quando usar autenticação? usuário deve ser responsabilizado por seus atos as informações dos...
TRANSCRIPT
![Page 1: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/1.jpg)
![Page 2: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/2.jpg)
Quando usar autenticação?
• Usuário deve ser responsabilizado por seus atos
• As informações dos usuários são confidenciais
• Deseja-se mecanismo de controle de acesso
![Page 3: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/3.jpg)
Autentição
• Algo que somente o usuário saiba– fácil de copiar
• Algo que somente o usuário tenha– Difícil de copiar– Fácil de roubar
• Características pessoais– Difícil de copiar e roubar
![Page 4: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/4.jpg)
![Page 5: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/5.jpg)
Auditoria de Autenticação
• Mínimo: – Falha na autenticação;– Fraude nos dados;– Reutilização de dados;
• Básico:– Todo uso da autenticação e reautenticação;– Todas as decisões tomadas;
![Page 6: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/6.jpg)
![Page 7: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/7.jpg)
Dados para autenticação
• Identificação;
• Dado de autenticação;
• Prazo de validade;
• Prazo para emitir alerta de alteração de dados para o usuário;
• Flag de conta bloqueada;
• Data e hora de liberação de bloqueio;
![Page 8: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/8.jpg)
![Page 9: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/9.jpg)
![Page 10: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/10.jpg)
![Page 11: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/11.jpg)
Reautenticação
• Autenticar sempre que o sistema ficar parado por muito tempo;
• Autenticar sempre que algo crítico for executado;
• Mensagens de autenticação: cuidado para não dar pistas nas mensagens;
![Page 12: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/12.jpg)
Auditoria de Definição de Senhas
• Mínimo: rejeição de senhas;
• Básico: rejeição ou aceitação de senhas;
• Detalhado: informação de alterações nas métricas de geração e verificação;
![Page 13: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/13.jpg)
![Page 14: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/14.jpg)
Auditoria de Identificação
• Mínimo: insucessos na identificação do usuário;
• Básico: qualquer uso dos mecanismos de identificação;
![Page 15: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/15.jpg)
![Page 16: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/16.jpg)
Multiplos Logins
• Uma estação de trabalho pode solicitar múltiplos logins para o usuário
• Isto pode prejudicar a segurança, confundindo o usuário
• O ideal é um login único, geralmente no SO
![Page 17: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/17.jpg)
Autenticação entre sistemas
• As vezes um sistema autenticado chama outros sistemas;
• O sistema chamado pode confiar na autenticação do primeiro;
• Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida;– Ex. sistemas de banco de dados;
![Page 18: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/18.jpg)
Auditoria de Usuário ligado ao sistemas
• Mínimo: falha na criação de processo com a informação do usuário;
• Básico: todas as ligações de processos com o usuário;
• Obs: ligação de processo é o relacionamento de um sistema com outro sistema.
![Page 19: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/19.jpg)
![Page 20: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/20.jpg)
Momento da Autenticação
• O quanto antes;
• Usuário não deve fazer nada sem autenticação;
• Usuário pode tentar acessar informações sem passar pelo sistema:– Ex. acesso direto à base de dados, sem
autenticar no sistema.
![Page 21: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/21.jpg)
Opções de Autenticação
• Autenticação Básica:– Muito fraca;– Definida na RFC 2617;– Usuário e senha em base 64;
![Page 22: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/22.jpg)
Opções de Autenticação
• Autenticação de hash ou de resumo:– RFC 2617;– Senha não trafega em texto plano;– Usa Hash;– Usado em LDAP; IMAP; POP3 e SMTP;
![Page 23: Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle](https://reader035.vdocuments.site/reader035/viewer/2022062700/552fc180497959413d8f19cf/html5/thumbnails/23.jpg)
Opções de Autenticação
• Assinatura Digital: