Aula 38 - Controle de Acesso.

SAVE OFFLINE

SEGURANÇA DA INFORMAÇÃO Controle de Acesso Produção: Equipe Pedagógica Gran Cursos Online

CONTROLE DE ACESSO Autenticação de Usuário • Segundo a RFC 2828, autenticação de usuário é: o processo de verificação de uma identidade alegada por ou para uma entidade do sistema. • Consiste em duas etapas: – Identificação É o meio pelo qual um usuário provê uma identidade alegada ao sistema. –– Autenticação É o meio para estabelecer a validade da alegação. Meios de Autenticação • Há quatro meios de autenticação de usuário (usados isolados ou combinados) –– Sabe (senhas etc.) –– Possui (tokens) –– Tem (biometria estática – impressão digital, face etc.) –– Faz (biometria dinâmica – padrão de voz, ritmo de digitação etc.) I – Autenticação Baseada em Senha • Funciona a partir da identificação do usuário (ID) e sua senha associada. • Autenticação baseada na comparação da senha informada com a senha previamente armazenada para o ID do usuário informado. • Mantida em um arquivo de senhas do sistema. • O ID provê as seguintes formas de segurança: –– Determina se o usuário está autorizado a obter acesso ao sistema. –– Determina os privilégios concedidos ao usuário. –– Usado no controle discricionário. Vulnerabilidades de Senhas Ataques e Contramedidas • Ataque a senha popular: –– Teste de senha para os IDs. –– Contramedidas: políticas para inibir inclusão de senhas comuns. ANOTAÇÕES

www.grancursosonline.com.br

1

SEGURANÇA DA INFORMAÇÃO Controle de Acesso Produção: Equipe Pedagógica Gran Cursos Online

• Exploração de Erros do Usuário: –– Anotar a senha em post-its ou compartilhamento. –– Contramedidas: treinamento do usuário. • Sequestro de estação de trabalho: –– Atacante aguarda que o usuário deixe a estação logada. –– Contramedidas: bloqueio automático da estação de trabalho por inatividade. Hash de Senhas –– Consiste no armazenamento dos hash de senhas para evitar ataques de criptoanálise*. –– Aplica-se uma senha juntamente com um valor de sal (valor aleatório, não secreto) como entrada para um algoritmo de hash. –– Onde um valor de hash é produzido (execução lenta*). –– O hash de senha é armazenado juntamente com uma cópia em texto as claras do sal, no arquivo de senhas para o ID do usuário.

ANOTAÇÕES

• O sal tem três finalidades: –– Impedir a percepção de senhas duplicadas no arquivo de senhas. –– Dificulta ataques de dicionários off-line. –– Impossibilita o descobrimento de usuários que utilizam a mesma senha em mais de um sistema.

2

www.grancursosonline.com.br

SEGURANÇA DA INFORMAÇÃO Controle de Acesso Produção: Equipe Pedagógica Gran Cursos Online

II – Autenticação Baseada em Token • Os objetos utilizados pelos usuários com a finalidade de autenticação são conhecidos por tokens. • São exemplos de tokens: –– Cartões de memória –– Smart Cards III – Autenticação Biométrica • Baseada nas características físicas do usuário. • Comumente temos: –– Características faciais; –– Impressões digitais; –– Geometria da mão; –– Padrão da retina; –– Assinatura; –– Voz. IV – Autenticação Biométrica Dinâmica • Baseada em um desafio gerado pelo sistema. • A sequência de desafio consiste em uma sequência de números, caracteres ou palavras. • Onde o usuário deverá falar, digitar ou escrever essa sequência, gerando um sinal biométrico. • Esse sinal é cifrado e enviado como parâmetro na autenticação. Single Sign-On (SSO) • Consiste na autenticação única para vários sistemas.

www.grancursosonline.com.br

3

SEGURANÇA DA INFORMAÇÃO Controle de Acesso Produção: Equipe Pedagógica Gran Cursos Online

Direto do concurso 1. (2014/CESGRANRIO/FINEP/ANALISTA – DESENVOLVIMENTO DE SISTEMAS) O acesso aos serviços bancários via Internet está sujeito a várias fases de controle. Um dos bancos que disponibiliza esses serviços solicita, inicialmente, o número da agência e o da conta-corrente. Numa segunda etapa, exige uma senha. A partir daí, o cliente pode realizar apenas as transações às quais tem acesso. Os atributos de segurança que esse exemplo implementa, na sequência em que ocorrem são: a. autenticação, autorização e identificação. b. autenticação, identificação e autorização. c. autorização, identificação e autenticação. d. identificação, autenticação e autorização. e. identificação, autorização e autenticação. 2. (2014/IADES/TRE-PA/TÉCNICO JUDICIÁRIO – OPERAÇÃO DE COMPUTADOR) Os sistemas de autenticação de usuários podem ser divididos em três grupos: autenticação baseada no conhecimento; autenticação baseada na propriedade; autenticação baseada em características. Assinale a alternativa que apresenta um exemplo de autenticação pertencente ao último grupo. a. Uso de login e senha. b. Uso de tokens. c. Certificado digital. d. Perguntas randômicas. e. Reconhecimento biométrico.

Comentário

ANOTAÇÕES

O que você sabe, o que você possui e o que você tem.

4

www.grancursosonline.com.br

SEGURANÇA DA INFORMAÇÃO Controle de Acesso Produção: Equipe Pedagógica Gran Cursos Online

3. (2015/CESPE/MEC/ANALISTA DE SEGURANÇA) A respeito dos mecanismos de autenticação, julgue o seguinte item. Mecanismo que usa token, verificação biométrica de impressão digital e PIN é exemplo de mecanismo de três fatores.

Comentário Token – você possui. Impressão digital – você tem. Pin – você sabe.

1. d 2. e 3. C

GABARITO


�Este material foi elaborado pela equipe pedagógica do Gran Cursos Online, de acordo com a aula preparada e ministrada pelo professor Jósis Alves.

ANOTAÇÕES

www.grancursosonline.com.br

5