univesp 0 (FAVORdarLIKE)

Prévia do material em texto

Fazer teste: Semana 5 - Atividade AvaliativaSegurança da Informação - EEI201 - Turma 002 Atividades
Fazer teste: Semana 5 - Atividade Avaliativa 
Informações do teste
Descrição
Instruções
Várias
tentativas
Este teste permite 3 tentativas. Esta é a tentativa número 1.
Forçar
conclusão
Este teste pode ser salvo e retomado posteriormente.
Suas respostas foram salvas automaticamente.
1. Para responder a esta atividade, selecione a(s) alternativa(s) que você
considerar correta(s);
2. Após selecionar a resposta correta em todas as questões, vá até o fim da
página e pressione “Enviar teste”.
3. A cada tentativa, as perguntas e alternativas são embaralhadas
Olá, estudante!
Pronto! Sua atividade já está registrada no AVA.
PERGUNTA 1
A operadora do metrô de uma grande metrópole deseja aumentar a
segurança das compras de bilhetes feitas dentro dos seus
terminais. Para isso, ela decide implementar autenticação multifator
nos terminais automáticos usados para esse fim. Ela então
contrata uma empresa que sugere que os fatores de autenticação
sejam biometria de face e cartões de aproximação (também
conhecidos como “sem contato”, “NFC”, ou “RFID”), sem qualquer
senha, argumentando que essas tecnologias sem contato são
altamente higiênicas, por não exigir que o comprador toque no
terminal. 
 
Três membros da equipe de cibersegurança do metrô avaliam a
proposta de formas distintas: 
 
I. O sistema sugerido tem uma falha de segurança grave: tem uma
forma de dos usuários serem autenticados sem sua anuência, o
que permitiria a um fraudador comprar bilhetes no nome de vítimas
1,25 pontos   Salva
? Estado de Conclusão da Pergunta:
https://ava.univesp.br/webapps/blackboard/execute/courseMain?course_id=_6020_1
https://ava.univesp.br/webapps/blackboard/content/listContent.jsp?course_id=_6020_1&content_id=_806532_1&mode=reset
a.
b.
c.
d.
e.
que permitiria a um fraudador comprar bilhetes no nome de vítimas
passando pelo metrô! 
II. A solução sugerida tem uma incoerência: ela não pode ser
considerada um sistema de autenticação multifator 
III. A solução não parece ter qualquer falha de segurança
perceptível, e pode sim ser considerado um sistema de
autenticação multifator 
 
Analisando com cuidado essas opiniões, é correto afirmar que: 
I tem razão. Para mitigar o problema mantendo a
característica de “higiene” e os mesmos tipos de fatores da
solução original, o cartão sem contato poderia ser
substituído por um código QR gerado na tela do celular do
usuário, o qual seria lido pelo terminal de venda de bilhetes. 
I tem razão. A remoção do fator de autenticação “biometria
de face” da solução seria uma forma adequada de mitigar o
problema apontado. 
III tem razão, o que significa que tanto I quanto II estão
equivocados em suas análises.
II tem razão. A inclusão de um fator do tipo “algo que o
usuário sabe”, somando-se aos dois outros fatores já
presentes na solução original, seria uma forma adequada de
resolver a incoerência apontada. 
II tem razão. A substituição da biometria de face por uma
leitura de impressão digital resolveria a incoerência
apontada.
a.
b.
c.
PERGUNTA 2
Para dar a seus usuários um segundo fator de autenticação, muitos
bancos utilizam os chamados “tokens de autenticação”: no formato
de chaveiros ou instalados em aparelhos celulares, esses tokens
geram números curtos (comumente, de 6 dígitos), que se alteram
de tempos em tempos e que devem ser apresentados pelo usuário
como parte do mecanismo de autorização de transações. Esses
números são também conhecidos como OTP, que significa “One
Time Password” ou “Senha de Uso Único”. Assinale a alternativa
que indica um motivo razoável para essa denominação de “uso
único”:
A denominação tem a ver com um risco de ataques de
repetição contra tokens, ou seja, a captura de um número
gerado pelo token para uma transação, e seu reuso logo em
seguida para outra transação. Esse risco é especialmente
relevante se o token for usado em canais abertos (i.e., que
não disponha de mecanismos de confidencialidade) 
A denominação tem a ver com o fato dos tokens gerarem
apenas um valor a cada instante, dado que o protocolo
utilizado para esse fim (conhecido como Time-Based OTP,
ou OTP baseado em tempo) é tal que a geração de dois
valores no mesmo intervalo de tempo permitiria a
descoberta da chave secreta subjacente por atacantes. 
A denominação tem a ver com o fato de que o valor do token
muda em um intervalo de tempo muito curto (comumente, 30
s a 1 min), de modo que seria muito raro um usuário
humano precisar realizar mais de uma autenticação nesse
espaço de tempo Porém caso desejado o usuário pode
1,25 pontos   Salva
 Estado de Conclusão da Pergunta:
d.
e.
espaço de tempo. Porém, caso desejado, o usuário pode
fazê-lo sem qualquer restrição. 
A denominação tem por objetivo apenas ressaltar a natureza
transitiva dos dados, mas não há problema de segurança
em usar o OTP várias vezes, mesmo em canais abertos
(i.e., que não disponham de mecanismos de
confidencialidade). 
A denominação é uma referência direta ao algoritmo
subjacente utilizado para dar um elevado grau de segurança
a esses tokens: o algoritmo de cifração one time pad.
a.
b.
c.
d.
e.
PERGUNTA 3
Para dar a seus usuários um segundo fator de autenticação, muitos
bancos utilizam os chamados “tokens de autenticação”: no formato
de chaveiros ou instalados em aparelhos celulares, esses tokens
geram números curtos (comumente, de 6 dígitos), que se alteram
de tempos em tempos e que devem ser apresentados pelo usuário
como parte do mecanismo de autorização de transações. Assinale
a alternativa que descreve corretamente o mecanismo pelo qual
esses tokens geram os números curtos apresentados aos
usuários: 
O valor apresentado corresponde a um valor fixo, o qual é
cifrado usando uma chave aleatória gerada de tempos em
tempos e então decifrado pelo banco quando ele recebe a
transação. 
O valor apresentado corresponde a um entre vários números
pré-carregados no token, formando uma sequência que se
repete periodicamente (comumente, o período é de 24h ou
de 7 dias, dependendo da capacidade de armazenamento
do token).
O valor apresentado é um número verdadeiramente
aleatório, usando fontes de entropia disponíveis (e.g., o
instante do relógio e ruído térmico, dependendo do modelo
de token), conferindo um grau elevado de imprevisibilidade
aos números gerados. 
O valor apresentado é derivado do cálculo do MAC
(Message Authentication Code, ou Código de Autenticação
de mensagens) do instante de tempo atual, com uma
precisão arbitrária, usando uma chave compartilhada com o
servidor do banco.
O valor apresentado é derivado do hash dos dados da
transação, combinados com o instante de tempo atual,
dispensando a necessidade de se cadastrar uma chave
secreta compartilhada entre usuário e servidor.
1,25 pontos   Salva
PERGUNTA 4
No filme “Missão: Impossível – Nação Secreta”, é mostrado um
sistema de autenticação bastante futurista: ao andar por um
corredor, um sensor móvel acompanha os movimentos do visitante
e analisa seu padrão de locomoção, e usa essa informação para
confirmar a identidade desse visitante. O personagem principal
decide então invadir o banco de dados que contém o padrão de
1,25 pontos   Salva
 Estado de Conclusão da Pergunta:
a.
b.
c.
d.
e.
q p
locomoção da pessoa que deseja personificar, e então substitui os
dados lá presentes pelo padrão de locomoção de um membro de
sua equipe. Assumindo que essa tecnologia de identificação do
padrão de locomoção possa ser utilizada na prática, seria correto
afirmar que: 
trata-se de um mecanismo de autenticação que pode ser
classificado como biometria dinâmica. 
essa tecnologia não pode ser considerado um mecanismo
de autenticação, pois, como explica o enunciado, o
mecanismo pode ser burlado alterando as informações
armazenadas no sistema.
trata-se de um mecanismo de autenticação que pode ser
classificado como biometria estática.
trata-se de um mecanismo de autenticação do tipo “algo que
o usuário tem”.
trata-se deum mecanismo de autenticação do tipo “algo que
o usuário sabe”.
a.
b.
c.
d.
e.
PERGUNTA 5
A abordagem de autenticação que usa dois ou mais fatores para
verificar a identidade de um usuário tem por objetivo principal: 
Forçar usuários a evitar o reuso de senhas, em particular
aquelas com maior complexidade.
Levar o usuário a conhecer mais mecanismos seguros de
autenticação, para escolher aquele que melhor se adeque a
suas necessidades.
Minimizar o impacto causado por um eventual
comprometimento de um dos fatores de autenticação.
Prevenir o compartilhamento de credenciais de acesso que
não sejam biométricas. 
Reduzir a usabilidade do sistema. 
1,25 pontos   Salva
a.
PERGUNTA 6
Como forma de facilitar hábitos saudáveis no uso de senhas,
existem atualmente Sistema de Gerenciamento de Identidades que
adotam um modelo centralizado: essencialmente, o registro em um
único Provedor de Identidade (por exemplo, o Google) permite a
autenticação do usuário junto a vários Provedores de Serviços, que
então usam a mesma informação (por exemplo, um endereço de e-
mail) para identificar aquele usuário. Esse modelo é tido como um
modo efetivo de se implementar o conceito de _____________, por
meio do qual o usuário se autentica uma única vez e, depois disso,
obtém credenciais para todos os Provedores de Serviços
registrados junto ao Provedor de Identidade. 
 
Assinale a alternativa que completa corretamente a lacuna da frase
acima, e o tipo de benefício que ele traz a usuários: 
Unique Authentication Database (UAD): evita o reuso de
uma mesma senha em diferentes serviços
1,25 pontos   Salva
 Estado de Conclusão da Pergunta:
b.
c.
d.
e.
uma mesma senha em diferentes serviços 
Single Sign-On (SSO): evita a captura de senhas por
keyloggers instalados na máquina do usuário
One-Time Password (OTP): facilita o uso de senhas fortes
por usuários 
Unique Authentication Database (UAD): facilita o uso de
senhas fortes por usuários
Single Sign-On (SSO): evita o reuso de uma mesma senha
em diferentes serviços. 
a.
b.
c.
d.
e.
PERGUNTA 7
Algumas instituições bancárias brasileiras têm suporte ao
mecanismo conhecido como “Saque sem cartão”: em vez de
apresentar o cartão no caixa eletrônico, o usuário pode
simplesmente habilitar o saque usando o aplicativo do banco, e
então usar uma informação biométrica (comumente, impressão
digital ou palma das mãos) no caixa para sacar a quantia
informada. O aplicativo em si pode ser instalado em qualquer
dispositivo do usuário, mas o banco só aceita solicitações vindas
de dispositivos que tenham sido previamente liberados em um
caixa eletrônico. 
 
Considerando apenas essa descrição, pode-se dizer que a
autenticação do cliente fazendo a transação de “saque sem cartão”
envolve quais tipos de fatores de autenticação? 
Algo que o usuário tem, e algo que o usuário faz, apenas.
Algo que o usuário tem, algo que o usuário faz, e algo que o
usuário é, apenas.
Algo que o usuário tem e algo que o usuário é, apenas.
Algo que o usuário faz e algo que o usuário sabe, apenas. 
Algo que o usuário é, apenas. 
1,25 pontos   Salva
PERGUNTA 8
Considere a seguinte frase, e assinale a alternativa que indica
corretamente quais afirmações sobre ela são corretas: 
 
"Em cenários em que se deseja utilizar um único fator de
autenticação para melhor usabilidade, usar apenas biometria (por
exemplo, por face) é a melhor escolha porque, diferente de cartões
ou senhas, não é possível clonar ou roubar informações
biométricas de usuários." 
 
I. A frase é falsa, pois quando biometria é usada como único fator
de autenticação, há dificuldades em revogar dados biométricos em
caso de fraudes e ainda assim permitir que os usuários legítimos
afetados continuem operando no sistema. 
1,25 pontos   Salva
 Estado de Conclusão da Pergunta:
 
a.
b.
c.
d.
e.
 
II. A frase é falsa, pois não é crível dizer que é mais fácil roubar
senhas ou cartões do que dados biométricos (em especial, de
face). 
 
III. A frase é verdadeira, pois biometria é um mecanismo que
fornece bastante usabilidade: não dá para esquecer/perder uma
informação biométrica. 
II, apenas.
I e II, apenas.
I, apenas.
Nenhuma das afirmações é verdadeira. 
III, apenas.
Salvar todas as respostas Salvar e Enviar
 Estado de Conclusão da Pergunta: