Quando usar autenticação?
• Usuário deve ser responsabilizado por
seus atos
• As informações dos usuários são
confidenciais
• Deseja-se mecanismo de controle de
acesso
Autentição
• Algo que somente o usuário saiba
– fácil de copiar
• Algo que somente o usuário tenha
– Difícil de copiar
– Fácil de roubar
• Características pessoais
– Difícil de copiar e roubar
Auditoria de Autenticação
• Mínimo:
– Falha na autenticação;
– Fraude nos dados;
– Reutilização de dados;
• Básico:
– Todo uso da autenticação e reautenticação;
– Todas as decisões tomadas;
Dados para autenticação
•
•
•
•
Identificação;
Dado de autenticação;
Prazo de validade;
Prazo para emitir alerta de alteração de
dados para o usuário;
• Flag de conta bloqueada;
• Data e hora de liberação de bloqueio;
Reautenticação
• Autenticar sempre que o sistema ficar
parado por muito tempo;
• Autenticar sempre que algo crítico for
executado;
• Mensagens de autenticação: cuidado para
não dar pistas nas mensagens;
Auditoria de Definição de Senhas
• Mínimo: rejeição de senhas;
• Básico: rejeição ou aceitação de senhas;
• Detalhado: informação de alterações nas
métricas de geração e verificação;
Auditoria de Identificação
• Mínimo: insucessos na identificação do
usuário;
• Básico: qualquer uso dos mecanismos de
identificação;
Multiplos Logins
• Uma estação de trabalho pode solicitar
múltiplos logins para o usuário
• Isto pode prejudicar a segurança,
confundindo o usuário
• O ideal é um login único, geralmente no
SO
Autenticação entre sistemas
• As vezes um sistema autenticado chama
outros sistemas;
• O sistema chamado pode confiar na
autenticação do primeiro;
• Uma opção é o primeiro sistema se
autenticar novamente no segundo através
de outra conta pré-definida;
– Ex. sistemas de banco de dados;
Auditoria de Usuário ligado ao
sistemas
• Mínimo: falha na criação de processo com
a informação do usuário;
• Básico: todas as ligações de processos
com o usuário;
• Obs: ligação de processo é o
relacionamento de um sistema com outro
sistema.
Momento da Autenticação
• O quanto antes;
• Usuário não deve fazer nada sem
autenticação;
• Usuário pode tentar acessar informações
sem passar pelo sistema:
– Ex. acesso direto à base de dados, sem
autenticar no sistema.
Opções de Autenticação
• Autenticação Básica:
– Muito fraca;
– Definida na RFC 2617;
– Usuário e senha em base 64;
Opções de Autenticação
• Autenticação de hash ou de resumo:
– RFC 2617;
– Senha não trafega em texto plano;
– Usa Hash;
– Usado em LDAP; IMAP; POP3 e SMTP;
Opções de Autenticação
• Assinatura Digital:
Download

3.1 Autenticação Classe FIA