[AUTENTICAÇÃO] 2011

Universidade Lusíada de Angola

Pólo de Benguela

Licenciatura em Informática

Instalação, administração e segurança de redes

Autenticação

Lobito, Abril de 2011

Instalação, Administração e Segurança de Redes Página 1

[AUTENTICAÇÃO] 2011

Universidade Lusíada de Angola

Pólo de Benguela

Licenciatura em Informática

Instalação, administração e segurança de redes

Autenticação

Trabalho elaborado por:

Álvaro Tando
David Guilherme

Docente
Hélio Henriques

Lobito, Abril de 2011

Instalação, Administração e Segurança de Redes Página 2

[AUTENTICAÇÃO] 2011

Índice
Introdução ..................................................................................................................................... 4
Autenticação ................................................................................................................................. 5
Generalidades na autenticação..................................................................................................... 6
Certificados digitais ............................................................................................................... 6
Assinaturas electrónicas........................................................................................................ 7
CAPTCHA ............................................................................................................................... 7
Web of Trust .......................................................................................................................... 7
Circuitos e Security Token ..................................................................................................... 7
Biometria ............................................................................................................................... 8
Autenticação de pessoas ............................................................................................................... 8
Desafio-Resposta (challenge-response): ................................................................................... 8
One-time password ................................................................................................................... 9
Como OTPs são gerados e distribuídos ................................................................................. 9
Métodos de geração da OTP ................................................................................................. 9
Métodos de entregar a OTP ................................................................................................ 10
Vulnerabilidades na autenticação ............................................................................................... 11
Ataque de dicionário ............................................................................................................... 11
Ataque híbrido ........................................................................................................................ 11
Ataque de força bruta ............................................................................................................. 12
Conclusão .................................................................................................................................... 13
Referências Bibliográfica ............................................................................................................. 14

Instalação, Administração e Segurança de Redes Página 3

[AUTENTICAÇÃO] 2011

Introdução

As redes informáticas são componentes essenciais de qualquer sistema de informação

actual. Através da interligação de sistemas e redes é possível tornar disponível aos
utilizadores dos sistemas informáticos um vastíssimo leque de serviços e recursos
transformando os postos de trabalho individuais em verdadeiras portas de acesso a
sociedade global da informação. Em muitos casos esta grande envolvência de redes e
transacções trás consigo uma grande desvantagem em relação a exposição da
informação de negócio das organizações. Com isto, métodos de segurança foram
criados ao longo do tempo para suprir e reduzir as vulnerabilidades de exposição de
informação e serviços das organizações ou empresas. Neste trabalho vamos abordar
sobre esses métodos que ajudam na segurança das organizações. É nosso propósito falar
de autenticação, suas generalidades e vulnerabilidades neste trabalho.

Instalação, Administração e Segurança de Redes Página 4

[AUTENTICAÇÃO] 2011

Autenticação

O significado da palavra autenticação não é nenhum mistério: é o acto de confirmar que

algo ou alguém é autêntico, ou seja, uma garantia de que qualquer alegação de ou sobre
um objecto é verdadeira.

As funções de autenticação estabelecem a identidade de utilizadores e/ou sistemas tendo

em vista a determinação das acções permitidas. Estas funções estão, portanto, na base
do controlo de acesso aos recursos.

Existem vários métodos de autenticação. Os mais correntes assentam na utilização de

palavras-chave (passwords). Dada a inerente fragilidade dos mecanismos de password,
que resulta da sua má escolha, da sua divulgação a terceiros ou da sua descoberta
utilizando métodos de força bruta, vários métodos tem sido desenvolvidos de modo a
tornar as passwords mais seguras. Basicamente esses métodos encriptam as passwords
e, adicionalmente, modificam a encriptação de forma a que o valor encriptado seja
diferente de encriptação para encriptação. Um desses métodos é definido no RFC 1760-
S/key one-time password system e baseia-se no MD5.

Vários protocolos utilizam os mecanismos de password para autenticar utilizadores.

Esses mecanismos são particularmente importantes em protocolos usados para dial – in
como, por exemplo, o protocolo PPP (point-to-point protocol).

O protocolo PPP suporta vários métodos de autenticação, nomeadamente, o PAP

(password authentication protocol), o CHAP (challenge handshake authentication
protocol) e o EAP (extensible authentication protocol). Destes, o PAP e o CHAP são os
mais divulgados e implementados, embora o EAP seja o mais robusto. O PAP é
extremamente simples de implementar, mas tem o grave inconveniente de não encriptar
as passwords.

Para além do protocolo PPP, outros protocolos incluem mecanismos de autenticação de

utilizadores e sistemas. São exemplos os protocolos TACACS+, RADIUS e Kerberos.

O protocolo TACACS+ fornece grande flexibilidade na configuração da autenticação

(que poderá existir apenas para certos serviços, por exemplo), suportando diferentes
mecanismos de autenticação dos clientes como por exemplo, PAP, CHAP, EAP ou
Kerberos.

O RFC 2058 especifica o protocolo RADIUS (remote authentication dial – in user

service), desenvolvido para autenticação e contabilização no acesso a servidores. Trata-
se de um protocolo cliente – servidor que, tal como o TACACS+, suporta diversos
mecanismos de autenticação, dependendo da implementação. A autenticação baseia-se
no envio de um pedido de acesso (Access - request) do cliente RADIUS ao servidor,
contendo informação de identificação. Depois de verificada a informação na sua base de
dados de utilizadores, o servidor RADIUS envia uma mensagem de aceitação (Access -
accept) ou de rejeição (Access reject), consoante o caso. A comunicação entre os

Instalação, Administração e Segurança de Redes Página 5

[AUTENTICAÇÃO] 2011

clientes e o servidor é encriptada utilizando uma chave secreta do conhecimento de

ambos, chave essa que nunca é enviada pela rede.

O protocolo de autenticação kerberos, especificado no RFC 1510 (the kerberos network

authentication service, version 5), baseia-se no conceito de servidor de autenticação
(authentication server ou trusted third party) para verificação da identidade de
utilizadores e serviços, utilizando chaves secretas e o algoritmo de encriptação DES.

O servidor de autenticação, geralmente designado key distribuition center (KDC),

fornece bilhetes (tickets) aos utilizadores, que são, posteriormente, utilizados por estes
para acederem aos servidores de aplicações pretendidos.

O protocolo pressupõe a existência de uma chave secreta partilhada entre o cliente e o

KDC, designada de kcliente, e outra partilhada entre o KDC e o servidor designada
kservidor.

Generalidades na autenticação

As maneiras para validar uma identidade em um computador variam. Elas incluem o

uso de senhas, certificados, números especiais e outros tipos de dados.

Em redes de computadores, privadas ou públicas, incluindo a internet; a maneira mais

comum de autenticação é o uso de senhas para logins. O conhecimento de uma senha é
considerado suficiente para garantir que um usuário é autêntico. No entanto, como é
bem sabido, o uso de senhas não impede que outras pessoas consigam obter ou
adivinhá-las. Justamente por isso, diferentes tipos de transacções via internet utilizam
processos mais rigorosos de autenticação.

Certificados digitais

Uma maneira mais segura de estabelecer credenciais ao navegar em transacções pela

internet é o certificado digital. Este certificado é estabelecido por uma autoridade
(Certification Authority). Essa autoridade checa com outra autoridade, a de registo
(Registry Authority), para verificar informações fornecidas por quem exige um
certificado digital.

Um certificado pode conter nome, um número de série, datas de validade, uma cópia da
chave pública do certificado (utilizada para criptografar mensagens e assinaturas
digitais) e a assinatura digital da autoridade que estabeleceu tal certificado.

Instalação, Administração e Segurança de Redes Página 6

[AUTENTICAÇÃO] 2011

Assinaturas electrónicas

Uma assinatura electrónica pode ser qualquer meio reconhecido legalmente que indique
a adopção do conteúdo de uma mensagem electrónica. Pode ser, por exemplo, uma
mensagem codificada. Assinaturas digitais são extensamente utilizadas em transacções
de e-commerce. Em muitos países como Estados Unidos, Austrália e os membros da
União Europeia. Uma assinatura digital, quando reconhecida pela legislação de cada
jurisdição, tem o mesmo valor de um documento tradicional.

CAPTCHA

Certamente você já precisou preencher um formulário digitando um código para validar

uma solicitação. Este método é conhecido como CAPTCHA e também é uma maneira
de autenticação. O ponto-chave do CAPTCHA é que, para um usuário comum, é
extremamente fácil identificar as letras em uma imagem e reproduzi-lo, já para um
computador, isso é (ainda) impossível. Então, sabe-se que quem está acessando tal
página é, no mínimo, um humano!

Web of Trust

Este é um conceito utilizado em alguns sistemas para estabelecer a autenticidade entre a

conexão de uma chave pública e um usuário. Essa estrutura se diferencia ao modelo PKI
por ser descentralizado. Ele não confia única e exclusivamente em um certificado de
autoridade, mas sim engloba uma série de elementos independentes de confiança.

Circuitos e Security Token

Esses são dois exemplos de autenticações de dois factores que são aplicadas em
computadores. Circuitos integrados capazes de processar dados, são utilizados, por
exemplo, pelo Mozilla Firefox para armazenar certificados e assim aumentar a
segurança da navegação.

Alguns sistemas de criptografia também podem usar Smart Cards para armazenar
chaves de criptografia com segurança. Sistemas de computadores avançados também
usam um cartão deste tipo para logins.

Já o Security Token geralmente é um dispositivo físico que facilita e dinamiza uma

autenticação. Ele é utilizado para provar a identidade de alguém electronicamente,
geralmente junto com um sistema de senha. Agindo como uma chave electrónica, ele
fornece um código que deve ser inserido no login. Esse código é conhecido como PIN
(Personal Identification Number – Número de Identificação Pessoal). É uma senha
secreta para o acesso a um sistema.

Instalação, Administração e Segurança de Redes Página 7

[AUTENTICAÇÃO] 2011

Biometria

No final do século passado, com a proliferação das tecnologias informáticas

(nomeadamente o PC) e o avanço dos estudos sobre biometrias, tornou-se viável a
implementação de autenticação por recurso a características biométricas dos indivíduos.
No entanto a autenticação pelo método biométrico pode ser feita usando uma
característica física e usando uma característica comportamental

Característica física

Avaliação de um aspecto estático;

Impressão digital, íris, traços faciais, voz, etc.

Característica comportamental

Avaliação de um aspecto pessoal dinâmico;

Padrão de escrita num teclado, desenho da assinatura, etc.

Autenticação de pessoas

A autenticação de pessoas é feita utilizando dois métodos. O desafio - Resposta

(challenge - response) e o One-time password.

Desafio-Resposta (challenge-response):

Na segurança informática, a resposta de autenticação de desafio é uma família de

protocolos na qual uma parte apresenta uma pergunta ("desafio") e outra parte deve
fornecer uma resposta válida ("resposta") para ser autenticado.

O exemplo mais simples de uma resposta do protocolo de desafio é a senha de

autenticação, onde o desafiante está pedindo a senha, e a resposta válida é a senha
correcta.

Claramente um adversário que pode espionar uma autenticação de senha pode

autenticar-se da mesma maneira. Uma solução é a emissão de várias senhas, cada uma
delas marcado com um identificador. O verificador pode escolher qualquer um dos
identificadores e, o provador deve ter a senha correcta para o identificador. Supondo-se
que as senhas são escolhidas de forma independente, um adversário que intercepta uma
mensagem por desafio / resposta não tem mais chance de responder correctamente a um
desafio diferente do que um adversário que não tem interceptado nada.

Instalação, Administração e Segurança de Redes Página 8

[AUTENTICAÇÃO] 2011

One-time password

A senha única (OTP) é uma senha que é válida para uma única sessão de login ou
transacção. OTPs evitar uma série de deficiências que estão associados com a
tradicional senha (estática). A importante lacuna que a maioria é dirigida por OTPs é
que, em contraste com a senha estática, eles não são vulneráveis a ataques de replay.
Isso significa que, se um potencial intruso consegue gravar uma OTP que já foi usada
para entrar em um serviço ou para realizar uma transacção, ele ou ela não será capaz de
abusar dela, pois não será mais válida. Em contrapartida, a OTPs são difíceis para o ser
humano de memorizar. Por isso, eles exigem uma tecnologia adicional para o trabalho.

Como OTPs são gerados e distribuídos

Algoritmos de geração da OTP normalmente fazem uso da aleatoriedade. Isso é

necessário porque caso contrário, seria fácil de prever OTPs futuro a partir da
observação dos anteriores.

Algoritmos de Concreto OTP variam muito em seus detalhes. Várias abordagens para a
geração de OTP são listados abaixo.

 Baseado em sincronização de tempo entre o servidor de autenticação e o cliente

fornecer a senha (OTP são válidos apenas por um curto período de tempo)

 Usando um algoritmo matemático para gerar uma nova senha com base na
senha anterior (OTP são, efectivamente, uma cadeia e deve ser usado em uma
ordem pré-definida).

 Usando um algoritmo matemático, onde a nova senha é baseada em um

desafio (por exemplo, um número aleatório escolhido pelo servidor de
transacções ou detalhes de autenticação) e ou um contador.

Métodos de geração da OTP

Time-sincronizado

Uma vez sincronizada, o OTP geralmente está relacionada a uma peça de hardware
chamada de token de segurança (por exemplo, cada usuário recebe um token pessoal
que gera uma senha dinâmica de uma vez). Dentro do token existe um relógio preciso
que foi sincronizado com o relógio na autenticação de propriedade do servidor. Nesses
sistemas OTP, o tempo é uma parte importante do algoritmo de senha desde a geração
de novas senhas, baseado no tempo actual, em vez de, ou além, a senha anterior ou uma
chave secreta. Todos os métodos de entregar o OTP abaixo podem usar a sincronização de
tempo ao invés de algoritmos.

Instalação, Administração e Segurança de Redes Página 9

[AUTENTICAÇÃO] 2011

Algoritmos matemáticos

Cada OTP novo pode ser criado a partir do passado OTPs utilizado. Um exemplo deste
tipo de algoritmo, creditados, usa uma função, uma forma (chamem-f). O one time
password do sistema é uma obra, começando com uma semente inicial s, em seguida,
gerar senhas

f ( s ), f ( f ( s )), f ( f ( f ( s ))), ... f (s), f (f (s)), f (f (f (s))), ...

Quantas vezes forem necessárias. Se uma série indefinida de senhas é requerida, um

novo valor de semente pode ser escolhido depois que o conjunto de s está esgotado.
Cada senha é então dispensada ao contrário, com f (f (f... (s))...) em primeiro lugar, f (s).

Se um intruso conseguir ver uma senha de uso único, ele pode ter acesso por um
período de tempo ou de login, mas torna-se inútil, uma vez que o prazo expirar. Para
obter a senha do próximo encontro da série de senhas anteriores, é preciso encontrar
uma maneira de calcular a função inversa f -1. Uma vez que f foi escolhido para ser
unidireccional, isto é extremamente difícil de fazer. Se f é uma função hash de
criptografia, que é geralmente o caso, é (tanto quanto se sabe) uma tarefa inviável
computacionalmente.

Em alguns esquemas de algoritmo matemático, é possível que o usuário forneça o

servidor com uma chave estática para ser usado como uma chave de criptografia,
enviando somente a senha de uma vez.

Métodos de entregar a OTP

Mensagens de texto

Uma tecnologia comum usada para a entrega de OTPs é a mensagem de texto. Como
mensagens de texto é um canal de comunicação ubíqua, estando disponível em quase
todos os aparelhos e com uma grande base de clientes, mensagens de texto tem um
grande potencial para atingir todos os consumidores com um baixo custo total para
implementar. No entanto, o custo de cada mensagem de texto com frequência para cada
OTP pode não ser adequado para alguns usuários. OTP sobre mensagens de texto
também podem ser criptografados usando um padrão A5 / x.

Instalação, Administração e Segurança de Redes Página 10

[AUTENTICAÇÃO] 2011

Celulares

Um telefone celular mantém os custos baixos porque uma grande base de clientes já
possui um telefone móvel para fins de gerar OTPs. O poder de computação e
armazenamento necessário para OTPs geralmente é insignificante comparado ao que os
modernos telemóveis e smartphones utilizam normalmente.

Baseado em métodos da Web

Autenticação como fornecedores de um serviço, oferecem vários métodos baseados na

web para a entrega de senhas de uso único, sem a necessidade de tokens. Um tal método
depende da capacidade do usuário para reconhecer as categorias pré-escolhido a partir
de uma grade gerados aleatoriamente de fotos.

Livro

Em alguns países, online banking, o banco envia ao utilizador uma lista numerada de
OTPs que são impressos em papel. Para cada transacção on-line, o usuário é obrigado a
digitar uma OTP específicas da lista.

Vulnerabilidades na autenticação

Existem basicamente modos de ataque usados por programas para descobrir uma senha.
Com eles é possível quebrar qualquer senha, levando apenas mais tempo se elas forem
fortes.

Vamos mostrar neste subtema algumas vulnerabilidades na autenticação.

Ataque de dicionário

Faz tentativas com todas as palavras de um dicionário (por exemplo, todas as palavras
da língua inglesa). Os arquivos com as palavras podem ser facilmente baixados pela
internet. Alguns deles têm mais de 200 MB. Apesar de serem pesados. Ainda são muito
utilizados por indivíduos maliciosos.

Ataque híbrido

Esse método é usado quando o ataque dicionário não funciona correctamente. Ele
também usa as palavras do dicionário, mas fazendo algumas modificações como troca
de letras e inversão de palavras. Ele também faz tentativas verificando se foi colocado
algum número ou símbolo para disfarçar uma palavra normal. Pode ser considerado um
ataque dicionário um pouco mais refinado.

Instalação, Administração e Segurança de Redes Página 11

[AUTENTICAÇÃO] 2011

Ataque de força bruta

Quando nenhum dos métodos anteriores funciona, é usado o método de ataque força
bruta. Ele tenta todas as combinações possíveis e, por isso, pode levar horas ou até dias
para que a senha seja descoberta. Quanto maior for o tamanho da senha em questão,
mais tempo ela irá demorar para que ela seja quebrada pelo ataque de força bruta.

Instalação, Administração e Segurança de Redes Página 12

[AUTENTICAÇÃO] 2011

Conclusão

Tendo em conta tudo que foi feito neste trabalho, tiramos como conclusão que a
autenticação não é um processo simples como aparenta ser. Muitos métodos são
envolvidos neste processo para tornar mais seguro a autenticação.

De uma forma genérica, um utilizador pode ser autenticado por algo que ele tem (um
dispositivo), por algo que ele sabe (uma palavra passe), ou por alguma característica
intrínseca. Várias técnicas surgiram para suportar estes tipos de autenticação,
isoladamente e em conjunto e cada uma delas tem, naturalmente, virtudes e
inconvenientes.

Instalação, Administração e Segurança de Redes Página 13

[AUTENTICAÇÃO] 2011

Referências Bibliográfica

 Tecnologias de informação - Engenharia de redes informáticas 7ª edição –

Monteiro Edmundo, Boavida Fernando.
 Zúquete, André Segurança em Redes Informáticas. 2ª ed Aum. Lisboa: FCA,
2008.
 Moraes, Alexandre Fernandes de, Redes Computadores: fundamentos. 6ª ed ver.
São Paulo: Erica, 2008.
 Sousa, Lindeberg Barros de, TCP/IP e conectividade em redes: guia prático. 5ª
ed. ver., e amp. São Paulo: Érica, 2009.

 http://www.tecmundo.com.br1971-o-que-e-autenticacao, 08 de Abril de 2011
 http://www.translate.google.com/translate?hl=pt-
BR&langpair=en|pt&u=http://en.wikipedia.org/wiki/One-time_password, 08 de
Abril de 2011
 http://www.translate.google.com/translate?hl=pt-
BR&langpair=en|pt&u=http://en.wikipedia.org/wiki/Challenge-
response_authentication, 08.04.11
 http://www.gta.ufrj.br~rezendecursoseel879trabalhossrsf1visao-
Vulnerabilidades,08 de Abril de 2011
 http://www.websitemix.com.brdesignindex.phpoption=com_content&task=view
&id=50-Generabilidades, 08 de Abril de 2011

Instalação, Administração e Segurança de Redes Página 14