segurança e auditoria de sistemas - pontodeensino.com · fatores de autenticação a...
TRANSCRIPT
Fatores de autenticação
• Um fator de autenticação é uma categoria de credencial. • Um fator é um tipo de autenticação. • Nomes de usuário e senhas são ambos do mesmo tipo de fator, portanto, seu uso
combinado é a autenticação de fator único (SAF single authentication factor), apesar do fato de que há dois elementos envolvidos.
• Fator 1: Algo que você conhece • Fator 2: Algo que você tem • Fator 3: Algo que você é • Fator 4: Em algum lugar você está • Fator 5: Algo que você faz
Fatores de autenticação
• Tipos (ou categoria) de fatores de autenticação: • Existem três categorias de fatores de autenticação. Estes são geralmente divididos como: • Fatores de conhecimento: um fator de conhecimento é algo que você conhece, como
um nome de usuário e senha. • Fatores de aquisição/posse: um fator de posse é algo que você tem, como um cartão
inteligente ou um token de segurança. • Fatores de Herança/Inerência: Um fator de inerência é algo que você é, uma
característica biométrica inerente, como um padrão de impressão digital, voz ou íris.
Fatores de autenticação
A autenticação de fator único é baseada em apenas uma categoria. O método SFA (Single Factor Authentication – fator único de autenticação) mais comum é uma combinação de nome de usuário e senha (também chamado de: “algo que você sabe”), a autenticação biométrica esteja se tornando mais comum! A autenticação de dois fatores usa duas ou três categorias. A autenticação de três fatores requer o uso de dados/credenciais de cada uma das três categorias.
Fator 1 – algo que você sabe/conhece
Senhas ! Você sabe a senha, o sistema guarda pelo menos o MD5 ou SHA1-5. Sistemas mal projetados guardam a “senha em claro” (texto puro/limpo) sem criptografar ou sem passar por um algoritmo HASH.
Fator 2 – algo que você tem É um objeto físico como um CARTÃO ou um token. Dois padrões abertos são usados para gerar esses tokens: 1) Senha Única Baseada em HMAC [Hash-based Message Authentication Code] (HOTP) 2) Senha Única Baseada em Tempo (TOTP) ou One time Password, senha baseada em
tempo ou descatável. O HOTP gera um token que não expira até que o usuário o use pela primeira vez (após o qual um novo token precisará ser gerado). O TOTP gera um token a cada 30 segundos (ou 60 segundos). Se um usuário não usá-lo dentro de 30 segundos, um novo token será gerado automaticamente.
Semente criptográfica Alguns fabricantes: RSA Security Fortinet Fortitoken Microcosn
Outros casos: ROHOS logon key
Fator 3: Algo que você é
Biometria, coleta dados de: impressão digital, palma, retina, íris, voz e rosto.
• Importante levar em conta no uso de dados biométricos: • Foi fornecido consentimento explícito pelo dono dos dados biométricos. • O tratamento de dados é necessário para o cumprimento de alguma legislação específica. • É necessário para proteger dados do próprio interessado • É necessário para atender o exercício de reinvindicações legais • É necessário para atender necessidade de interesse público.
Fator 4: Em algum lugar você está
Localização! É utilizado o protocolo IP e geolocalização ativada. Também são usados outros dados como o endereço MAC.
Fator 5: Algo que você faz
Picture authentication Padrões de assinatura
https://www.thewindowsclub.com/windows-10-sign-options https://blogs.msdn.microsoft.com/b8/2011/12/16/signing-in-with-a-picture-password/
https://docs.microsoft.com/pt-br/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-2017
https://trends.google.com/trends/hottrends/visualize?nrow=5&ncol=5
http://www.internetlivestats.com/
https://internet-map.net/
https://livemap.pingdom.com/
https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/
https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp
http://wwwnui.akamai.com/gnet/globe/index.html
https://worldmap3.f-secure.com/
http://threatmap.fortiguard.com/
https://cybermap.kaspersky.com/
https://www.fireeye.com/cyber-map/threat-map.html
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
http://map.norsecorp.com/#/
https://www.akamai.com/us/en/about/our-thinking/state-of-the-internet-report/web-attack-visualization.jsp