Opções de autenticação para aumentar a segurança (senhas estão obsoletas!)

Opções de autenticação pra aumentar a segurança (senha já era!)

Você ainda usa exclusivamente senhas para se autenticar nos serviços que utiliza na empresa e fora dela ? Saiba que já passou da hora de rever seus conceitos!

Abaixo vemos, com base em mais um ótimo texto da Deb Shinder, do Windows Networking, os problemas do uso de senhas (mesmo as complexas) e as alternativas disponíveis.

Há mais de uma década Bill Gates declarou que as senhas estavam obsoletas.

Apesar da sua e de muitas outras previsões dos especialistas, a maioria dos softwares e serviços ainda dependem do nome de usuário e senha como meio único ou principal de autenticação. No mesmo discurso, Bill comentou que os principais clientes da Microsoft estavam se movendo para cartões inteligentes e autenticação biométrica para uma melhor segurança, e muitas grandes empresas e agências governamentais de alta segurança de fato usam esses métodos, mas eles não têm penetrado no mercado tão rapidamente como se esperava.

Há vantagens óbvias de segurança no uso de cartões inteligentes, tokens e dados biométricos, mas há também algumas desvantagens significativas. Um dos obstáculos para a adoção em uma era de orçamentos apertados é que esses métodos incorrem em custos adicionais.

Cartões exigem hardware, leitores e software, bem como os próprios cartões. Os cartões também são fáceis de perder ou esquecer, negando o seu valor como um fator de autenticação. Tokens USB também pode ser perdidos ou esquecidos, mas são utilizáveis na maioria dos dispositivos que possuem uma porta USB padrão, sem a compra de hardware leitor.

A autenticação biométrica tem a vantagem de não exigir que o usuário lembre‐se de levar algo consigo, já que é baseada em características físicas ou comportamentos. Impressão digital ou reconhecimento de retina requer scanners de hardware, ainda que seja por reconhecimento de voz, requer um microfone (agora padrão na maioria dos computadores) e software para processar a entrada. Resumindo: cartões biométricos e inteligentes, bem como tokens de autenticação, são mais caros do que senhas simples.

Os quatro tipos básicos de autenticação utilizam algo que você sabe (como uma palavra‐chave, frase‐chave ou PIN), algo que você tem (como um cartão inteligente ou token), algo que você faz (como o sua voz ou padrão de digitação) ou algo que você é (características físicas, tais como a sua impressão digital ou padrões de retina).

Algo que você sabe pode ser esquecido, ou você pode ser enganado ou forçado a revelá‐lo. 

Algo que você tem pode ser perdido ou roubado.

Algo que você faz pode ser alterado através da aprendizagem (com muito esforço).

Algo que você é geralmente não pode ser alterado, embora possa, em alguns casos ser emulado (por exemplo, fazer uma cópia de uma impressão digital com borracha ou gel de silicone, ou até mesmo fazer uma fotocópia).

Porque mesmo as soluções de autenticação mais caras não são perfeitas e podem ser burladas, muitas organizações estão presas na autenticação de senhas. Isto levou a esforços para tornar as senhas mais seguras, definindo critérios para a criação de senhas fortes e / ou forçando os usuários a alterar suas senhas com frequência via expiração regular.

Ambos podem aumentar a segurança de senhas, mas essas políticas de senha também podem sair pela culatra e resultar em comprometimento da segurança, quando levadas ao extremo.

Se as senhas são muito complexas, ou se elas devem ser alteradas com muita freqüência, os usuários ficam frustrados com a sua incapacidade para lembrar suas senhas e cometem erros como anotar as senhas.

E por causa disso eles precisam recorrer ao registro da senha diariamente, então eles tendem a "esconder" a anotação em um lugar conveniente e, portanto, fácil para qualquer um encontrar. Isso pode tornar mais fácil para um hacker ou atacante que tenha acesso físico à área para obter credenciais legítimas para efetuar logon no computador, rede ou serviço.

Considerando que a melhor forma de autenticação multi‐fator combina diferentes tipos de autenticação (por exemplo, algo que você sabe, na forma de um PIN combinado com algo que você tem na forma de um cartão inteligente), você pôde ter observado que muitos sites estão agora tomando uma abordagem de custo mais baixo, exigindo múltiplas formas de autenticação baseadas em conhecimento.

Isto é frequentemente visto na forma de "pergunta secreta", muito popular em sites de serviços bancários e financeiros. Ao configurar uma conta, além de criar um nome de usuário e senha, você também vai ser solicitado a fornecer a resposta para uma pergunta que é facilmente lembrada, mas é específica para você e não muito conhecida, e que tem apenas uma resposta correta e que outra pessoa não poderia facilmente descobrir ou adivinhar.

Em muitos casos, você será capaz de escolher entre uma série de perguntas padronizadas e, em alguns sistemas mais sofisticados, você pode criar a sua própria pergunta. Algumas pessoas questionam os favoritos que incluem "Qual era o nome do seu primeiro animal de estimação?" ou "Qual é a sua música favorita?".

Estas podem ser boas perguntas do ponto de vista de segurança, dependendo se você tem informações sobre você de forma destacada e compartilhada em redes sociais . Quanto mais obscura a questão (desde que seja algo que você consiga se lembrar), melhor.

Alguns esquemas de autenticação baseados no conhecimento usam perguntas que o usuário não escolhe, e algumas delas podem ser tão obscuras que o usuário não saiba a resposta.

Por exemplo, sua empresa poderia usar perguntas sobre informações que estão no arquivo com a agência, tais como informações sobre os veículos anteriormente matriculados para você ou dados de antigos arquivamentos de retorno de imposto.

Esta "autenticação multi‐fator de pobre" pode adicionar uma camada de proteção a um esquema de autenticação por senha quando não for prático incorporar métodos mais caros. Podemos apenas esperar que, no futuro, haja uma maneira barata, infalível para autenticar a identidade em redes locais e na Internet. Enquanto isso, como acontece com muitas coisas da vida, vamos analisando as vantagens e desvantagens de tudo.

Conclusão

É necessário avançar nos mecanismos de autenticação de serviços corporativos, não há dúvida. Os serviços web famosos sairam na frente porque sua exposição é maior, o que não significa que devemos negligenciar os riscos de mecanismos de autenticação frágeis (sim, estou falando de senhas) sendo usados pra proteger dados críticos.

O Windows Server já suporta mecanismos como smartcards e biometria, enquanto o Linux suporta biometria, multi-fator e outras alternativas para aumentar a segurança do ambiente.

E você, já usa autenticação multi-fator ou biometria ? Quero saber o que pensa sobre isso!

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!