Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos...
Transcript of Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos...
Quando usar autenticação?
• Usuário deve ser responsabilizado por seus atos
• As informações dos usuários são confidenciais
• Deseja-se mecanismo de controle de acesso
Autentição
• Algo que somente o usuário saiba– fácil de copiar
• Algo que somente o usuário tenha– Difícil de copiar– Fácil de roubar
• Características pessoais– Difícil de copiar e roubar
Auditoria de Autenticação
• Mínimo: – Falha na autenticação;– Fraude nos dados;– Reutilização de dados;
• Básico:– Todo uso da autenticação e reautenticação;– Todas as decisões tomadas;
Dados para autenticação
• Identificação;
• Dado de autenticação;
• Prazo de validade;
• Prazo para emitir alerta de alteração de dados para o usuário;
• Flag de conta bloqueada;
• Data e hora de liberação de bloqueio;
Reautenticação
• Autenticar sempre que o sistema ficar parado por muito tempo;
• Autenticar sempre que algo crítico for executado;
• Mensagens de autenticação: cuidado para não dar pistas nas mensagens;
Auditoria de Definição de Senhas
• Mínimo: rejeição de senhas;
• Básico: rejeição ou aceitação de senhas;
• Detalhado: informação de alterações nas métricas de geração e verificação;
Auditoria de Identificação
• Mínimo: insucessos na identificação do usuário;
• Básico: qualquer uso dos mecanismos de identificação;
Multiplos Logins
• Uma estação de trabalho pode solicitar múltiplos logins para o usuário
• Isto pode prejudicar a segurança, confundindo o usuário
• O ideal é um login único, geralmente no SO
Autenticação entre sistemas
• As vezes um sistema autenticado chama outros sistemas;
• O sistema chamado pode confiar na autenticação do primeiro;
• Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida;– Ex. sistemas de banco de dados;
Auditoria de Usuário ligado ao sistemas
• Mínimo: falha na criação de processo com a informação do usuário;
• Básico: todas as ligações de processos com o usuário;
• Obs: ligação de processo é o relacionamento de um sistema com outro sistema.
Momento da Autenticação
• O quanto antes;
• Usuário não deve fazer nada sem autenticação;
• Usuário pode tentar acessar informações sem passar pelo sistema:– Ex. acesso direto à base de dados, sem
autenticar no sistema.
Opções de Autenticação
• Autenticação Básica:– Muito fraca;– Definida na RFC 2617;– Usuário e senha em base 64;
Opções de Autenticação
• Autenticação de hash ou de resumo:– RFC 2617;– Senha não trafega em texto plano;– Usa Hash;– Usado em LDAP; IMAP; POP3 e SMTP;
Opções de Autenticação
• Assinatura Digital: