Post on 22-Apr-2015
Quando usar autenticação?
• Usuário deve ser responsabilizado por seus atos
• As informações dos usuários são confidenciais
• Deseja-se mecanismo de controle de acesso
Autentição
• Algo que somente o usuário saiba– fácil de copiar
• Algo que somente o usuário tenha– Difícil de copiar– Fácil de roubar
• Características pessoais– Difícil de copiar e roubar
Auditoria de Autenticação
• Mínimo: – Falha na autenticação;– Fraude nos dados;– Reutilização de dados;
• Básico:– Todo uso da autenticação e reautenticação;– Todas as decisões tomadas;
Dados para autenticação
• Identificação;
• Dado de autenticação;
• Prazo de validade;
• Prazo para emitir alerta de alteração de dados para o usuário;
• Flag de conta bloqueada;
• Data e hora de liberação de bloqueio;
Reautenticação
• Autenticar sempre que o sistema ficar parado por muito tempo;
• Autenticar sempre que algo crítico for executado;
• Mensagens de autenticação: cuidado para não dar pistas nas mensagens;
Auditoria de Definição de Senhas
• Mínimo: rejeição de senhas;
• Básico: rejeição ou aceitação de senhas;
• Detalhado: informação de alterações nas métricas de geração e verificação;
Auditoria de Identificação
• Mínimo: insucessos na identificação do usuário;
• Básico: qualquer uso dos mecanismos de identificação;
Multiplos Logins
• Uma estação de trabalho pode solicitar múltiplos logins para o usuário
• Isto pode prejudicar a segurança, confundindo o usuário
• O ideal é um login único, geralmente no SO
Autenticação entre sistemas
• As vezes um sistema autenticado chama outros sistemas;
• O sistema chamado pode confiar na autenticação do primeiro;
• Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida;– Ex. sistemas de banco de dados;
Auditoria de Usuário ligado ao sistemas
• Mínimo: falha na criação de processo com a informação do usuário;
• Básico: todas as ligações de processos com o usuário;
• Obs: ligação de processo é o relacionamento de um sistema com outro sistema.
Momento da Autenticação
• O quanto antes;
• Usuário não deve fazer nada sem autenticação;
• Usuário pode tentar acessar informações sem passar pelo sistema:– Ex. acesso direto à base de dados, sem
autenticar no sistema.
Opções de Autenticação
• Autenticação Básica:– Muito fraca;– Definida na RFC 2617;– Usuário e senha em base 64;
Opções de Autenticação
• Autenticação de hash ou de resumo:– RFC 2617;– Senha não trafega em texto plano;– Usa Hash;– Usado em LDAP; IMAP; POP3 e SMTP;
Opções de Autenticação
• Assinatura Digital: