sul – Brasília - DF
RESUMO
Este trabalho de conclusão de curso apresenta uma visão geral dos métodos
de autenticação utilizados na internet atualmente, para isto, descreve a internet e
seus impactos no mundo moderno e identifica algumas motivações que levam
pessoas a atuarem de forma criminosa na internet além de apresentar algumas
medidas básicas para garantir uma navegação segura. A pesquisa traz os conceitos
básicos de segurança da informação e identifica os métodos de autenticação mais
usados na internet atualmente, tais como: Senha, Token, QR Code, Certificado
Digital, Impressão Digital e outros. Por fim, são trabalhadas as principais arquiteturas
de autenticação vistas nos grandes portais da internet como a autenticação em duas
etapas e a autenticação única. Para realização desta pesquisa, foram feitos
levantamentos bibliográficos, leitura de artigos publicados em sites e livros de
autores renomados da área de tecnologia da informação.
Palavras-chave : Autenticação, Autenticação na Internet, Segurança da Informação.
2
ABSTRACT
This work of completion provides an overview of the authentication methods
used on the Internet today, for that, part of a brief description about the internet and
its impact on the modern world, some motivations that lead people to act in a criminal
way of internet and some basic measures to ensure safe navigation. The research
provides the basics of information security and the authentication methods used on
the Internet today, such as: Password, Token, QR Code, Digital Certificate, Digital
Printing and others. Finally, are worked the authentication architectures most seen in
large Internet portals at this days, such as authentication and two-step authentication
and single-sign on. For this research, literature surveys are made, reading articles
posted on websites and books by renowned IT area.
Keywords : internet authentication; information security; authentication.
1. INTRODUÇÃO
Uma pessoa ao navegar na internet, acessar sua caixa de e-mails ou verificar
uma conta bancária através do internet banking, precisa realizar um procedimento
que se tornou habitual para usuários da web, a autenticação. O processo de
autenticação esta inserido no cotidiano das pessoas, que o fazem muitas vezes sem
os devidos cuidados.
A autenticação é o ato de reconhecer algo ou alguém como verdadeiro, em
outras palavras legitimar uma identidade, afim de, conceder acesso a dados e
informações. O processo de autenticação quando usado em conjunto com outros
serviços da segurança da informação garante, além de tudo, a confidencialidade da
identidade de usuários e a integridade de seus dados.
Embora a internet esteja repleta de ameaças que buscam comprometer a
segurança dos dados e a cada momento novos tipos de fraudes surgem no cenário
digital, tem-se investido cada vez mais no avanço das tecnologias que tendem no
sentido oposto, no sentido de garantir a coerência e confiabilidade de dados na web.
Diante deste cenário, notou-se a necessidade de se identificar e documentar os
3
principais métodos de autenticação utilizados atualmente, de forma que essa
pesquisa possa ser utilizada como base de conhecimento para futuros estudos que
visem o desenvolvimento de novo métodos de autenticação.
1.1. OBJETIVO
Identificar os métodos de autenticação mais utilizados no ambiente de redes
públicas (internet) atualmente, com a finalidade de servir como material de consulta
ou conteúdo de estudo para desenvolvimento de novos métodos de autenticação em
pesquisas futuras.
2. REFERENCIAL TEÓRICO
2.1. A internet
A Internet é uma rede que liga milhões de computadores em todo o mundo.
Duas décadas atrás poucas pessoas tinham escutado falar dela. Observa-se hoje
que ela revolucionou a forma como as pessoas usam os computadores. Muitas
dependem da web diariamente para se comunicar e para obter as informações de
que precisam (MICROSOFT, 2013). Diferentemente dos serviços online que têm um
controle centralizado, a internet é descentralizada por design. Cada computador é
independente e chamado de host. Para se conectar, existem várias formas, a mais
comum é através de um provedor de internet (ISP) (WEBOPEDIA, 2013).
James (2010) afirmou que possivelmente essa tenha sido a única tecnologia
que afetou a vida humana independentemente de sua localização geográfica,
linguagem ou profissão. A internet encolheu o mundo e aproximou as pessoas.
Mudou a forma como os computadores trabalham e a forma dos indivíduos
trabalharem com essas máquinas. A rede teve um impacto louvável em diferentes
áreas, especialmente nas de aprendizado, trabalho e comunicações. Chegou ao
ponto de que nenhuma pessoa pode escapar da influência dessa tecnologia.
A maior rede de computadores do mundo se caracteriza pela forma
descentralizada com que atua. Oferece serviços de comunicação de dados, como
4
acesso remoto, transferência de arquivos e correio eletrônico. Baseada no protocolo
TCP/IP, também chamado de conjunto IP, esse conjunto de regras atribui a cada
computador conectado um endereço exclusivo (IP) que funciona como uma
identificação única. Assim, é possível localizar qualquer computador dentro da rede e
trocar dados com ele. A internet é considerada um novo meio de comunicação
pública, equivalente ao telefone ou à televisão (SAWAYA, 2005, p. 241).
2.2. Expansão da internet
A tendência atual é de que a internet seja acessada por dispositivos móveis,
pois estar sempre conectado ganhou muita força nos últimos anos com os tablets e
smartphones. Conectar-se é uma necessidade diária de boa parte da população e
novos aplicativos são lançados a cada dia. Nos próximos anos, a expectativa é de
que o foco esteja cada vez mais na convergência das mídias para a Internet. Checar
e-mails, acessar as redes sociais, fazer ligações, assistir a vídeos, acessar conta
bancária, fazer pagamentos, entre outros: tudo através do mesmo dispositivo.
Em uma pesquisa recente realizada pela Internet World Stats, foi aferido que
a rede abrange a vida de quase dois bilhões e meio de pessoas (2.405.518,37). Elas
representam 34,3% da população mundial (INTERNET WORLD STATS, 2012).
De acordo com dados do Internet Systems Consortium sobre a evolução da
web no Brasil, em 1995 havia cerca de 800 hosts conectados à internet. Uma
década depois, esse número seria de 3.934.577 e a cada ano em média se
conectavam 394.457 novos hosts (ISC, 2013):
Tabela 1 : Evolução do número de hosts do Brasil (em milhões).
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
Jan. 0,1 0,4 0,8 1,6 2,2 3,1 3,9 5 7,4 10,5 14,6 17,7 21,1
Jul. 0,3 0,6 1,0 1,9 3,4 4,3 6,5 8,2 9,5 15,9 19,3 22,2
A internet no Brasil obteve crescimentos expressivos entre 2008 e 2012. Mais
de 24,5 milhões de novos internautas começaram a navegar na rede, um acréscimo
de quase 45% no período. Além disso, houve aumento na inserção da internet
Banda Larga em domicílios com internet. Em 2010, esse número chegou a 21% da
5
população brasileira (CETIC, 2013).
2.3. Cenário atual da Internet
A cada dia mais pessoas acessam a internet em busca de informações sobre
diversos assuntos, sejam esportes, clima, cotação da bolsa de valores, notícias.
Também é possível vender e comprar bens e serviços pela WEB.
Conseqüentemente, muitos negócios têm surgido para os consumidores que usam a
internet como canal de comunicação. Esse novo modelo de interação com a mídia
eletrônica se chama comércio eletrônico (YANG, 2005).
Como explica Fernandes (2013), atualmente todas as grandes organizações
mundiais usam a rede como ferramenta básica no processo de produção, as
empresas estão mais dependentes dela para a realização dos negócios. O
crescimento do comércio eletrônico as coloca face a face com um novo modelo de
negócios no qual a internet torna-se ferramenta vital. O uso dessa tecnologia traz
muitos benefícios, mas expõe a diversos riscos e ameaças, que podem gerar
grandes prejuízos, seja devido ao “downtime”, ou seja, o tempo em que a rede fica
indisponível para o uso, seja pela exposição de informações vitais da empresa
através da web.
O comércio eletrônico gera uma grande quantidade de transações eletrônicas
na rede mundial de computadores, despertando a atenção de pessoas mal
intencionadas, denominadas crackers, cujo intuito é interceptar informações
sigilosas, tais como dados de cartões de crédito ou senhas de contas bancárias. A
mídia vem aplicando erroneamente o termo hacker aos crackers, que são indivíduos
com os mesmos conhecimentos avançados dos hackers, mas utilizam para quebrar
a segurança de sistemas, roubar informações, tendo como foco obter algum ganho
financeiro (FERNANDES, 2013, p. 20).
O Dicionário de Informática e Internet (2006) define os hackers como
programadores tecnicamente sofisticados, que dedicam boa parte de seu tempo a
conhecer, dominar e modificar programas e equipamentos.
Atualmente, milhões de usuários e organizações estão usando a internet para
fazer transações bancárias, comércio eletrônico, armazenamento de dados pessoais
6
e etc. A segurança, portanto, é um problema potencialmente crítico.
2.4. Segurança da Informaçao na Internet
Ao navegar na internet, o usuário torna-se disponível na rede para receber e
enviar e-mails, navegar em sites e conversar com outras pessoas, porém são
abertas portas que podem ser usadas por crackers e outros usuários mal
intencionados. As motivações mais comuns para invasões são:
• Acesso a recursos adicionais de hardware de outros usuários : ao
se conectar a outros usuários, o cracker pode consumir recursos da
rede e de hardware da vítima;
• Obtenção de vantagem competitiva entre organizações : chamado
também de espionagem industrial, é quando dados confidenciais são
roubados de concorrentes por um cracker contratado para aquela
finalidade;
• Obtenção de recursos econômicos : a motivação mais comum para
ataques na rede. São principalmente fraudes com números de cartão
de crédito ou sistemas de internet banking;
• Interesses políticos : crackers com fundamentos ideológicos podem
atacar sites de organizações para demonstrar seu descontentamento;
• Cyber terrorismo : o uso da tecnologia da informação para tornar
indisponível a infraestrutura de uma cidade ou país, causando grandes
prejuízos;
• Roubo de informações pessoais : ao obter dados valiosos (fotos,
vídeos e outros), o criminoso pode se valer da chantagem para
conseguir o que deseja;
• Descontentamento pessoal ou vingança : motivos pessoais também
levam criminosos a agir na rede.
Além de todos esses fatores, os crackers também podem ser influenciados a
cometer crimes por curiosidade, desejos sádicos de causar prejuízos a terceiros e
até mesmo por mera diversão (FERNANDES, 2013, p. 21).
A navegação segura também exige atenção, pois acessar a internet sem os
7
devidos cuidados pode expor o usuário comum a uma série de ameaças (CERT,
2012), como:
• Acesso a conteúdos impróprios ou ofensivos : pornografia, violência,
incitação ao ódio e ao racismo e etc;
• Contato com pessoas mal intencionadas : essas se aproveitam do
anonimato para aplicar golpes e cometer crimes, como estelionato, sequestro
e extorsões;
• Furto de identidade : impostores podem se passar por outra pessoa a fim de
colocar em risco a imagem e reputação do outro;
• Furto e perda de dados : através de spywares, trojans e outros softwares que
são capazes de captar e enviar dados de um computador para outro de forma
invisível;
• Invasão de privacidade : a divulgação de informações pessoais pode
comprometer a privacidade do usuário, de seus amigos e familiares e, mesmo
com acesso restrito, não há como controlar se elas serão ou não passadas
adiante. Além disso, os sites costumam ter políticas próprias de privacidade e
podem alterá-las sem aviso prévio, tornando público aquilo que antes era
privado.
As ameaças à segurança através da rede foram responsáveis por inúmeros
roubos de identidade e fraudes financeiras. Spam, vírus e spyware geram problemas
consideráveis para consumidores e empresas. Uma violação de segurança pode
provocar danos irreparáveis à marca ou à reputação comercial. Os roubos de
informações são hoje um negócio lucrativo, em geral, controlado pelo crime
organizado (CISCO, 2010).
Tabela 2 : Total de ocorrências na internet (em milhares) (CERT.BR):
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
5,9 12,30 25,09 54,60 75,72 68,00 197,89 160,08 222,52 338,34 142,84 399,51 466,0
2.5. Definição de Segurança da Informação
De acordo com o Dicionário de Informática e Internet (2006), Segurança da
8
Informação é o conjunto de medidas que devem ser tomadas para assegurar a
proteção física da informação, sua coerência e confiabilidade.
Conforme definição da norma ABNT NBR ISO/IEC 27002:2005, Segurança da
Informação é a proteção da informação contra vários tipos de ameaças, para garantir
a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidades.
A informação pode existir em diversas formas. Pode ser impressa ou escrita
em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma
em que é apresentada ou o meio pelo qual a informação é compartilhada ou
armazenada, é recomendado que seja sempre protegida adequadamente (SERASA
EXPERIAN, 2012).
Para definição do nível de segurança de um sistema de computação, é
necessário conhecer os serviços de segurança que ele implementa. Segundo os
padrões internacionais definidos na norma citada acima, os principais são os
seguintes:
• Integridade : Consiste na garantia de que a informação permaneceu íntegra,
ou seja, não sofreu nenhuma alteração de suas características originais,
desde a sua transmissão ou armazenamento até o destino, sem que
houvesse autorização do autor da mensagem;
• Disponibilidade : Propriedade que garante que a informação não se torne
indisponível sem autorização, assegurando ao usuário o acesso aos dados
sempre que for necessário, ou seja, por aqueles usuários autorizados pelo
proprietário da informação;
• Não Repúdio : É um serviço de segurança que consiste em técnicas e
métodos para que o remetente da mensagem não possa negar a autoria da
mensagem em caso de uma auditoria futura;
• Autenticidade : O controle da autenticidade está relacionado com a
identificação correta de um usuário ou computador. O serviço de autenticação
em um sistema deve assegurar ao receptor que a mensagem é realmente
procedente da origem informada;
• Confidencialidade : Propriedade que limita o acesso à informação, para que
9
não possa ser acessada por pessoas não autorizadas. É o mecanismo que
visa proteger a informação contra leitura e/ou cópia por alguém que não tenha
sido explicitamente autorizado pelo proprietário daqueles dados. Alguns
aspectos importantes da confidencialidade são os seguintes:
o Identificação : É o método usado para que um usuário, programa ou
processo disponibilize ao sistema sua identidade. É pré-requisito para
o processo de autenticação;
o Autenticação : Após prover a identidade ao sistema, o usuário deve
fornecer uma senha, frase secreta, certificado, PIN ou algo que ele
possua para garantir sua autenticidade;
o Autorização : Esse último processo ocorre após a autenticação. Uma
vez que as credenciais são propriamente verificadas e validadas, o
sistema deve verificar os privilégios segundo uma matriz de acesso e
autorizar o acesso apenas aos sistemas autorizados.
• Auditoria : Por meio desse serviço de rede, é possível criar registros,
conhecidos como logs, nos quais as ações ocorridas na rede ficam
registradas e podem ser auditadas no futuro para verificação de
irregularidades. A auditoria consiste na capacidade de verificar as atividades
do sistema e determinar o que foi realizado, por qual usuário, quando e o que
foi afetado.
A correta aplicação desses princípios permite a segurança da informação
trazer benefícios como: melhorar a produtividade dos usuários por meio de um
ambiente organizado, melhorar o controle sobre os recursos de informática e
finalmente garantir a funcionalidade das aplicações críticas da empresa (RUSSO,
2001, p. 15).
Muitas organizações, sejam elas públicas ou privadas, ainda se mostram
despreparadas para lidar com a Segurança da Informação. Isso decorre do fato de
que elas possuem poucos instrumentos de proteção, agravados pela
desorganização gerencial, tornando-as mais vulneráveis às ameaças. Com isso, os
impactos causados pelos eventos negativos tendem a ser mais fortes (LUNARDI;
DOLCI, 2006).
10
2.6. Definição de Autenticação
Segundo definição do site de termos de segurança em informática e internet
Search Security (2013), autenticação é o processo de determinar se alguém ou
alguma coisa é de fato, quem ou o que ele declara ser. Em redes de computadores
privadas e públicas (incluindo a Internet), a autenticação é geralmente feita através
do uso de senhas (password). O Conhecimento da senha é usado para garantir que
o usuário é autêntico. Em sistemas de segurança da informação, autenticar é
diferente de autorizar, que é o processo de oferecer acessos individuais aos objetos
do sistema baseados em sua identidade. Autenticação apenas garante que o
indivíduo é quem ele ou ela reivindica ser, mas não diz nada sobre os direitos de
acesso do indivíduo (WEBOPEDIA, 2013).
Essa etapa consiste em mecanismos que verificam se a mensagem é mesmo
de quem diz ser o remetente. A autenticação é necessária após todo processo de
identificação, seja de um usuário para um sistema, de um sistema para o usuário ou
de um sistema para outro sistema. Ela é a medida de proteção de um
serviço/informação contra a personificação por intrusos (PUTTINI, 2001).
Para Hutington (2009), a autenticação é o processo de determinar se um
usuário ou identidade é quem ele diz ser. É realizada utilizando algo que o usuário
sabe (como senha), possui (como um Token de segurança) ou é (como dados
biométricos). Para realizar esse processo, são utilizados um ou mais fatores de
autenticação e cada um deles é uma parte da informação usada para autenticar ou
legitimar a identidade de uma pessoa em um procedimento de segurança, para
garantir direitos de acesso individual a cada usuário de um dado sistema.
Como explica Fernandes (2013), os processos de autenticação são
extremamente comuns em redes de domínios públicos, como a internet, e em redes
privadas. Existem vários métodos e eles podem ser organizados em:
• Autenticação por algo que o usuário saiba;
• Autenticação por algo que o usuário tenha;
• Autenticação por algo que o usuário seja.
11
2.6.1. Servidores de Autenticação (AAA)
Os servidores de autenticação foram desenvolvidos para confirmar se o
usuário é autêntico, realizar a autorização e principalmente a auditoria. Essas
soluções ficaram conhecidas como AAA: Autenticação, Autorização e Auditoria
(Authentication, Authorization and Accounting).
São utilizadas vastamente tanto na internet, no processo de controle e
autenticação, como nas empresas, de forma a controlar e contabilizar os acessos
dos usuários à rede e às informações.
Servidores AAA servem programas que tratam requisições de usuários para
acesso a funcionalidades de computadores. Em ambientes organizacionais,
servidores de autenticação provêm serviços de autenticação, autorização e
auditoria. Um servidor típico de AAA interage com o acesso à rede, servidores de
gateway, diretórios de banco de dados e com arquivos que contenham informações
sobre os usuários. O padrão atual para cada dispositivo ou aplicação se comunicar
com um servidor de serviços AAA é o protocolo RADIUS (SEARCH SECURITY,
2013).
2.6.1.1. Protocolo RADIUS
O RADIUS (Remote Authentication Dial In User Service) é um protocolo
padrão da indústria, descrito na RFC 2865 e na RFC 2866. Ele provê de forma
centralizada autenticação, autorização e auditoria no processo de gerenciar
computadores que estarão se conectando e usando um determinado serviço de
rede.
RADIUS é um protocolo do tipo cliente/servidor que roda como um protocolo
da camada de aplicação, usa como apoio o protocolo de transferência UDP (User
Datagram Protocol). O RADIUS tem uma porta para autenticação (UDP 1645 ou
UDP 1812) e outra para contabilidade (UDP 1646 ou UDP 1813) (TECHNET, 2012).
Tanto Servidores de Acesso Remoto (RAS) como servidores de Redes
Virtuais Privadas (VPNs) e Servidores de Acesso a Rede (NAS) e todos os gateways
que controlam o acesso à rede possuem um componente cliente do protocolo
12
RADIUS que se comunica com o servidor RADIUS. O servidor RADIUS possui três
funções básicas:
• Autenticação de usuários ou dispositivos antes da concessão de acesso a
rede;
• Autorização de usuários ou dispositivos a usarem determinados serviços
providos pela rede;
• Auditar o uso dos serviços da rede através de logs.
Figura 1 – Componentes da Infraestrutura RADIUS.
Os componentes de uma rede que usa RADIUS têm funções distintas e bem
definidas. Os clientes desejam usufruir de um recurso da rede, como por exemplo,
associar-se a um Access Point (Ponto de Acesso). O host que recebe uma
solicitação de acesso do cliente é chamado de NAS (Network Authentication Server)
e envia uma solicitação de autenticação a um servidor RADIUS. O Servidor RADIUS
por sua vez validará o pedido do NAS. A resposta do pedido de autenticação pode
ser positiva (Access-Accept) ou negativa (Access-Reject). Os RFCs 2865 e 2866
definem os seguintes tipos de mensagens RADIUS:
• Access-Request: Enviada por um cliente RADIUS para solicitar a
autenticação e autorização;
• Access-Accept: Enviada por um servidor RADIUS em resposta a uma
13
mensagem Access-Request. Esta mensagem informa o cliente RADIUS de
que a tentativa de ligação foi autenticada e autorizada;
• Access-Reject: Enviada por um servidor RADIUS em resposta a uma
mensagem Access-Request. Esta mensagem informa o cliente RADIUS de
que a tentativa de ligação foi rejeitada. Um servidor RADIUS envia esta
mensagem se as credenciais não forem autênticas ou se a tentativa de
ligação não for autorizada;
• Access-Challenge: Enviada por um servidor RADIUS em resposta a uma
mensagem Access-Request. Esta mensagem é um desafio ao cliente
RADIUS que solicita uma resposta;
• Accounting-Request: Enviado por um cliente RADIUS para especificar
informações de gestão de contas para uma ligação que foi aceite;
• Accounting-Response: Enviada pelo servidor RADIUS em resposta a uma
mensagem Accounting-Request. Esta mensagem confirma a recepção e
processamento com êxito da mensagem Accounting-Request.
2.6.1.2. Protocolo Kerberos
Trata-se de um protocolo de autenticação seguro definido pela RFC 1510. O
Kerberos foi desenvolvido no projeto Athena do MIT (Massachutts Institute of
Technology). É uma solução madura, confiável e segura para autenticação de rede
que usa a tecnologia de criptografia de chave simétrica ou chave secreta. Além
disso, é o protocolo de autenticação nativo do sistema operacional Microsoft
Windows 2000 em diante (FERNANDES, 2013, p. 67).
O funcionamento, de maneira geral, se baseia inicialmente em autenticar com
base nas credenciais do usuário, depois a criação e envio de pacotes de informação,
chamados tíquetes (tickets) entre os clientes e seus servidores. No Kerberos, são
usados três servidores para isso: Servidor de Autenticação (AS), Servidor de Tickets
(TGS) e o Servidor do serviço desejado.
O mecanismo de autenticação Kerberos emite tíquetes para permitir o acesso
aos serviços de rede. Esses tíquetes contêm dados criptografados, incluindo senha
criptografada, que confirmam a identidade do usuário para o serviço solicitado.
14
Um serviço importante no Kerberos é o Centro de Distribuição de Chaves
(KDC). O KDC é executado em cada controlador de domínio como parte do serviço
de diretório do AD (Active Directory), que armazena todas as senhas de cliente e
outras informações sobre contas (TECHNET, 2013) O processo de autenticação pelo
Kerberos funciona da seguinte forma:
• O usuário em um sistema cliente, com uma senha ou um cartão inteligente,
fornece autenticação ao KDC;
• O KDC emite um tíquete de concessão de tíquete (TGT) especial para o
cliente. O sistema cliente usa esse TGT para acessar o serviço de concessão
de tíquete (TGS), que faz parte do mecanismo de autenticação Kerberos V5
no controlador de domínio;
• Em seguida, o TGS emite um tíquete de serviço para o cliente;
• O cliente apresentará esse tíquete de serviço ao serviço de rede que foi
solicitado. O tíquete de serviço comprova a identidade do usuário para o
serviço e a identidade do serviço para o usuário.
3. METODOLOGIA DE PESQUISA
Para realização do artigo foram empregados os procedimentos técnicos de
pesquisa qualitativa e pesquisa bibliográfica, como explica GIL (2008) são realizadas
três etapas até a finalização da pesquisa qualitativa, são elas: a redução dos dados
(seleção da informação), apresentação dos dados (organização do material
coletado) e por fim a conclusão juntamente com a verificação que busca rever os
dados conforme for necessário.
A pesquisa qualitativa não oferece fórmulas ou receitas predefinidas, dessa
forma a análise dos dados obtidos na pesquisa depende de visão particular do
pesquisador. Na pesquisa qualitativa, o pesquisador é um interpretador da realidade
(BRADLEY, 1993 p. 436).
Na pesquisa bibliográfica foram consultadas várias literaturas relativas ao
assunto em estudo, artigos publicados na internet e que possibilitaram que este
trabalho tomasse forma para ser fundamentado.
15
Segundo Marconi e Lakatos (1992), a pesquisa bibliográfica é o levantamento
de toda a bibliografia já publicada, em forma de livros, revistas, publicações avulsas
e imprensa escrita. A sua finalidade é fazer com que o pesquisador entre em contato
direto com todo o material escrito sobre um determinado assunto, auxiliando o
cientista na análise de suas pesquisas ou na manipulação de suas informações. Ela
pode ser considerada como o primeiro passo de toda a pesquisa científica.
4. RESULTADOS
Neste capítulo são apresentados os resultados obtidos através da pesquisa.
4.1. MÉTODOS DE AUTENTICAÇÃO APLICADOS NA INTERNET
4.2. Autenticação por algo que você saiba
A autenticação por algo que o usuário sabe é o mais utilizada na internet e
nas organizações. Baseia-se no conhecimento de um nome de usuário (username),
que pode ser o identificador de um usuário no sistema ou na rede, e uma senha
(password).
4.2.1. Senhas
Uma senha (password) pode ser definida como uma série secreta de
caracteres que permite a um usuário obter acesso a um arquivo, computador, rede
ou programa. Em sistemas multiusuários, cada usuário deve se autenticar através
de seu usuário e senha antes que o computador responda aos comandos. A senha
ajuda a impedir que pessoas sem autorização acessem o sistema (WEBOPEDIA,
2013).
A senha inicialmente deverá ser cadastrada em um banco de dados e em
seguida, para a autenticação, é realizada uma comparação entre a senha digitada e
a senha cadastrada. Quando as duas senhas são confirmadas como idênticas, o
sistema autentica o usuário (FERNANDES, 2013, p. 48).
16
A autenticação por senha é o método mais comum e é também o menos
seguro. De acordo com SANS (2012), para minimizar os problemas encontrados nos
métodos de autenticação por senha, deve-se utilizar uma política para
estabelecimento de senhas que em geral deve seguir algumas observações:
• Deve ser trocada em, no máximo, 30 dias;
• A autenticação deve ser bloqueada após 3 tentativas sem sucesso;
• Deve conter caracteres alfabéticos e numéricos;
• Não deve ser permitido o uso das 5 últimas senhas já cadastradas;
• Deve-se criptografar a senha antes de enviá-la pela rede;
• Deve conter caracteres maiúsculos e minúsculos;
• Deve ter, no mínimo, 8 caracteres;
• Não deve ser uma palavra em qualquer linguagem, dialeto ou jargão;
• Não deve ser baseada em informações pessoais, como nome, etc.
4.2.2. CAPTCHA
O termo CAPTCHA é uma abreviatura de Teste de Turing Público
Completamente Automatizado Para Diferenciação entre Computadores e Humanos
(Completely Automated Public Turing Test to Tell Computers and Humans Apart). É
uma técnica usada por software para responder se a interação está sendo realizada
entre computador e humano ou computador e computador (CAPTCHA, 2010).
O método CAPTCHA valida se o usuário é realmente um humano ou um
software realizando tarefas repetitivas, com intuito de causar prejuízos ou de
degradar a qualidade dos serviços prestados por um determinado sistema. O
CAPTCHA não pode ser considerado como uma operação de autenticação em si,
pois não autentica a identidade do usuário, porém valida a atividade de
autenticação, servindo assim como um fator extra de segurança.
Um sistema de CAPTCHAs consiste em meios automatizados de gerar novos
desafios que os computadores atuais são incapazes de resolver com exatidão, mas
a maioria dos seres humanos pode resolver (CAPTCHA, 2010).
Existem CAPTCHAs baseados em leitura de texto e em outras tarefas de
17
percepção visual. Eles impedem que um usuário cego ou com restrições visuais
acesse o recurso protegido. Por ser projetado para ser ilegível para sistemas OCR
(Reconhecimento Óptico de Caracteres), as ferramentas de assistência comuns da
tecnologia, tais como leitores da tela, não podem interpretá-los. Um CAPTCHA
visual também pode impedir o acesso de pessoas daltônicas. Por esta razão,
algumas versões permitem aos usuários optarem por um CAPTCHA de áudio
(STANDARDS SCHMANDARDS, 2005).
Pensando em aproveitar o esforço humano em decifrar os códigos
apresentados para validação da autenticação, um sistema novo foi criado por
pesquisadores da Universidade Carnegie Mellon em Pittsburgh.
Baseado na interface CAPTCHA, o reCAPTCHA ajuda a digitalizar o texto de
livros e fornece para sites inscritos imagens de palavras que o OCR não foi capaz de
identificar em imagens de livros. O sistema divulgou a estatística de mais de 100
milhões de reCAPTCHAs resolvidos por dia. (reCAPTCHA, 2013).
Figura 2 – Exemplo de reCAPTCHA.
4.2.3. Base de Conhecimento (KBA)
Autenticação por base de conhecimento ou KBA (Knowledge-Based
Authentication) é um método de autenticação em que cada usuário deve responder
pelo menos uma pergunta secreta. KBA é geralmente usado como uma camada
extra de segurança em autenticação forte ou em serviços de recuperação de
senhas.
Perguntas secretas podem ser estáticas ou dinâmicas. Em um modelo
estático, o usuário seleciona antecipadamente as perguntas que deseja responder e
fornece a resposta correta. A questão escolhida e a resposta são armazenadas e
usadas posteriormente para autenticar o usuário. Em um modelo dinâmico, o usuário
18
não faz ideia de qual pergunta será apresentada. Nesse caso, a pergunta é realizada
por meio de dados colhidos em registros públicos do usuário.
A pergunta secreta pode ser factual, como “Em que cidade você nasceu?”,
“Qual o nome de solteiro da sua mãe?”, ou pode ser sobre preferências, como “Qual
a sua comida favorita?”. Sistemas estáticos e dinâmicos dependem da suposição de
que se o usuário sabe as respostas corretas, sua identidade será confirmada
(SEARCH SECURITY, 2013)
4.3. Autenticação por algo que você tenha
Esse tipo de autenticação baseia-se na posse de algum objeto (um cartão ou
dispositivo) para realizar a autenticação. É muito inseguro se usado sozinho, uma
vez que o usuário pode perder ou mesmo ter o objeto roubado ou duplicado. Esse
mecanismo de autenticação é frequentemente combinado com algo que o usuário
saiba, como um login e senha.
4.3.1. Token
Trata-se de um pequeno dispositivo que apresenta um código de identificação
em constante mutação. O usuário entra com uma senha no sistema em que deseja
obter acesso e, em seguida, o cartão exibe um ID que será usado para
complementar a autenticação (WEBOPEDIA, 2013).
O ID gerado pelo Token é baseado na tecnologia OTP (One Time Password),
que pode se referir ao tempo (Time Based), gerando senhas dinâmicas a cada
fração de tempo previamente determinada, ou ao evento (Event based), gerando
senhas a cada clique do botão. Neste caso, a senha só é válida até o momento da
sua utilização, não dependendo do tempo.
Um Token, apesar de ser bem complexo do ponto de vista de engenharia,
realmente faz uma função bem simples: gera uma nova senha única para cada
tentativa de login. Token é uma chave de acesso à rede que usa autenticação em
dois fatores. Para ganhar acesso à rede protegida, o usuário deve possuir um Token.
O Token é o primeiro fator e é referenciado como "algo que o usuário tenha"
19
(FCBRASIL, 2013).
A empresa RSA é líder em soluções de segurança baseada em sincronismo
entre um servidor de autenticação e os cartões de autenticação (Tokens). O sistema
criado pela RSA pode ser um dispositivo USB, um hardware avulso como um
chaveiro, um software que é atribuído ao computador ou o smartphone do usuário.
Esse dispositivo vai gerar um código de autenticação temporário em intervalos fixos
de 60 segundos usando um relógio interno combinado com um identificador único do
dispositivo chamado de seed (RSA, 2013).
Figura 3 – Exemplos de Token
4.3.2. Smart Card
Smart Card ou cartão inteligente é um cartão de plástico do tamanho de um
de crédito, com um microchip embutido que pode ser carregado com dados. Além de
oferecer muito mais segurança do que um cartão magnético, um Smart Card provê
identificação, autenticação, armazenamento de dados e processamento de
aplicações.
Os cartões inteligentes podem fornecer autenticação forte para sistemas de
segurança Single Sign-On (SSO) dentro de grandes organizações (DMOZ, 2009).
Os Smart Cards contêm circuitos integrados, por isso podem ser chamados
de Integrated Circuit Cards (ICC). São usados para vários propósitos, geralmente
para realizar ligações em celulares GSM, armazenar registros hospitalares de
pacientes, armazenar dados de funcionários em crachás de identificação e guardar
dados para autenticação bancária em cartões de crédito (WEBOPEDIA, 2013)
Um cartão inteligente contém mais informações do que um cartão de tarja
magnética e pode ser programado para diferentes aplicações. Alguns cartões são
20
capazes de conter vários aplicativos e alguns podem ser atualizados para adicionar
novas aplicações depois de terem sido emitidos. Smart Cards são descartáveis ou
recarregáveis e podem ser desenhados para serem inseridos em slots e lidos por um
leitor especial ou à distância (SEARCH SECURITY, 2013).
As normas ISO/IEC 7816 e 7810 definem para esta categoria de Smart Cards
os seguintes requisitos: formato físico do cartão, posição e o formato dos conectores
elétricos, características elétricas, protocolos de comunicação, formato dos
comandos enviados ao cartão e as respostas retornadas por ele, robustez do cartão
e funcionalidades. Operam como um segundo fator para autenticação. Existem três
tipos de Smart Cards usados em processos de autenticação:
• Smart Card protegido por senha : nesse tipo de cartão, a informação
armazenada só pode ser acessada utilizando um código PIN;
• Smart Card criptografado : existe uma chave criptografada armazenada no
cartão, a qual é usada para criptografar a comunicação com o servidor de
autenticação;
• Smart Card sem contato : opera com um gerador de senha criptografada,
parecido com o funcionamento do Token RSA.
4.3.3. Infraestrutura de Chaves Públicas (PKI)
Infraestrutura de Chaves Públicas ou PKI (Public Key Infrastructure) é um
sistema de certificados digitais, autoridades certificadoras e outras autoridades de
registro que verificam e autenticam a validade de cada parte envolvida em
transações pela internet (WEBOPEDIA, 2013).
A PKI utiliza mecanismos de segurança baseados na criptografia de chaves
públicas para promover a autenticação, a confidencialidade, a integridade e o não
repúdio de informações. Esta infraestrutura surge como uma solução para garantir a
segurança na troca de informações sigilosas em ambientes inseguros como a
Internet. Dentre as atividades que exploram intensamente esta tecnologia, podemos
citar o acesso a bancos online (Internet banking), sítios de compra e venda (e-
commerce), a identificação de funcionários em uma empresa e a proteção de
21
documentos confidenciais (GTA DA UFRJ, 2008).
4.3.3.1. Assinatura Digital
Assinatura digital é uma tecnologia que permite dar garantia de integridade e
autenticidade a arquivos eletrônicos. É um conjunto de operações criptográficas
aplicadas a um determinado arquivo, tendo como resultado a assinatura digital. Ela
permite comprovar que a mensagem ou o arquivo não foi alterado e que foi assinado
pela entidade ou pessoa que possui a chave criptográfica (chave privada) utilizada
na assinatura (JUSTIÇA FEDERAL, 2012).
Assinatura digital utiliza a tecnologia de criptografia para realizar duas coisas:
provar que a mensagem não foi modificada no percurso da comunicação
(integridade da mensagem) e conectar o autor à informação (não repúdio). Com o
objetivo de provar que não foi modificada, a mensagem é criptografada e
transformada em um conjunto de valores através de um algoritmo avançado de
criptografia, resultando em um novo valor chamado hash ou digest.
O hash é também por vezes referido como uma impressão digital de uma
informação, porque estatisticamente as chances de um hash ter o mesmo valor para
qualquer outra mensagem é quase impossível. O hash é enviado juntamente com a
mensagem e a mesma transformação é executada no dispositivo receptor. Qualquer
tentativa de alterar a informação em trânsito vai resultar em uma mensagem que não
coincide com a sua assinatura digital (RSA, 2012).
Esse sistema funciona como uma garantia da autenticidade do emissor e que
as informações trocadas não sofreram modificação durante o percurso desde o
emissor até o receptor. Qualquer um que ler a mensagem assinada digitalmente
pode extrair a assinatura da chave, decodificar o seu conteúdo com a chave pública
do emissor e comparar o valor com o hash da própria mensagem recebida. Se os
valores forem idênticos, podemos assumir que a mensagem não foi modificada no
caminho entre o emissor e o receptor e que foi o emissor quem realmente enviou a
mensagem (GTA DA UFRJ, 2008).
Sob a ótica jurídica, verificamos que um documento pode ser considerado
genuíno quando não sofreu alterações. No mundo real, a autenticidade de um
22
documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais.
No mundo virtual, este item pode ser assegurado através do uso de assinaturas
digitais (TJMS, 2013).
Figura 4 – Exemplo de Assinatura Digital.
4.3.3.2. Certificado Digital
O certificado digital é um software que faz o papel de uma identidade digital,
ou seja, permite comprovar de forma eletrônica a identidade do usuário. Assim como
o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que
funcionam como um certificado físico (TJMS, 2013). Certificados Digitais contêm as
seguintes informações:
• Nome da pessoa ou entidade a ser associada à chave pública;
• Período de validade do certificado;
• Chave pública;
• Número de série;
• Informações da Autoridade Certificadora (AC) que emitiu o certificado.
A entidade encarregada de fornecer as chaves da assinatura digital é
chamada de Autoridade Certificadora, que é uma entidade independente e
23
legalmente habilitada para exercer as funções de distribuidora das chaves e pode
ser consultada a qualquer tempo, certificando que determinada pessoa é a titular da
assinatura digital, da chave pública e da respectiva chave privada (TJMS, 2013).
Figura 6 – Exemplo de Certificado Digital.
4.3.4. QR Code
QR Code significa Código de Resposta Rápida (Quick Response Code) é um
tipo de código de barras em 2D (Bidimensional) usado para prover fácil acesso a
informações através de um smartphone (SMART SECURITY, 2013).
A patente do QR Code foi registrada pela empresa japonesa Denso-Wave em
1994 para identificar peças na indústria automobilística. Desde 2003 é usado para
adicionar dados a telefones celulares através da câmera fotográfica.
Os QR Codes estão sendo usados em revistas, campanhas publicitárias e até
em games. São populares entre usuários de smartphones, que acessam endereços
URL através dos códigos. Com um software apropriado para leitura desse código, é
possível acessar informações em duas direções, tanto na horizontal como na vertical
(WEBOPEDIA, 2013).
No processo de leitura do QR Code, chamado Marcação Móvel (Mobile
Tagging), o usuário direciona a câmera do seu smartphone ao código e por meio de
um aplicativo de leitura que funciona juntamente com a câmera do dispositivo
24
interpreta o código que geralmente contém uma chamada a uma ação, como um
convite ao download de aplicativo, um link para vídeo ou uma solicitação de
preenchimento de uma pesquisa (SMART SECURITY, 2013).
O QR Code funciona como um fator de autenticação da categoria
“autenticação por algo que você tenha”, tornando a possibilidade de fraudes mais
distante, dessa forma é acrescida uma camada a mais de segurança. Muitas
empresas têm aderido à autenticação forte com o uso de senhas e do QR Code,
entre elas então o Banco do Brasil, a Microsoft e o Google.
Segundo site do Banco do Brasil, utilizando-se do QR Code e da criptografia,
o BB Code (Solução de Segurança do Banco do Brasil) autentica transações
bancárias realizadas pela internet de computadores e dispositivos móveis.
Atualmente o sistema está disponível apenas para sistemas operacionais Android,
iOS e Blackberry, porém a aplicação encontra-se em desenvolvimento para outros
sistemas operacionais (BANCO DO BRASIL, 2013).
O BB Code oferece alto nível de segurança contra todos os tipos de fraudes
da internet conhecidas atualmente. É possível utilizar o serviço em qualquer
dispositivo no Brasil e no Exterior, não sendo necessário cadastramento. Etapas
para autenticação de uma transação bancária com a solução de segurança BB Code
do Banco do Brasil:
• Efetuar o acesso ao espaço de gerenciamento da conta bancária, informando
agência, conta e senha de 8 dígitos em um computador ou dispositivo móvel,
como notebook ou tablet;
• Selecionar a transação desejada: “Transferência” ou “Pagamentos”;
• Inserir os dados da transação e confirmar;
• Ao confirmar a opção desejada, é mostrado na tela o QR Code;
• Ler o QR Code através de uma câmera no smartphone que possua o
aplicativo apropriado;
• No aplicativo do smartphone, selecionar a opção BB Code e em seguida
“Confirmar Transação”;
• Verificar os dados da transação na tela do smartphone;
• Escolher a opção “Confirmar”;
25
• O código de confirmação da transação é exibido na tela do smartphone;
• Informar o código no campo Código de Confirmação no computador e
confirmar;
• A transação é executada e finalizada.
Figura 7 – Aplicativo do Banco do Brasil e um exemplo de QR Code.
4.4. Autenticação por algo que você seja
Essa autenticação baseia-se em algumas características físicas ou de
comportamento do indivíduo. O sistema biométrico trabalha com o conceito de
verificação e identificação, comparando a característica biométrica lida com uma
anteriormente armazenada no sistema para autenticar um usuário.
4.4.1. Biometria
Como explica Martins (2007), qualquer característica fisiológica ou
comportamental do ser humano poderia ser uma biometria desde que tivesse as
seguintes propriedades:
• Universalidade : todas as pessoas devem ter a característica;
• Singularidade : duas pessoas não devem ter a mesma característica;
• Permanência : a característica deve ser invariante com o tempo;
• Contabilidade : a característica pode ser medida quantitativamente.
26
Em geral, significa o estudo das características biológicas mensuráveis. Em
segurança de computadores, a biometria se refere às técnicas de autenticação que
dependem de características físicas mensuráveis que podem ser verificadas
automaticamente (WEBOPEDIA, 2013). Existem vários tipos de sistemas de
identificação biométrica:
• Rosto : a análise das características faciais;
• Impressão digital : a análise de impressões digitais únicas de um indivíduo;
• Geometria da mão : a análise da forma da mão e do comprimento dos dedos;
• Retina : a análise dos vasos capilares situados na parte de trás do olho;
• Íris : a análise do anel colorido que circunda a pupila do olho;
• Assinatura : a análise da maneira como a pessoa assina o seu nome;
• Veias : a análise do padrão das veias na parte de trás da mão e do pulso;
• Voz: a análise do tom, altura, cadência e frequência da voz de uma pessoa.
A palavra biometria origina-se de dois termos gregos: bio e metria significam
medida da vida. Medindo-se características físicas que são únicas para cada
indivíduo do planeta, consegue-se chegar ao nível de confiabilidade e segurança
que nenhum outro sistema de autenticação conseguiu alcançar.
A biometria considera uma parte do corpo do usuário que, na verdade,
funciona como uma senha para identificação. Uma das grandes vantagens desse
sistema é que o usuário não necessita carregar consigo cartões ou Tokens de
autenticação nem lembrar-se de senhas. Outro ponto importante é que uma
característica biométrica não pode ser roubada (FERNANDES, 2013, p. 53).
As biometrias mais implementadas ou estudadas incluem as impressões
digitais, reconhecimento de face, íris, assinatura e até a geometria das mãos. As
impressões digitais vêm sendo usadas por mais de um século, enquanto a íris é
objeto de estudo há pouco mais de uma década. Não existe ainda uma modalidade
biométrica que se aplique em todas as situações. Muitos fatores devem ser levados
em conta para se implantar um sistema biométrico, tais como localização, riscos de
segurança, número de usuários, entre outros (TSE, 2013).
27
O processo de associar uma identidade ao indivíduo é chamado de
identificação pessoal. O problema de análise da identidade de uma pessoa pode ser
dividido em dois tipos distintos de problemas com diferentes complexidades:
identificação e autenticação. O cenário de identificação é mais complexo porque,
além de extrair características da impressão digital, é também necessário realizar
pesquisa em bases de dados, sem garantia de que o indivíduo conste na mesma.
A autenticação é mais simples já que previamente é efetuado o registro da
impressão digital da pessoa e depois, sempre que a mesma pretenda ser
autenticada, a sua impressão é comparada com a do registro. Caso a semelhança
entre as impressões digitais seja grande, a pessoa é autenticada. A maioria das
aplicações civis e comerciais opera neste modo (GTA DA UFRJ, 2008).
Figura 8 – Processo de Identificação e Autenticação por impressão digital.
5. ARQUITETURAS DE AUTENTICAÇÃO APLICADAS NA INTERN ET
Neste capítulo são descritos os métodos de autenticação mais utilizados na
internet atualmente.
5.1. Autenticação Forte
O processo de autenticação é baseado em uma análise do risco no qual a
aplicação está envolvida. Aplicativos, informações e sistemas de alto risco exigem
28
mais fatores de autenticação, que devem confirmar com mais precisão a identidade
digital que o usuário afirma ter, do que se fosse uma aplicação de baixo risco, na
qual a confirmação da identidade digital não é tão importante do ponto de vista da
segurança. Isso é comumente referido como autenticação forte, que acrescenta
camadas de verificação de identidade para garantir que somente usuários
autorizados obtenham acesso à rede através de uma variedade de fatores
(AUTHENTICATION WORLD, 2013).
A autenticação forte ou de múltiplos fatores é definida como a autenticação
que utiliza dois ou mais fatores diferentes de verificação de identidade. Um exemplo
de uma verdadeira autenticação forte é o uso de cartão bancário em terminais de
auto-atendimento, onde um usuário é obrigado a inserir um cartão inteligente (algo
que ele tem) em um leitor e então digitar o PIN ou um “password” (algo que ele
sabe) a fim de acessar uma rede segura. Se, além disso, eles também tiverem que
colocar as pontas de seus dedos (algo que ele é) em um leitor biométrico de
impressão digital, seria acrescentado um terceiro fator de verificação. Cada nível de
verificação de identidade acrescenta uma camada adicional de proteção (GEMALTO,
2013).
5.2. Autenticação em duas etapas
Na internet, a autenticação com dois fatores (ou autenticação forte) tem sido
comumente chamada de autenticação em duas etapas. Basicamente é o
procedimento que adiciona uma camada extra de segurança para o acesso do
usuário ao internet banking, serviços de armazenamento de dados em nuvem,
contas de e-mail, redes sociais e outros. Muitas empresas tem adotado essa
arquitetura de autenticação, dentre elas estão Microsoft, Google, Twitter, Facebook,
Linkedln e DropBox.
Como explica o site SANS (2012), a autenticação de duas etapas funciona
quando um usuário deseja acessar sua conta online e ele possui um username
(login) e um password (senha). Após obter sucesso ao entrar com os dados corretos,
em vez de ir direto para os dados da conta, o site requer um segundo fator de
autenticação, como a verificação de um código ou uma impressão digital. Se o
29
usuário não puder atender a essa exigência, o acesso não será liberado.
Como funciona a autenticação em duas etapas no provedor de e-mails Gmail
da empresa Google? Muitas pessoas autenticam o acesso de suas contas no Gmail
com a autenticação em duas etapas. A Google optou por potencializar a segurança
ao acesso de dados dos seus clientes com o que eles chamam de “autenticação em
dois passos”. Essa camada a mais de segurança requer do usuário dois fatores para
a autenticação, seu usuário/senha (algo que o usuário saiba) e seu smartphone
(algo que o usuário tem).
Para garantir que você está com o seu smartphone, a Google envia um
código de verificação OTP (One Time Password) por mensagem de texto, chamada
de voz ou por um aplicativo para dispositivos móveis. Esse código é uma senha
descartável que perde a validade após um processo de autenticação, ou seja, pode
ser usada apenas uma vez. Passos para a autenticação em dois passos do Google:
Figura 9 – O usuário acessa o domínio do Gmail.
30
Figura 10 – O usuário preenche o formulário, usando e-mail (login) e senha (password).
Figura 11 – O sistema envia um código numérico (OTP) para um telefone cadastrado
31
Figura 12 – O usuário insere no formulário do site o código recebido em seu telefone.
Figura 13 – Acesso liberado aos dados da conta do usuário.
32
5.3. Autenticação Single Sign-On ou Logon único
Single Sign-On (SSO) descreve a capacidade de usar um conjunto de
credenciais, um ID e uma senha ou um código de acesso, por exemplo, para
autenticar e acessar as informações de um sistema, aplicação e até nas fronteiras
de um sistema organizacional. Pode ser chamado de Web SSO quando é acessado
através de um navegador. Com SSO, uma pessoa autentica apenas uma vez para
uma sessão de trabalho especial, independentemente de onde a informação que
deseja acessar está localizada. Este processo oferece maior segurança ao longo da
sincronização de senhas (RSA, 2013).
Single Sign-On ou Reduced Sign-On (RSO) é a capacidade de reduzir o
número de usernames (nome de usuários) e passwords (senhas) que um usuário
tem que se lembrar. Na maioria das empresas, um business case (caso de negócio)
concreto pode ser desenvolvido para implementar o Single Sign-On. Esta também é
uma arquitetura que se baseia em uma análise de riscos e assim como a
autenticação forte, pode exigir diferentes formas de autenticação do usuário para
autorizar acesso a aplicações de risco mais elevado. Assim, um usuário pode fazer o
login usando o seu username e password para ter acesso geral de baixo risco para a
empresa. Quando o usuário, em vez disso, tenta acessar informações e aplicações
mais sensíveis ou críticas ao funcionamento do negócio, o software gerenciador de
permissões irá aplicar o uso de autenticação forte, solicitando ao usuário outros
fatores de autenticação, como um Token de segurança, um certificado digital e/ou
uma validação biométrica. A combinação do Single Sign-On com outro fator de
autenticação é chamada de Strong Single Sign-On (S3O) (AUTHENTICATION
WORLD, 2006).
Atualmente muitas empresas optam por usar essa arquitetura de autenticação
segurança, já que durante um dia de trabalho os usuários terão de digitar um
número significativo de senhas para ter acesso aos vários sistemas da empresa. Por
exemplo, ao acessar o sistema operacional Windows, o sistema ERP, o sistema de
e-mail e as múltiplas aplicações online, cada um destes sistemas requer que os
usuários insiram uma combinação de usuário e senha para se identificar e ainda
precisam renovar a autenticação com freqüência quando, por exemplo, este entra
33
em modo de espera ou quando uma sessão expira.
6. CONSIDERAÇÕES FINAIS
Este trabalho constata não haver métodos de autenticação específicos para
atender determinadas aplicações e sim métodos de autenticação com níveis de
segurança diferentes que atendem aplicações com diferentes níveis de segurança.
Por exemplo, não é indicado usar somente a autenticação por senhas para
autenticar usuários ao acesso em sistemas internet banking, mas a senha
combinada com outro método de autenticação seja com uso de Tokens, Smartcards
ou QR Code, a fim de atingir o nível de segurança desejado. Porém o uso de senhas
para o acesso a sistemas de baixo nível de segurança como o acesso ao sistema
operacional em uma estação de trabalho é perfeitamente cabível, já que seria
inviável solicitar outros métodos de autenticação a cada tentativa de acesso feita
pelo usuário ao seu computador.
O trabalho identificou um campo de pesquisa amplo que pode e deve receber
investimentos em pesquisa devido ao crescimento constante de ameaças aos dados
de instituições financeiras e empresas que oferecem meios de pagamento online.
Identificar e autenticar os dados de transações financeiras realizadas por usuários
na internet pode não ser mais suficiente, pois mesmo métodos de autenticação
avançados como Tokens e Smart Cards estão sujeitos a serem burlados por ataques
baseados em malware e trojans, pois esbarram em possíveis dificuldades de uso e
falhas de conectividade. O uso de dispositivos que geram senhas temporárias (OTP)
também podem sofrer ataques Man-in-the-middle que possibilitam o roubo da senha
OTP através aplicações maliciosas instaladas nos smartphones e computadores
clientes.
Devido os fatos descritos, novos métodos de autenticação devem ser
desenvolvidos para atenderem a demanda por mais segurança que o mercado
exige. Uma solução que promete ser definitiva para a realização de transações
seguras na internet é o IPT da empresa Intel, líder mundial na fabricação de
processadores, de acordo com a empresa o IPT ou Indentity Protection Technology
permite que pequenas aplicações possam ser executadas diretamente dentro do
34
processador sem interferência do sistema operacional (SO). Isso significa que
mesmo em um SO infectado ou invadido, esse tipo de aplicações pode rodar
isoladamente. Uma das primeiras aplicações desenvolvidas para rodar internamente
aos processadores Intel foi o algoritmo TOTP (RFC 6238), o qual é exatamente o
mesmo código presente em tokens físicos distribuídos por bancos a seus clientes,
para prover o que é chamado de autenticação de segundo fator, ao gerar códigos
OTP diretamente do processador e prover acesso a sites de internet banking.
(INTEL, 2013).
7. REFERÊNCIAS BIBILIOGRÁFICAS
Livros
GIL, Antônio Carlos. Métodos e Técnicas de Pesquisa Social, 6ª Ed . São Paulo –
Brasil: Atlas, 2008.
BIDGOLI, Hossein. The Internet Encyclopedia. New Jersey. EUA: John Wiley &
Sons, Inc., 2004.
FERNANDES, Alexandre. Segurança em Redes; Fundamentos . São Paulo –
Brasil: Erica, 2012.
JAMES, K.L. The Internet: A User’s Guide. New Delhi . EUA: PHI, 2010.
LUNARDI, G. L. & DOLCI, P. C. Adoção de Tecnologia da Informação e seu
Impacto no Desempenho Organizacional: um estudo rea lizado com micro e
pequenas empresas . Salvador – Brasil: ENANPAD, 2006.
PINHEIRO, José Mauricio. Biometria nos Sistemas Computacionais: Você é a
senha . Rio de Janeiro – Brasil: Ciência Moderna, 2008.
SAWAYA, M. R. Dicionário de Informática e Internet . São Paulo – Brasil: Nobel,
35
2005.
LAKATOS, Eva Maria & DE ANDRADE MARCONI, Marina. Fundamentos de
Metodologia científica, 5ª Ed . São Paulo – Brasil: Atlas, 2003.
Artigos
SILVA, Márcia & SIQUEIRA FILHO, Venicio. Biometria através da Impressão
Digital . 2011. 28f Rio de Janeiro – Brasil. Disponível em:
<http://www.foa.org.br/cadernos/edicao/15/19.pdf> . Acesso em: 26 jun. 2013.
YANG, Y. The Security of Electronic Banking . 2005. 12f. Maryland – Estados
Unidos. Disponível em: <http://csrc.nist.gov/nissc/1997/proceedings/041.pdf>.
Acesso em: 05 mai. 2013.
BRADLEY, Jana. Methodological issues and practices in qualitativ e research .
Library Quarterly, v. 63, n. 4, p. 431-449, Oct. 1993.
Links
WEBOPEDIA: Internet . Disponível em:
<http://www.webopedia.com/TERM/I/Internet.html>. Acesso em: 20 jun. 2013.
MICROSOFT: Explorando a Internet . Disponível em:
<http://windows.microsoft.com/pt-br/windows-vista/exploring-the-internet>. Acesso
em: 20 jun. 2013.
INTERNET WORLD STATS: world internet usage and population statistics June
30, 2012. Disponível em: <http://www.internetworldstats.com/stats.htm>. Acesso em:
20 jun. 2013.
CERT.br: Evolução do número de hosts no Brasil , 2011. Disponível em:
36
<http://www.cetic.br/hosts/index.htm>. Acesso em: 20 jun. 2013.
ISIC: ISC Domain Survey . Disponível em: <http://www.isc.org/services/survey/>.
Acesso em: 20 jun. 2013.
CISCO: Segurança na Internet . Disponível em:
<http://www.cisco.com/web/BR/solucoes/pt_br/internet_security/index.html>. Acesso
em: 20 jun. 2013.
Serasa Experian: Segurança da Informação . Disponível em:
<http://www.serasaexperian.com.br/serasaexperian/seguranca/index.htm>. Acesso
em: 20 jun. 2013.
Concursopedia: ABNT NBR ISO/IEC 27002-2005 . Disponível em:
<http://www.concursopedia.com/ABNT_NBR_ISO/IEC_27002-2005>. Acesso em: 20
jun. 2013.
WEBOPEDIA: Authentication . Disponível em:
<http://www.webopedia.com/TERM/A/authentication.html/>. Acesso em: 20 jun.
2013.
Authentication World: The Business of Authentication . Disponível em:
<http://www.authenticationworld.com/>. Acesso em: 20 jun. 2013.
Search Security: AAA server (authentication, authorization, and accounting).
Disponível em: <http://searchsecurity.techtarget.com/definition/AAA-server>. Acesso
em: 20 jun. 2013.
Technet: Protocolo RADIUS . Disponível em: < http://technet.microsoft.com/pt
br/library/cc781821(v=ws.10).aspx>. Acesso em: 20 jun. 2013.
Technet: Autenticação Kerberos V5. Disponível em:
37
<http://technet.microsoft.com/ptbr/library/cc783708(v=WS.10).aspx>. Acesso em: 20
jun. 2013.
WEBOPEDIA: Passwords . Disponível em:
<http://www.webopedia.com/TERM/P/password.html>. Acesso em: 20 jun. 2013.
SANS: Passwords . Disponível em:
<http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201305_en.pdf>
Acesso em: 20 jun. 2013.
WEBOPEDIA: Captcha . Disponível em:
<http://www.webopedia.com/TERM/C/CAPTCHA.html>. Acesso em: 20 jun. 2013.
Standards Schmandards: Proposal for an Accessible Captcha . Disponível em:
<http://www.standardsschmandards.com/2005/captcha/>. Acesso em: 20 jun. 2013.
Recaptcha: Frequently Asked Questions . Disponível em:
<http://www.google.com/recaptcha/faq>. Acesso em: 20 jun. 2013.
CAPTCHA: Telling Humans and Computers Apart Automatically . Disponível em:
<http://www.captcha.net>. Acesso em: 20 jun. 2013.
Search Security: Definitions: Telling knowledge-based authentication (KBA).
Disponível em: <http://searchsecurity.techtarget.com/definition/knowledge-based-
authentication>. Acesso em: 20 jun. 2013.
WEBOPEDIA: Token . Disponível em:
<http://www.webopedia.com/TERM/T/Token.html>. Acesso em: 20 jun. 2013.
FCBRASIL: Aumentando a Segurança na Autenticação com Tokens O TP.
Disponível em: <http://www.fcbrasil.com.br/index.php/strong-authentication.html>.
Acesso em: 20 jun. 2013.
38
RSA: RSA SecurID Hardware Authenticators . Disponível em:
<http://www.emc.com/security/rsa-securid.htm>. Acesso em: 20 jun. 2013.
WIKIPEDIA: SecurID . Disponível em: < http://en.wikipedia.org/wiki/SecurID>. Acesso
em: 20 jun. 2013.
Dmoz: Smart Cards . Disponível em:
<http://www.dmoz.org/Computers/Hardware/Systems/Smartcards/>. Acesso em: 20
jun. 2013.
Smart Card Alliance: Smart Card Alliance . Disponível em:
<http://www.smartcardalliance.org/articles/search?q=smart+card>. Acesso em: 20
jun. 2013.
WEBOPEDIA: Smart Card . Disponível em:
<http://www.webopedia.com/TERM/S/Smartcard.html>. Acesso em: 20 jun. 2013.
Search Security: Smart Card . Disponível em:
<http://searchsecurity.techtarget.com/definition/AAA-server>. Acesso em: 20 jun.
2013.
WIKIPEDIA: Cartão Inteligente . Disponível em:
<http://pt.wikipedia.org/wiki/Cart%C3%A3o_inteligente>. Acesso em: 20 jun. 2013.
WEBOPEDIA: PKI. Disponível em: <http://www.webopedia.com/TERM/P/PKI.html>.
Acesso em: 20 jun. 2013.
UFRJ: PKI - Infraestrutura de Chaves Públicas . Disponível em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2008_2/hugo/index.html>. Acesso
em: 20 jun. 2013.
Justiça Federal: O que é Assinatura Digital . Disponível em:
39
<http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-
assinatura-digital>. Acesso em: 20 jun. 2013.
RSA: Digital Signature . Disponível em:
<http://www.rsa.com/glossary/default.asp?id=1063>. Acesso em: 20 jun. 2013.
TJMS: Segurança da Informação . Disponível em:
<http://www.tjms.jus.br/WebHelp/id_seguranca_da_informacao.htm>. Acesso em: 20
jun. 2013.
WEBOPEDIA: QRcode . Disponível em:
<http://www.webopedia.com/TERM/Q/Qrcodehtml>. Acesso em: 20 jun. 2013.
WHATIS.COM: QR Code Quick Reponse Code . Disponível em:
<http://whatis.techtarget.com/definition/QR-code-quick-response-code>. Acesso em:
20 jun. 2013.
Banco do Brasil: QR Code . Disponível em:
<http://www.bb.com.br/portalbb/page3,101,2183,0,0,1,1.bb>. Acesso em: 20 jun.
2013.
Banco do Brasil: BB Code . Disponível em:
<http://www.bb.com.br/portalbb/home16,19366,19366,21,0,1,1.bb>. Acesso em: 20
jun. 2013.
WEBOPEDIA: Biometrics . Disponível em:
<http://www.webopedia.com/TERM/Q/QR_Code.html>. Acesso em: 20 jun. 2013.
TRIBUNAL REGINAL ELEITORAL: Biometria . Disponível em:
<http://www.tse.jus.br/eleicoes/biometria-e-urna-eletronica/biometria-1>. Acesso em:
20 jun. 2013.
40
UFRJ: Biometrias Digitais . Disponível em:
<http://www.gta.ufrj.br/grad/07_2/leonardo/index.html>. Acesso em: 20 jun. 2013.
Authentication World: Authentication World . Disponível em: <
http://www.authenticationworld.com/>
Acesso em: 20 jun. 2013.
SANS: Two-Factor Authentication . Disponível em:
<http://www.gemalto.com/brasil/identidade/inspire_se/autenticacao_forte/index.html>
Acesso em: 20 jun. 2013.
GEMALTO: Chegou a hora da autenticação forte . Disponível em:
<http://www.gemalto.com/brasil/identidade/inspire_se/autenticacao_forte/index.html>
Acesso em: 20 jun. 2013.
RSA: Single Sign-On (SSO). Disponível em:
<http://www.rsa.com/glossary/default.asp?id=1049>
Acesso em: 20 jun. 2013.
Authentication World: Strong Single Sign-on Authentication . Disponível em:
<http://www.authenticationworld.com/Single-Sign-On-Authentication/ > Acesso em:
20 jun. 2013.
OPEN: Strong Single Sign-On. Qual é a vantagem? Disponível em:
<http://www.opencs.com.br/blog/2010/09/29/strong-single-sign-on-qual-e-a-
vantagem/>. Acesso em: 20 jun. 2013.
INTEL: O futuro da autenticação e das transações financeir as na Web.
Disponível em: < http://software.intel.com/pt-br/blogs/2013/06/19/o-futuro-da-
autentica-o-e-das-transa-es-financeiras-na-web-part-1> Acesso em: 20 jul. 2013.