Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Controle de Acesso - Autenticação de Usuário

    Enviado por

    Kauan Mendonça
    13 visualizações5 páginas
    O documento discute os diferentes métodos de controle de acesso, incluindo autenticação baseada em senha, tokens, biometria e autenticação multifator. Aborda vulnerabilidades comuns de senhas e como hashes de senhas podem ajudar a proteger contra ataques. Também menciona single sign-on para autenticação em vários sistemas.

    Descrição original:

    Título original

    Aula 38 - Controle de Acesso.

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    O documento discute os diferentes métodos de controle de acesso, incluindo autenticação baseada em senha, tokens, biometria e autenticação multifator. Aborda vulnerabilidades comuns de senhas e como hashes de senhas podem ajudar a proteger contra ataques. Também menciona single sign-on para autenticação em vários sistemas.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    13 visualizações5 páginas

    Controle de Acesso - Autenticação de Usuário

    Enviado por

    Kauan Mendonça
    O documento discute os diferentes métodos de controle de acesso, incluindo autenticação baseada em senha, tokens, biometria e autenticação multifator. Aborda vulnerabilidades comuns de senhas e como hashes de senhas podem ajudar a proteger contra ataques. Também menciona single sign-on para autenticação em vários sistemas.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 5

    SEGURANÇA DA INFORMAÇÃO

    Controle de Acesso
    Produção: Equipe Pedagógica Gran Cursos Online

    CONTROLE DE ACESSO

    Autenticação de Usuário
    • Segundo a RFC 2828, autenticação de usuário é: o processo de verificação
    de uma identidade alegada por ou para uma entidade do sistema.
    • Consiste em duas etapas:
    – Identificação
    É o meio pelo qual um usuário provê uma identidade alegada ao sistema.
    –– Autenticação
    É o meio para estabelecer a validade da alegação.

    Meios de Autenticação
    • Há quatro meios de autenticação de usuário (usados isolados ou combinados)
    –– Sabe (senhas etc.)
    –– Possui (tokens)
    –– Tem (biometria estática – impressão digital, face etc.)
    –– Faz (biometria dinâmica – padrão de voz, ritmo de digitação etc.)

    I – Autenticação Baseada em Senha


    • Funciona a partir da identificação do usuário (ID) e sua senha associada.
    • Autenticação baseada na comparação da senha informada com a senha
    previamente armazenada para o ID do usuário informado.
    • Mantida em um arquivo de senhas do sistema.
    • O ID provê as seguintes formas de segurança:
    –– Determina se o usuário está autorizado a obter acesso ao sistema.
    –– Determina os privilégios concedidos ao usuário.
    –– Usado no controle discricionário.

    Vulnerabilidades de Senhas
    Ataques e Contramedidas
    • Ataque a senha popular:
    –– Teste de senha para os IDs.
    –– Contramedidas: políticas para inibir inclusão de senhas comuns.
    ANOTAÇÕES

    1
    www.grancursosonline.com.br
    SEGURANÇA DA INFORMAÇÃO
    Controle de Acesso
    Produção: Equipe Pedagógica Gran Cursos Online

    • Exploração de Erros do Usuário:


    –– Anotar a senha em post-its ou compartilhamento.
    –– Contramedidas: treinamento do usuário.
    • Sequestro de estação de trabalho:
    –– Atacante aguarda que o usuário deixe a estação logada.
    –– Contramedidas: bloqueio automático da estação de trabalho por inatividade.

    Hash de Senhas
    –– Consiste no armazenamento dos hash de senhas para evitar ataques de
    criptoanálise*.
    –– Aplica-se uma senha juntamente com um valor de sal (valor aleatório,
    não secreto) como entrada para um algoritmo de hash.
    –– Onde um valor de hash é produzido (execução lenta*).
    –– O hash de senha é armazenado juntamente com uma cópia em texto as
    claras do sal, no arquivo de senhas para o ID do usuário.

    • O sal tem três finalidades:


    –– Impedir a percepção de senhas duplicadas no arquivo de senhas.
    –– Dificulta ataques de dicionários off-line.
    –– Impossibilita o descobrimento de usuários que utilizam a mesma senha
    em mais de um sistema.
    ANOTAÇÕES

    2
    www.grancursosonline.com.br
    SEGURANÇA DA INFORMAÇÃO
    Controle de Acesso
    Produção: Equipe Pedagógica Gran Cursos Online

    II – Autenticação Baseada em Token


    • Os objetos utilizados pelos usuários com a finalidade de autenticação são
    conhecidos por tokens.
    • São exemplos de tokens:
    –– Cartões de memória
    –– Smart Cards

    III – Autenticação Biométrica


    • Baseada nas características físicas do usuário.
    • Comumente temos:
    –– Características faciais;
    –– Impressões digitais;
    –– Geometria da mão;
    –– Padrão da retina;
    –– Assinatura;
    –– Voz.

    IV – Autenticação Biométrica Dinâmica


    • Baseada em um desafio gerado pelo sistema.
    • A sequência de desafio consiste em uma sequência de números, caracte-
    res ou palavras.
    • Onde o usuário deverá falar, digitar ou escrever essa sequência, gerando
    um sinal biométrico.
    • Esse sinal é cifrado e enviado como parâmetro na autenticação.

    Single Sign-On (SSO)


    • Consiste na autenticação única para vários sistemas.

    3
    www.grancursosonline.com.br
    SEGURANÇA DA INFORMAÇÃO
    Controle de Acesso
    Produção: Equipe Pedagógica Gran Cursos Online

    Direto do concurso
    1. (2014/CESGRANRIO/FINEP/ANALISTA – DESENVOLVIMENTO DE SISTE-
    MAS) O acesso aos serviços bancários via Internet está sujeito a várias fases
    de controle. Um dos bancos que disponibiliza esses serviços solicita, inicial-
    mente, o número da agência e o da conta-corrente. Numa segunda etapa,
    exige uma senha. A partir daí, o cliente pode realizar apenas as transações
    às quais tem acesso. Os atributos de segurança que esse exemplo imple-
    menta, na sequência em que ocorrem são:
    a. autenticação, autorização e identificação.
    b. autenticação, identificação e autorização.
    c. autorização, identificação e autenticação.
    d. identificação, autenticação e autorização.
    e. identificação, autorização e autenticação.

    2. (2014/IADES/TRE-PA/TÉCNICO JUDICIÁRIO – OPERAÇÃO DE COMPU-


    TADOR) Os sistemas de autenticação de usuários podem ser divididos em
    três grupos: autenticação baseada no conhecimento; autenticação baseada
    na propriedade; autenticação baseada em características. Assinale a alterna-
    tiva que apresenta um exemplo de autenticação pertencente ao último grupo.
    a. Uso de login e senha.
    b. Uso de tokens.
    c. Certificado digital.
    d. Perguntas randômicas.
    e. Reconhecimento biométrico.

    Comentário
    O que você sabe, o que você possui e o que você tem.
    ANOTAÇÕES

    4
    www.grancursosonline.com.br
    SEGURANÇA DA INFORMAÇÃO
    Controle de Acesso
    Produção: Equipe Pedagógica Gran Cursos Online

    3. (2015/CESPE/MEC/ANALISTA DE SEGURANÇA) A respeito dos mecanis-


    mos de autenticação, julgue o seguinte item.
    Mecanismo que usa token, verificação biométrica de impressão digital e PIN
    é exemplo de mecanismo de três fatores.

    Comentário
    Token – você possui.
    Impressão digital – você tem.
    Pin – você sabe.

    GABARITO
    1. d
    2. e
    3. C

    �Este material foi elaborado pela equipe pedagógica do Gran Cursos Online, de acordo com a
    aula preparada e ministrada pelo professor Jósis Alves.

    ANOTAÇÕES

    5
    www.grancursosonline.com.br

    Você também pode gostar