Escolar Documentos
Profissional Documentos
Cultura Documentos
Pólo de Benguela
Licenciatura em Informática
Autenticação
Pólo de Benguela
Licenciatura em Informática
Autenticação
Docente
Hélio Henriques
Índice
Introdução ..................................................................................................................................... 4
Autenticação ................................................................................................................................. 5
Generalidades na autenticação..................................................................................................... 6
Certificados digitais ............................................................................................................... 6
Assinaturas electrónicas........................................................................................................ 7
CAPTCHA ............................................................................................................................... 7
Web of Trust .......................................................................................................................... 7
Circuitos e Security Token ..................................................................................................... 7
Biometria ............................................................................................................................... 8
Autenticação de pessoas ............................................................................................................... 8
Desafio-Resposta (challenge-response): ................................................................................... 8
One-time password ................................................................................................................... 9
Como OTPs são gerados e distribuídos ................................................................................. 9
Métodos de geração da OTP ................................................................................................. 9
Métodos de entregar a OTP ................................................................................................ 10
Vulnerabilidades na autenticação ............................................................................................... 11
Ataque de dicionário ............................................................................................................... 11
Ataque híbrido ........................................................................................................................ 11
Ataque de força bruta ............................................................................................................. 12
Conclusão .................................................................................................................................... 13
Referências Bibliográfica ............................................................................................................. 14
Introdução
Autenticação
Generalidades na autenticação
Certificados digitais
Um certificado pode conter nome, um número de série, datas de validade, uma cópia da
chave pública do certificado (utilizada para criptografar mensagens e assinaturas
digitais) e a assinatura digital da autoridade que estabeleceu tal certificado.
Assinaturas electrónicas
Uma assinatura electrónica pode ser qualquer meio reconhecido legalmente que indique
a adopção do conteúdo de uma mensagem electrónica. Pode ser, por exemplo, uma
mensagem codificada. Assinaturas digitais são extensamente utilizadas em transacções
de e-commerce. Em muitos países como Estados Unidos, Austrália e os membros da
União Europeia. Uma assinatura digital, quando reconhecida pela legislação de cada
jurisdição, tem o mesmo valor de um documento tradicional.
CAPTCHA
Web of Trust
Esses são dois exemplos de autenticações de dois factores que são aplicadas em
computadores. Circuitos integrados capazes de processar dados, são utilizados, por
exemplo, pelo Mozilla Firefox para armazenar certificados e assim aumentar a
segurança da navegação.
Alguns sistemas de criptografia também podem usar Smart Cards para armazenar
chaves de criptografia com segurança. Sistemas de computadores avançados também
usam um cartão deste tipo para logins.
Biometria
Característica física
Característica comportamental
Autenticação de pessoas
Desafio-Resposta (challenge-response):
One-time password
A senha única (OTP) é uma senha que é válida para uma única sessão de login ou
transacção. OTPs evitar uma série de deficiências que estão associados com a
tradicional senha (estática). A importante lacuna que a maioria é dirigida por OTPs é
que, em contraste com a senha estática, eles não são vulneráveis a ataques de replay.
Isso significa que, se um potencial intruso consegue gravar uma OTP que já foi usada
para entrar em um serviço ou para realizar uma transacção, ele ou ela não será capaz de
abusar dela, pois não será mais válida. Em contrapartida, a OTPs são difíceis para o ser
humano de memorizar. Por isso, eles exigem uma tecnologia adicional para o trabalho.
Algoritmos de Concreto OTP variam muito em seus detalhes. Várias abordagens para a
geração de OTP são listados abaixo.
Usando um algoritmo matemático para gerar uma nova senha com base na
senha anterior (OTP são, efectivamente, uma cadeia e deve ser usado em uma
ordem pré-definida).
Time-sincronizado
Uma vez sincronizada, o OTP geralmente está relacionada a uma peça de hardware
chamada de token de segurança (por exemplo, cada usuário recebe um token pessoal
que gera uma senha dinâmica de uma vez). Dentro do token existe um relógio preciso
que foi sincronizado com o relógio na autenticação de propriedade do servidor. Nesses
sistemas OTP, o tempo é uma parte importante do algoritmo de senha desde a geração
de novas senhas, baseado no tempo actual, em vez de, ou além, a senha anterior ou uma
chave secreta. Todos os métodos de entregar o OTP abaixo podem usar a sincronização de
tempo ao invés de algoritmos.
Algoritmos matemáticos
Cada OTP novo pode ser criado a partir do passado OTPs utilizado. Um exemplo deste
tipo de algoritmo, creditados, usa uma função, uma forma (chamem-f). O one time
password do sistema é uma obra, começando com uma semente inicial s, em seguida,
gerar senhas
Se um intruso conseguir ver uma senha de uso único, ele pode ter acesso por um
período de tempo ou de login, mas torna-se inútil, uma vez que o prazo expirar. Para
obter a senha do próximo encontro da série de senhas anteriores, é preciso encontrar
uma maneira de calcular a função inversa f -1. Uma vez que f foi escolhido para ser
unidireccional, isto é extremamente difícil de fazer. Se f é uma função hash de
criptografia, que é geralmente o caso, é (tanto quanto se sabe) uma tarefa inviável
computacionalmente.
Mensagens de texto
Uma tecnologia comum usada para a entrega de OTPs é a mensagem de texto. Como
mensagens de texto é um canal de comunicação ubíqua, estando disponível em quase
todos os aparelhos e com uma grande base de clientes, mensagens de texto tem um
grande potencial para atingir todos os consumidores com um baixo custo total para
implementar. No entanto, o custo de cada mensagem de texto com frequência para cada
OTP pode não ser adequado para alguns usuários. OTP sobre mensagens de texto
também podem ser criptografados usando um padrão A5 / x.
Celulares
Um telefone celular mantém os custos baixos porque uma grande base de clientes já
possui um telefone móvel para fins de gerar OTPs. O poder de computação e
armazenamento necessário para OTPs geralmente é insignificante comparado ao que os
modernos telemóveis e smartphones utilizam normalmente.
Livro
Em alguns países, online banking, o banco envia ao utilizador uma lista numerada de
OTPs que são impressos em papel. Para cada transacção on-line, o usuário é obrigado a
digitar uma OTP específicas da lista.
Vulnerabilidades na autenticação
Existem basicamente modos de ataque usados por programas para descobrir uma senha.
Com eles é possível quebrar qualquer senha, levando apenas mais tempo se elas forem
fortes.
Ataque de dicionário
Faz tentativas com todas as palavras de um dicionário (por exemplo, todas as palavras
da língua inglesa). Os arquivos com as palavras podem ser facilmente baixados pela
internet. Alguns deles têm mais de 200 MB. Apesar de serem pesados. Ainda são muito
utilizados por indivíduos maliciosos.
Ataque híbrido
Esse método é usado quando o ataque dicionário não funciona correctamente. Ele
também usa as palavras do dicionário, mas fazendo algumas modificações como troca
de letras e inversão de palavras. Ele também faz tentativas verificando se foi colocado
algum número ou símbolo para disfarçar uma palavra normal. Pode ser considerado um
ataque dicionário um pouco mais refinado.
Quando nenhum dos métodos anteriores funciona, é usado o método de ataque força
bruta. Ele tenta todas as combinações possíveis e, por isso, pode levar horas ou até dias
para que a senha seja descoberta. Quanto maior for o tamanho da senha em questão,
mais tempo ela irá demorar para que ela seja quebrada pelo ataque de força bruta.
Conclusão
Tendo em conta tudo que foi feito neste trabalho, tiramos como conclusão que a
autenticação não é um processo simples como aparenta ser. Muitos métodos são
envolvidos neste processo para tornar mais seguro a autenticação.
De uma forma genérica, um utilizador pode ser autenticado por algo que ele tem (um
dispositivo), por algo que ele sabe (uma palavra passe), ou por alguma característica
intrínseca. Várias técnicas surgiram para suportar estes tipos de autenticação,
isoladamente e em conjunto e cada uma delas tem, naturalmente, virtudes e
inconvenientes.
Referências Bibliográfica