Quando usar autenticação?

• Usuário deve ser responsabilizado por seus atos

• As informações dos usuários são confidenciais

• Deseja-se mecanismo de controle de acesso

Autentição

• Algo que somente o usuário saiba– fácil de copiar

• Algo que somente o usuário tenha– Difícil de copiar– Fácil de roubar

• Características pessoais– Difícil de copiar e roubar

Auditoria de Autenticação

• Mínimo: – Falha na autenticação;– Fraude nos dados;– Reutilização de dados;

• Básico:– Todo uso da autenticação e reautenticação;– Todas as decisões tomadas;

Dados para autenticação

• Identificação;

• Dado de autenticação;

• Prazo de validade;

• Prazo para emitir alerta de alteração de dados para o usuário;

• Flag de conta bloqueada;

• Data e hora de liberação de bloqueio;

Reautenticação

• Autenticar sempre que o sistema ficar parado por muito tempo;

• Autenticar sempre que algo crítico for executado;

• Mensagens de autenticação: cuidado para não dar pistas nas mensagens;

Auditoria de Definição de Senhas

• Mínimo: rejeição de senhas;

• Básico: rejeição ou aceitação de senhas;

• Detalhado: informação de alterações nas métricas de geração e verificação;

Auditoria de Identificação

• Mínimo: insucessos na identificação do usuário;

• Básico: qualquer uso dos mecanismos de identificação;

Multiplos Logins

• Uma estação de trabalho pode solicitar múltiplos logins para o usuário

• Isto pode prejudicar a segurança, confundindo o usuário

• O ideal é um login único, geralmente no SO

Autenticação entre sistemas

• As vezes um sistema autenticado chama outros sistemas;

• O sistema chamado pode confiar na autenticação do primeiro;

• Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida;– Ex. sistemas de banco de dados;

Auditoria de Usuário ligado ao sistemas

• Mínimo: falha na criação de processo com a informação do usuário;

• Básico: todas as ligações de processos com o usuário;

• Obs: ligação de processo é o relacionamento de um sistema com outro sistema.

Momento da Autenticação

• O quanto antes;

• Usuário não deve fazer nada sem autenticação;

• Usuário pode tentar acessar informações sem passar pelo sistema:– Ex. acesso direto à base de dados, sem

autenticar no sistema.

Opções de Autenticação

• Autenticação Básica:– Muito fraca;– Definida na RFC 2617;– Usuário e senha em base 64;

Opções de Autenticação

• Autenticação de hash ou de resumo:– RFC 2617;– Senha não trafega em texto plano;– Usa Hash;– Usado em LDAP; IMAP; POP3 e SMTP;

Opções de Autenticação

• Assinatura Digital: