Quando usar autenticação? • Usuário deve ser responsabilizado por seus atos • As informações dos usuários são confidenciais • Deseja-se mecanismo de controle de acesso Autentição • Algo que somente o usuário saiba – fácil de copiar • Algo que somente o usuário tenha – Difícil de copiar – Fácil de roubar • Características pessoais – Difícil de copiar e roubar Auditoria de Autenticação • Mínimo: – Falha na autenticação; – Fraude nos dados; – Reutilização de dados; • Básico: – Todo uso da autenticação e reautenticação; – Todas as decisões tomadas; Dados para autenticação • • • • Identificação; Dado de autenticação; Prazo de validade; Prazo para emitir alerta de alteração de dados para o usuário; • Flag de conta bloqueada; • Data e hora de liberação de bloqueio; Reautenticação • Autenticar sempre que o sistema ficar parado por muito tempo; • Autenticar sempre que algo crítico for executado; • Mensagens de autenticação: cuidado para não dar pistas nas mensagens; Auditoria de Definição de Senhas • Mínimo: rejeição de senhas; • Básico: rejeição ou aceitação de senhas; • Detalhado: informação de alterações nas métricas de geração e verificação; Auditoria de Identificação • Mínimo: insucessos na identificação do usuário; • Básico: qualquer uso dos mecanismos de identificação; Multiplos Logins • Uma estação de trabalho pode solicitar múltiplos logins para o usuário • Isto pode prejudicar a segurança, confundindo o usuário • O ideal é um login único, geralmente no SO Autenticação entre sistemas • As vezes um sistema autenticado chama outros sistemas; • O sistema chamado pode confiar na autenticação do primeiro; • Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida; – Ex. sistemas de banco de dados; Auditoria de Usuário ligado ao sistemas • Mínimo: falha na criação de processo com a informação do usuário; • Básico: todas as ligações de processos com o usuário; • Obs: ligação de processo é o relacionamento de um sistema com outro sistema. Momento da Autenticação • O quanto antes; • Usuário não deve fazer nada sem autenticação; • Usuário pode tentar acessar informações sem passar pelo sistema: – Ex. acesso direto à base de dados, sem autenticar no sistema. Opções de Autenticação • Autenticação Básica: – Muito fraca; – Definida na RFC 2617; – Usuário e senha em base 64; Opções de Autenticação • Autenticação de hash ou de resumo: – RFC 2617; – Senha não trafega em texto plano; – Usa Hash; – Usado em LDAP; IMAP; POP3 e SMTP; Opções de Autenticação • Assinatura Digital: