segurança e auditoria de sistemas - pontodeensino.com · fatores de autenticação a...

22
Professor Emiliano S. Monteiro Segurança e auditoria de sistemas

Upload: doque

Post on 29-Sep-2018

215 views

Category:

Documents


0 download

TRANSCRIPT

Professor Emiliano S.

Monteiro

Segurança e auditoria de sistemas

Fatores de autenticação

• Um fator de autenticação é uma categoria de credencial. • Um fator é um tipo de autenticação. • Nomes de usuário e senhas são ambos do mesmo tipo de fator, portanto, seu uso

combinado é a autenticação de fator único (SAF single authentication factor), apesar do fato de que há dois elementos envolvidos.

• Fator 1: Algo que você conhece • Fator 2: Algo que você tem • Fator 3: Algo que você é • Fator 4: Em algum lugar você está • Fator 5: Algo que você faz

Fatores de autenticação

• Tipos (ou categoria) de fatores de autenticação: • Existem três categorias de fatores de autenticação. Estes são geralmente divididos como: • Fatores de conhecimento: um fator de conhecimento é algo que você conhece, como

um nome de usuário e senha. • Fatores de aquisição/posse: um fator de posse é algo que você tem, como um cartão

inteligente ou um token de segurança. • Fatores de Herança/Inerência: Um fator de inerência é algo que você é, uma

característica biométrica inerente, como um padrão de impressão digital, voz ou íris.

Fatores de autenticação

A autenticação de fator único é baseada em apenas uma categoria. O método SFA (Single Factor Authentication – fator único de autenticação) mais comum é uma combinação de nome de usuário e senha (também chamado de: “algo que você sabe”), a autenticação biométrica esteja se tornando mais comum! A autenticação de dois fatores usa duas ou três categorias. A autenticação de três fatores requer o uso de dados/credenciais de cada uma das três categorias.

Fator 1 – algo que você sabe/conhece

Senhas ! Você sabe a senha, o sistema guarda pelo menos o MD5 ou SHA1-5. Sistemas mal projetados guardam a “senha em claro” (texto puro/limpo) sem criptografar ou sem passar por um algoritmo HASH.

Fator 2 – algo que você tem É um objeto físico como um CARTÃO ou um token. Dois padrões abertos são usados para gerar esses tokens: 1) Senha Única Baseada em HMAC [Hash-based Message Authentication Code] (HOTP) 2) Senha Única Baseada em Tempo (TOTP) ou One time Password, senha baseada em

tempo ou descatável. O HOTP gera um token que não expira até que o usuário o use pela primeira vez (após o qual um novo token precisará ser gerado). O TOTP gera um token a cada 30 segundos (ou 60 segundos). Se um usuário não usá-lo dentro de 30 segundos, um novo token será gerado automaticamente.

Semente criptográfica Alguns fabricantes: RSA Security Fortinet Fortitoken Microcosn

Outros casos: ROHOS logon key

Fator 3: Algo que você é

Biometria, coleta dados de: impressão digital, palma, retina, íris, voz e rosto.

https://en.wikipedia.org/wiki/File:Hand_Geometry_and_Measurements.jpg

• Importante levar em conta no uso de dados biométricos: • Foi fornecido consentimento explícito pelo dono dos dados biométricos. • O tratamento de dados é necessário para o cumprimento de alguma legislação específica. • É necessário para proteger dados do próprio interessado • É necessário para atender o exercício de reinvindicações legais • É necessário para atender necessidade de interesse público.

Fator 4: Em algum lugar você está

Localização! É utilizado o protocolo IP e geolocalização ativada. Também são usados outros dados como o endereço MAC.

Fator 5: Algo que você faz

Picture authentication Padrões de assinatura

https://www.thewindowsclub.com/windows-10-sign-options https://blogs.msdn.microsoft.com/b8/2011/12/16/signing-in-with-a-picture-password/

https://www.youtube.com/watch?v=vQJaWWiGr_k

Formulário para captação de assinatura digital.

https://cve.mitre.org/

CVE – Common Vulnerabilities and Exposures

CVE – Common Vulnerabilities and Exposures

Etapas

https://www.first.org/global/sigs/vrdx/vdb-catalog

https://docs.microsoft.com/pt-br/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-2017

https://trends.google.com/trends/hottrends/visualize?nrow=5&ncol=5

http://www.internetlivestats.com/

https://internet-map.net/

https://livemap.pingdom.com/

https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/

https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp

http://wwwnui.akamai.com/gnet/globe/index.html

https://worldmap3.f-secure.com/

http://threatmap.fortiguard.com/

https://cybermap.kaspersky.com/

https://www.fireeye.com/cyber-map/threat-map.html

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

http://map.norsecorp.com/#/

https://www.akamai.com/us/en/about/our-thinking/state-of-the-internet-report/web-attack-visualization.jsp