Segurança da Informação - EEI201 - UNIVESP teste Semana 5 - Atividade Avaliativa

Prévia do material em texto

Fazer teste: Semana 5 - Atividade AvaliativaSegurança da Informação - EEI201 - Turma 002 Atividades
Fazer teste: Semana 5 - Atividade Avaliativa 
Informações do teste
Descrição
Instruções
Várias tentativas Este teste permite 3 tentativas. Esta é a tentativa número 1.
Forçar conclusão Este teste pode ser salvo e retomado posteriormente.
Suas respostas foram salvas automaticamente.
1. Para responder a esta atividade, selecione a(s) alternativa(s) que você considerar correta(s);
2. Após selecionar a resposta correta em todas as questões, vá até o fim da página e pressione “Enviar teste”.
3. A cada tentativa, as perguntas e alternativas são embaralhadas
Olá, estudante!
Pronto! Sua atividade já está registrada no AVA.
a.
b.
c.
d.
e.
PERGUNTA 1
A operadora do metrô de uma grande metrópole deseja aumentar a segurança das compras de bilhetes feitas dentro dos seus terminais. Para isso, ela decide implementar autenticação multifator nos terminais automáticos usados para esse fim. Ela então contrata uma empresa que sugere que os fatores de autenticação sejam biometria de face e cartões de aproximação (também
conhecidos como “sem contato”, “NFC”, ou “RFID”), sem qualquer senha, argumentando que essas tecnologias sem contato são altamente higiênicas, por não exigir que o comprador toque no terminal. 
 
Três membros da equipe de cibersegurança do metrô avaliam a proposta de formas distintas: 
 
I. O sistema sugerido tem uma falha de segurança grave: tem uma forma de dos usuários serem autenticados sem sua anuência, o que permitiria a um fraudador comprar bilhetes no nome de vítimas passando pelo metrô! 
II. A solução sugerida tem uma incoerência: ela não pode ser considerada um sistema de autenticação multifator 
III. A solução não parece ter qualquer falha de segurança perceptível, e pode sim ser considerado um sistema de autenticação multifator 
 
Analisando com cuidado essas opiniões, é correto afirmar que: 
II tem razão. A inclusão de um fator do tipo “algo que o usuário sabe”, somando-se aos dois outros fatores já presentes na solução original, seria uma forma adequada de resolver a incoerência apontada. 
III tem razão, o que significa que tanto I quanto II estão equivocados em suas análises.
I tem razão. A remoção do fator de autenticação “biometria de face” da solução seria uma forma adequada de mitigar o problema apontado. 
I tem razão. Para mitigar o problema mantendo a característica de “higiene” e os mesmos tipos de fatores da solução original, o cartão sem contato poderia ser substituído por um código QR gerado na tela do celular do usuário, o qual seria lido pelo terminal de venda de bilhetes. 
II tem razão. A substituição da biometria de face por uma leitura de impressão digital resolveria a incoerência apontada.
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 2
Para dar a seus usuários um segundo fator de autenticação, muitos bancos utilizam os chamados “tokens de autenticação”: no formato de chaveiros ou instalados em aparelhos celulares, esses tokens geram números curtos (comumente, de 6 dígitos), que se alteram de tempos em tempos e que devem ser apresentados pelo usuário como parte do mecanismo de autorização de
transações. Esses números são também conhecidos como OTP, que significa “One Time Password” ou “Senha de Uso Único”. Assinale a alternativa que indica um motivo razoável para essa denominação de “uso único”:
A denominação é uma referência direta ao algoritmo subjacente utilizado para dar um elevado grau de segurança a esses tokens: o algoritmo de cifração one time pad.
A denominação tem a ver com o fato de que o valor do token muda em um intervalo de tempo muito curto (comumente, 30 s a 1 min), de modo que seria muito raro um usuário humano precisar realizar mais de uma autenticação nesse espaço de tempo. Porém, caso desejado, o usuário pode fazê-lo sem qualquer restrição. 
A denominação tem a ver com o fato dos tokens gerarem apenas um valor a cada instante, dado que o protocolo utilizado para esse fim (conhecido como Time-Based OTP, ou OTP baseado em tempo) é tal que a geração de dois valores no mesmo intervalo de tempo permitiria a descoberta da chave secreta subjacente por atacantes. 
A denominação tem por objetivo apenas ressaltar a natureza transitiva dos dados, mas não há problema de segurança em usar o OTP várias vezes, mesmo em canais abertos (i.e., que não disponham de mecanismos de confidencialidade). 
A denominação tem a ver com um risco de ataques de repetição contra tokens, ou seja, a captura de um número gerado pelo token para uma transação, e seu reuso logo em seguida para outra transação. Esse risco é especialmente relevante se o token for usado em canais abertos (i.e., que não disponha de mecanismos de confidencialidade) 
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 3
Como forma de facilitar hábitos saudáveis no uso de senhas, existem atualmente Sistema de Gerenciamento de Identidades que adotam um modelo centralizado: essencialmente, o registro em um único Provedor de Identidade (por exemplo, o Google) permite a autenticação do usuário junto a vários Provedores de Serviços, que então usam a mesma informação (por exemplo, um
endereço de e-mail) para identificar aquele usuário. Esse modelo é tido como um modo efetivo de se implementar o conceito de _____________, por meio do qual o usuário se autentica uma única vez e, depois disso, obtém credenciais para todos os Provedores de Serviços registrados junto ao Provedor de Identidade. 
 
Assinale a alternativa que completa corretamente a lacuna da frase acima, e o tipo de benefício que ele traz a usuários: 
Single Sign-On (SSO): evita a captura de senhas por keyloggers instalados na máquina do usuário
Unique Authentication Database (UAD): facilita o uso de senhas fortes por usuários
Single Sign-On (SSO): evita o reuso de uma mesma senha em diferentes serviços. 
Unique Authentication Database (UAD): evita o reuso de uma mesma senha em diferentes serviços 
One-Time Password (OTP): facilita o uso de senhas fortes por usuários 
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 4
A abordagem de autenticação que usa dois ou mais fatores para verificar a identidade de um usuário tem por objetivo principal: 
Prevenir o compartilhamento de credenciais de acesso que não sejam biométricas. 
Forçar usuários a evitar o reuso de senhas, em particular aquelas com maior complexidade.
Minimizar o impacto causado por um eventual comprometimento de um dos fatores de autenticação.
Levar o usuário a conhecer mais mecanismos seguros de autenticação, para escolher aquele que melhor se adeque a suas necessidades.
Reduzir a usabilidade do sistema. 
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 5
Para dar a seus usuários um segundo fator de autenticação, muitos bancos utilizam os chamados “tokens de autenticação”: no formato de chaveiros ou instalados em aparelhos celulares, esses tokens geram números curtos (comumente, de 6 dígitos), que se alteram de tempos em tempos e que devem ser apresentados pelo usuário como parte do mecanismo de autorização de
transações. Assinale a alternativa que descreve corretamente o mecanismo pelo qual esses tokens geram os números curtos apresentados aos usuários: 
O valor apresentado é um número verdadeiramente aleatório, usando fontes de entropia disponíveis (e.g., o instante do relógio e ruído térmico, dependendo do modelo de token), conferindo um grau elevado de imprevisibilidade aos números gerados. 
O valor apresentado é derivado do hash dos dados da transação, combinados com o instante de tempo atual, dispensando a necessidade de se cadastrar uma chave secreta compartilhada entre usuário e servidor.
O valor apresentado corresponde a um entre vários números pré-carregados no token, formando uma sequência que se repete periodicamente (comumente, o período é de 24h ou de 7 dias, dependendo da capacidade de armazenamento do token).
O valor apresentado é derivado do cálculo do MAC (Message Authentication Code, ou Código de Autenticação de mensagens)do instante de tempo atual, com uma precisão arbitrária, usando uma chave compartilhada com o servidor do banco.
O valor apresentado corresponde a um valor fixo, o qual é cifrado usando uma chave aleatória gerada de tempos em tempos e então decifrado pelo banco quando ele recebe a transação. 
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 6
No filme “Missão: Impossível – Nação Secreta”, é mostrado um sistema de autenticação bastante futurista: ao andar por um corredor, um sensor móvel acompanha os movimentos do visitante e analisa seu padrão de locomoção, e usa essa informação para confirmar a identidade desse visitante. O personagem principal decide então invadir o banco de dados que contém o padrão de
locomoção da pessoa que deseja personificar, e então substitui os dados lá presentes pelo padrão de locomoção de um membro de sua equipe. Assumindo que essa tecnologia de identificação do padrão de locomoção possa ser utilizada na prática, seria correto afirmar que: 
trata-se de um mecanismo de autenticação que pode ser classificado como biometria estática.
trata-se de um mecanismo de autenticação do tipo “algo que o usuário sabe”.
trata-se de um mecanismo de autenticação que pode ser classificado como biometria dinâmica. 
trata-se de um mecanismo de autenticação do tipo “algo que o usuário tem”.
essa tecnologia não pode ser considerado um mecanismo de autenticação, pois, como explica o enunciado, o mecanismo pode ser burlado alterando as informações armazenadas no sistema.
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 7
Considere a seguinte frase, e assinale a alternativa que indica corretamente quais afirmações sobre ela são corretas: 
 
"Em cenários em que se deseja utilizar um único fator de autenticação para melhor usabilidade, usar apenas biometria (por exemplo, por face) é a melhor escolha porque, diferente de cartões ou senhas, não é possível clonar ou roubar informações biométricas de usuários." 
 
I. A frase é falsa, pois quando biometria é usada como único fator de autenticação, há dificuldades em revogar dados biométricos em caso de fraudes e ainda assim permitir que os usuários legítimos afetados continuem operando no sistema. 
 
II. A frase é falsa, pois não é crível dizer que é mais fácil roubar senhas ou cartões do que dados biométricos (em especial, de face). 
 
III. A frase é verdadeira, pois biometria é um mecanismo que fornece bastante usabilidade: não dá para esquecer/perder uma informação biométrica. 
I e II, apenas.
II, apenas.
I, apenas.
Nenhuma das afirmações é verdadeira. 
III, apenas.
1,25 pontos   Salva
a.
b.
c.
d.
e.
PERGUNTA 8
Algumas instituições bancárias brasileiras têm suporte ao mecanismo conhecido como “Saque sem cartão”: em vez de apresentar o cartão no caixa eletrônico, o usuário pode simplesmente habilitar o saque usando o aplicativo do banco, e então usar uma informação biométrica (comumente, impressão digital ou palma das mãos) no caixa para sacar a quantia informada. O aplicativo
em si pode ser instalado em qualquer dispositivo do usuário, mas o banco só aceita solicitações vindas de dispositivos que tenham sido previamente liberados em um caixa eletrônico. 
 
Considerando apenas essa descrição, pode-se dizer que a autenticação do cliente fazendo a transação de “saque sem cartão” envolve quais tipos de fatores de autenticação? 
Algo que o usuário tem, e algo que o usuário faz, apenas.
Algo que o usuário é, apenas. 
Algo que o usuário tem e algo que o usuário é, apenas.
Algo que o usuário tem, algo que o usuário faz, e algo que o usuário é, apenas.
Algo que o usuário faz e algo que o usuário sabe, apenas. 
1,25 pontos   Salva
?
 Estado de Conclusão da Pergunta:
 Clique em Salvar e Enviar para salvar e enviar. Clique em Salvar todas as respostas para salvar todas as respostas. Salvar todas as respostas Salvar e Enviar
https://ava.univesp.br/webapps/blackboard/execute/courseMain?course_id=_6020_1
https://ava.univesp.br/webapps/blackboard/content/listContent.jsp?course_id=_6020_1&content_id=_806532_1&mode=reset