Autenticação é a capacidade de garantir que um usuário é de fato quem ele diz ser. É uma das funções de segurança mais importantes que um sistema operacional deve fornecer. Os mecanismos de autenticação podem ser divididos em quatro categorias:
- Algo que você sabe - O mecanismo mais utilizado é o onipresente, mas relativamente inseguro, par formado pelo nome do usuário e sua senha, assim como números PIN usados para acesso a Banco 24 Horas e combinações de cofres.
- Algo que você tem - Chaves de carro, cartões de banco 24 horas, token, e outros dispositivos físicos são mecanismos de autenticação que exigem a posse física de um dispositivo sem igual identificar um usuário.
- Algo que você é - Impressões digitais, análise de retina e reconhecimento de voz são exemplos de mecanismos biométricos que podem ser usados para fornecer um nível bem alto de autenticação.
- Algum lugar onde você está - Endereços de adaptador de rede, caller-ID, e sistema baseado em Posicionamento Global via Satélite provêem informação de autenticação baseada na localização do usuário.
Sistemas de autenticação forte geralmente requerem simultaneamente o uso de pelo menos dois destes mecanismos. Por exemplo, o acesso à sua conta bancária em um banco 24 horas requer tanto a posse física do cartão 24 horas como o conhecimento do PIN. A confidencialidade da informação usada para autenticar os usuários é extremamente importante. Se você escrever o número do PIN no cartão 24 horas, a autenticação forte está perdida. Semelhantemente, se a informação de nome e senha do usuário trafegar abertamente através da rede, é impossível obter-se uma autenticação confiável.
Senhas
Senha de acesso é o método mais utilizado, pelas empresas para a autenticação de usuários. Porém para garantir o seu uso adequado, deve ser definida uma política de senhas, em que sejam criadas regras para a criação, troca e uso das mesmas. As regras definidas devem ser divulgadas a todos os funcionários e colaboradores da organização.A seguir relacionamos os principais itens que devem ser abordados em uma política de senhas:
- A senha sempre deve ser criada expirada, forçando a sua alteração no primeiro logon;
- As contas de usuários demitidos, prestadores de serviço, ou usuários de teste devem ser imediatamente bloqueadas quando não forem mais utilizadas;
- Os usuários devem poder alterar a própria senha e devem fazê-lo caso suspeitarem que a sua senha foi "descoberta";
- O tamanho mínimo da senha deverá ser de 7 caracteres;
- A periodicidade da troca deve ser preferencialmente mensal. Caso não seja possível, deve ser feita no máximo trimestralmente;
- A senha deve ser composta de uma combinação de caracteres maiúsculos e minúsculos, sinais e números, que deve ser fácil de lembrar, porém difícil de ser descoberta;
- A senha não deve ser baseada em informações pessoais, como próprio nome, nome de familiares, bichos de estimação, nome de time de futebol, placa do automóvel, nome da empresa ou departamento, etc;
- Não deve ser constituída de combinações óbvias de teclado, tais como 12345, asdfg;
- Não deve existir senhas genéricas, a senha é pessoal e não deve ser compartilhada.
Smart Cards
Na autenticação com Smart Cards é utilizada a combinação de um cartão com uma senha.Smart card é um tipo de cartão plástico semelhante a um cartão de crédito com um ou mais microchips embutidos, capaz de armazenar e processar dados. Um smart card pode ser programado para desempenhar inúmeras funções.
É utilizado tanto para controle de acesso lógico como para controle de acesso físico.
Biometria
Este tipo de tecnologia utiliza a análise de características humanas, como impressões digitais, retina, rosto e de padrões de voz e de assinatura.A vantagem sobre as outras tecnologias de autenticação é que o usuário é identificado por características únicas, pessoais e intransferíveis, dispensando o uso de senhas, cartões ou crachás.
É utilizado tanto para controle de acesso físico como para controle de acesso lógico.
One-time password
Esta tecnologia consiste em fornecer uma senha de acesso diferente a cada determinado intervalo de tempo (1 minuto, 30 segundos, etc.), permitindo que o usuário se conecte naquele instante.As tecnologias de one-time password tornam sem efeito a ação de sniffers, já que a cada conexão uma nova senha deve ser informada, permitindo que seja utilizado um canal inseguro.
Para a geração das senhas são utilizados tokens no formato de cartões, chaveiros ou aparelhos semelhantes a calculadoras.
Fonte: http://www.scua.com.br/site/seguranca/
0 comentários:
Postar um comentário