O acesso não autorizado continua sendo o recurso mais comum para as quebras na segurança da informação. Uma vez tendo ganho o acesso, o atacante poderá infligir todos os tipos de danos ao ambiente da vítima.
A autenticação é utilizada para testar se a pessoa que solicita o acesso é a mesma pessoa cadastrada e autorizada. Uma das formas mais comuns de autenticar o usuário é por meio da solicitação de senha.
O problema com as senhas
Custos com aquisição de tecnologias.
Custos operacionais.
Custos com atendimento do help desk (desbloqueio após erro da senha).
Computadores cada vez mais poderosos permitem a quebra de senhas mais facilmente.
Presença do usuário nas mídias sociais tornam as senhas mais óbvias e fáceis de adivinhar pelo atacante.
Cerca de um quarto dos usuários em geral usam as mesmas senhas. Além disso, cerca de três quartos dos usuários usam ao menos dois dispositivos por dia (computador, tablet, smartphone).
Quando o usuário tem que memorizar várias senhas fortes, em geral escreve as senhas em papel ou as armazena em mídia digital.
O mundo além das senhas
Tokens em dispositivos ou aplicativos, com senhas randômicas.
Reconhecimento de voz.
Reconhecimento facial.
Scan da íris.
Scan da palma da mão.
Scan das impressões digitais.
Localização geográfica do usuário.
Padrões de horários e formas de acesso.
Múltiplos fatores de autenticação.
Para uma autenticação mais forte do usuário, múltiplos fatores podem ser combinados. Isto significa que a autenticação do usuário vai depender da verificação da identidade através de diversas credenciais.
Os fatores de autenticação estão contidos em três categorias:
O QUE O USUÁRIO SABE: coisas que o usuário deve conhecer para que faça o login, tais como Usernames, IDS, senhas, PINs, desenhos na tela, etc.
O QUE O USUÁRIO POSSUI: coisas que o usuário deve possuir para que faça o login, tais como tokens para geração de senhas, smartphones com aplicativos geradores de senhas, SIM Cards, e-mail/SMS, etc.
O QUE É INERENTE AO USUÁRIO: quaisquer traços biológicos que o usuário tenha para ser autenticado ao fazer login: voz, formato do rosto, batimento cardíaco, configuração da retina ou da íris, impressão digital, formato da palma da mão, formato do lóbulo da orelha e sequenciamento do DNA.
Um método de autenticação de múltiplos fatores seguro vai depender da detecção de vida do usuário, além da detecção da presença. O ideal é que não haja a necessidade do usuário memorizar diversas senhas fortes.
Pensando na usabilidade, o método não deve se valer de tecnologias que requerem contato físico do usuário, bem como fornecer instruções complexas sobre a forma de utilizar o dispositivo. O ideal é a utilização de meios que possam capturar traços biométricos de forma segura e fácil, via lentes e/ou microfone. Algumas soluções de reconhecimento facial, inclusive, utilizam técnicas tais como a detecção de piscar do olho para assegurar presença e vida.
Ao utilizar captura de traços biométricos por meio de lentes, prover o sistema com recursos para evitar ataques de "Replay" – traços biométricos copiados em fotos ou gravados em vídeo, apresentados pelo impostor para imitar a coisa real. Assim, algumas aplicações permitem desafio-e-resposta: durante a verificação de vida, o usuário é guiado para virar a cabeça ou os olhos para direções aleatórias geradas pela aplicação. A análise do movimento verifica que as instruções estão sendo seguidas por uma pessoa e não por uma cópia.
Dependendo do grau de segurança requerido, podemos configurar datas, horários ou localização geográfica, atrelados à conta do usuário, para restringir os acessos.
Evolua no sentido de reforçar a sua segurança
O controle de acesso é um dos pilares da segurança. Se não controlarmos quem acessa o quê, não poderemos garantir a segurança de nada. Por conta disso, o controle de acesso permanece no foco principal de equipes de segurança, bem como dos criminosos. À medida que as soluções de segurança se tornam mais fortes em todas as áreas, criminosos trabalham com mais afinco para comprometer acessos válidos, com foco em explorar os bens de informação de uma organização. As práticas de controle de acesso tradicionais não são mais capazes de manter níveis de segurança apropriados.
Autenticação por múltiplos fatores é o próximo passo lógico para manter elevados níveis de segurança, levando uma organização a manter suas informações e sistemas longe de pessoas não autorizadas e mal-intencionadas.
Celso Leite, consultor de Segurança da Arcon.
