Módulo 4 - Aulas 3 e 4 _ Fundamental - Aula08

Prévia do material em texto

Módulo 4 - Aulas 3 e 4
Entender o conceito de smart-cards e protocolos como IEEE 802.1X e RADIUS.
Identificar a utilidade das chaves de token, códigos estáticos, HOTP, TOTP.
Assimilar as tecnologias de autenticação como a verificação em duas etapas.
Smart-card, dispositivos de gerenciamento de chaves, IEEE 802.1X, RADIUS.
Chaves de token e códigos estáticos e autenticação aberta: HOTP, TOTP.
Verificação em duas etapas.
Bem-vindos à aula sobre tecnologias de autenticação. Dentro do escopo de proteção
contra ameaças cibernéticas esse é o processo utilizado para verificar a identidade de
usuários e sistemas, desempenhando um papel vital na segurança da informação.
Hoje, exploraremos uma série de conceitos e tecnologias que formam a base da
autenticação moderna. Desde métodos tradicionais até inovações avançadas,
discutiremos sobre práticas que garantem a confiabilidade dos sistemas e dados.
Abordaremos desde a utilização de smart-cards até os complexos protocolos de
autenticação, como o IEEE 802.1X e o RADIUS. Vamos explorar como os dispositivos de
gerenciamento de chaves e os sistemas de controle de acesso do controlador de
acesso terminal desempenham seu papel na segurança da informação.
Módulo 4: Controles de Acesso
Aula 3: Tecnologias de Autenticação
Objetivos
Conceitos
Introdução
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 1/28
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K
Além disso, veremos os conceitos de chaves de token, códigos estáticos e métodos de
autenticação aberta, incluindo HOTP e TOTP. Não deixaremos de destacar a importância
da verificação em duas etapas, uma medida essencial para proteger a integridade dos
dados em ambientes digitais. A autenticação é um dos pontos chave que garantem a
confiança nas comunicações digitais.
As tecnologias de autenticação podem ser baseadas em algo que você possui, ou fator
de propriedade/posse �Ownership Factor). Muitas organizações estão implantando
sistemas de autenticação multifatorial respaldados em cartões inteligentes e porta-
chaves USB. É provável que você tenha que dar suporte à instalação e configuração
dessas tecnologias durante sua carreira.
Os Smart-Cards são dispositivos portáteis de armazenamento e processamento de
dados que integram elementos de segurança, como microprocessadores e memória, em
um pequeno cartão do tamanho de um cartão de crédito. Estes cartões inteligentes são
projetados para armazenar e processar informações de maneira segura, sendo
utilizados em uma variedade de aplicações, desde serviços financeiros até controle de
acesso físico e lógico. O funcionamento dos Smart-Cards para autenticação ocorre da
seguinte forma:
1. Fator de autenticação: O funcionamento dos Smart-Cards na autenticação é
baseado na combinação de algo que o usuário possui (o próprio cartão) e algo que o
usuário sabe (como um PIN�.
2. Credenciais: Quando um usuário deseja acessar um sistema ou serviço protegido,
insere o Smart-Card no leitor correspondente e, geralmente, fornece uma senha
pessoal �PIN) associada ao cartão.
3. Validação: O microprocessador incorporado no Smart-Card realiza a validação
interna da senha e, se bem-sucedida, gera um código de autenticação único,
permitindo o acesso ao sistema.
Vantagens:
• Segurança aprimorada: A combinação de algo que o usuário possui (cartão) e algo
que ele sabe �PIN) aumenta a segurança do processo de autenticação.
• Portabilidade e conveniência: Devido ao tamanho compacto, os Smart-Cards são
facilmente transportáveis e podem ser integrados a uma variedade de dispositivos.
Tecnologias voltadas para Autenticação
Autenticação com Smart-Card
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 2/28
• Diversidade de aplicações: São utilizados em diversas áreas, como identificação
pessoal, serviços bancários, controle de acesso físico e lógico.
Desvantagens:
• Custo inicial: A implementação de infraestrutura para a utilização de Smart-Cards
pode envolver custos iniciais significativos.
• Perda ou roubo: Caso o Smart-Card seja perdido ou roubado, pode representar uma
vulnerabilidade se não houver medidas de proteção adequadas.
• Complexidade para usuários inexperientes: Alguns usuários podem encontrar a
utilização inicial de Smart-Cards um pouco complexa, especialmente se não
estiverem familiarizados com o processo.
Exemplos Práticos de Aplicação:
• Acesso a redes corporativas: Muitas organizações utilizam Smart-Cards para
autenticação de funcionários ao acessarem redes corporativas, garantindo um nível
mais elevado de segurança.
• Sistemas de saúde: Em ambientes de saúde, Smart-Cards são empregados para
garantir o acesso seguro a registros médicos eletrônicos, garantindo a privacidade e
autenticidade das informações.
• Pagamentos eletrônicos: Cartões bancários com tecnologia Smart-Card são
amplamente utilizados para transações financeiras seguras em terminais de
pagamento eletrônico �POS�.
• Controle de acesso físico: Smart-Cards são empregados em sistemas de controle de
acesso físico a edifícios e instalações, garantindo que apenas pessoas autorizadas
possam entrar em determinadas áreas.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 3/28
Os dispositivos de gerenciamento de chaves desempenham um papel importante na
autenticação. São responsáveis por gerar, armazenar e distribuir chaves criptográficas,
que são essenciais para processos de autenticação seguros. As chaves criptográficas
são utilizadas para cifrar e decifrar dados, garantindo a confidencialidade, integridade e
autenticidade das informações trocadas entre as partes. Quanto ao tipo os dispositivos
podem ser:
1. Hardware Security Modules �HSMs�: Estes são dispositivos físicos dedicados
projetados especificamente para o gerenciamento seguro de chaves criptográficas.
HSMs oferecem um ambiente isolado e resistente a ataques, muitas vezes
possuindo funções adicionais, como a geração segura de números aleatórios.
2. Token USB: Alguns dispositivos de gerenciamento de chaves vêm na forma de
tokens USB. Esses dispositivos são conectados a computadores e podem
armazenar chaves criptográficas, oferecendo uma solução portátil e conveniente.
3. Trusted Platform Module �TPM�: Embutidos em alguns computadores, os TPMs são
chips dedicados que fornecem funções de segurança, incluindo o gerenciamento de
chaves. Eles são comumente utilizados em iniciativas de segurança de hardware.
4. Secure Enclaves: Em ambientes computacionais, os secure enclaves são áreas de
hardware isoladas que podem ser usadas para realizar operações criptográficas de
forma segura, incluindo o gerenciamento de chaves.
Smart Cards.
Dispositivos de Gerenciamento de Chaves
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 4/28
Implementações Práticas:
• Criação de Certificados Digitais: Dispositivos de gerenciamento de chaves são
frequentemente utilizados para a geração e armazenamento seguro de certificados
digitais, que são essenciais para autenticação em ambientes como TLS/SSL em
comunicações seguras na web.
• Assinatura Digital: Em processos que exigem assinaturas digitais, como transações
financeiras eletrônicas ou documentos eletrônicos, os dispositivos de
gerenciamento de chaves são empregados para garantir a autenticidade e a
integridade das assinaturas.
• Controle de Acesso a Dados Sensíveis: Em sistemas que lidam com dados sensíveis,
como bancos de dados criptografados, os dispositivos de gerenciamento de chaves
são utilizados para proteger as chaves de acesso, garantindo que apenas usuários
autorizados possam decifrar os dados.
Considerações de Segurança:
• Proteção Física: Dispositivos de gerenciamento de chaves, especialmenteHSMs,
devem ser protegidos fisicamente para evitar acesso não autorizado. Isso pode
incluir a instalação em ambientes seguros e a implementação de controles de
acesso rigorosos.
• Atualizações e Monitoramento: Regularmente atualizar firmware e software
associado é crucial para corrigir vulnerabilidades. Além disso, o monitoramento
constante do uso e atividades desses dispositivos é vital para identificar
comportamentos anômalos que possam indicar uma possível violação de segurança.
• Backup e Recuperação: Procedimentos de backup e recuperação de chaves devem
ser estabelecidos para garantir que, em casos de falha ou perda, as operações
críticas possam ser retomadas de maneira segura.
O IEEE 802.1X é um protocolo de controle de acesso à rede que fornece uma estrutura
para autenticação de dispositivos conectados a uma rede, como computadores,
impressoras e dispositivos IoT �Internet of Things). O protocolo foi projetado para
HSM.
Protocolo de Autenticação Extensível (IEEE 802.1X)
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 5/28
garantir que apenas dispositivos autorizados tenham acesso à rede, melhorando
significativamente a segurança.
O processo de autenticação do IEEE 802.1X envolve três entidades principais: o
Suplicante (o dispositivo que deseja acessar a rede), o Autenticador (o ponto de acesso
à rede, como um switch) e o Servidor de Autenticação (que verifica as credenciais do
Suplicante). Este processo ocorre antes que o Suplicante seja autorizado a enviar ou
receber dados na rede. Sua utilização em redes para controle de acesso ocorre da
seguinte forma:
• O IEEE 802.1X é amplamente utilizado em redes para controle de acesso,
especialmente em ambientes corporativos e institucionais. Ele oferece uma camada
adicional de segurança, impedindo que dispositivos não autorizados obtenham
acesso à rede. Isso é particularmente essencial em ambientes onde a proteção dos
dados e a segregação de dispositivos são prioridades.
• O protocolo é eficaz em redes com fio e sem fio, proporcionando uma abordagem
uniforme para garantir a autenticação e a autorização antes de conceder o acesso à
rede. Ao implementar o IEEE 802.1X, as organizações conseguem estabelecer
políticas rigorosas de controle de acesso, reduzindo a superfície de ataque e
protegendo contra ameaças internas e externas.
• Os detalhes específicos da configuração podem variar dependendo do equipamento
de rede utilizado. O protocolo IEEE 802.1X oferece uma estrutura flexível, permitindo
a integração com diferentes métodos de autenticação, como EAP�TLS �Transport
Layer Security) ou PEAP �Protected Extensible Authentication Protocol).
Componentes Envolvidos:
• Suplicante �Supplicant): Este é o dispositivo que busca acesso à rede. Pode ser um
computador, laptop, impressora, ou qualquer dispositivo de rede.
• Autenticador �Authenticator): O ponto de acesso à rede, frequentemente um switch
Ethernet ou um ponto de acesso Wi-Fi, que controla o acesso ao meio físico da
rede.
• Servidor de Autenticação �Authentication Server): Este servidor é responsável por
verificar as credenciais apresentadas pelo Suplicante e determinar se ele deve ser
autorizado a acessar a rede.
Para exemplificar a configuração do IEEE 802.1X, considere a seguinte configuração em
um switch Ethernet:
Configuração no Switch �Autenticador):
• Habilitar o IEEE 802.1X no switch.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 6/28
• Definir portas como portas IEEE 802.1X (portas de autenticação).
• Especificar o servidor de autenticação (geralmente um servidor RADIUS�.
Configuração no Suplicante �Dispositivo Cliente):
• Configurar o cliente (placa de rede) para iniciar o processo de autenticação IEEE
802.1X.
• Definir os parâmetros de autenticação, como o método de autenticação (por
exemplo, EAP � Extensible Authentication Protocol).
Configuração no Servidor RADIUS:
• Configurar o servidor RADIUS para se comunicar com o switch.
• Definir políticas de autenticação e autorização para os Suplicantes.
O RADIUS, que significa Serviço de Usuário de Discagem de Autenticação Remota
�Remote Authentication Dial-In User Service), é um protocolo de rede utilizado para
gerenciar a autenticação, autorização e contabilidade �AAA) em ambientes de rede. Ele
foi inicialmente desenvolvido para fornecer autenticação centralizada para usuários
discados, mas evoluiu para se tornar uma ferramenta fundamental para a autenticação
remota em redes corporativas e provedores de serviços.
1. Funcionamento: Seu funcionamento ocorre da seguinte maneira:
• Modo de operação: O RADIUS opera em um modelo cliente-servidor, onde o cliente
(geralmente um dispositivo de rede, como um switch ou ponto de acesso) envia
solicitações de autenticação ao servidor RADIUS.
Autenticação 802.1x.
Serviço de Usuário de Discagem de Autenticação Remota (RADIUS)
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 7/28
• Recebimento das solicitações: O servidor RADIUS, por sua vez, processa essas
solicitações.
• Autenticação: Autentica os usuários.
• Autorização: Após autenticar o usuário fornece as informações de autorização
necessárias.
2. Papel na autenticação: A função principal do RADIUS no processo de autenticação
remota é facilitar a comunicação segura entre o cliente (o dispositivo de rede que
está controlando o acesso) e o servidor RADIUS. Quando um usuário tenta acessar a
rede, o cliente RADIUS encaminha a solicitação de autenticação para o servidor
RADIUS. Este, por sua vez, verifica as credenciais do usuário em um banco de
dados local ou em um diretório remoto, autenticando o usuário com base nas
informações fornecidas.
3. Papel na autorização: Além da autenticação, o RADIUS também desempenha um
papel importante na autorização. Ele determina quais recursos e serviços o usuário
autenticado está autorizado a acessar. Isso pode incluir a atribuição de VLANs
específicas, políticas de controle de acesso e outros parâmetros de configuração de
rede.
4. Accounting: O RADIUS também suporta a contabilidade, registrando informações
sobre o uso da rede, como tempo de conexão e volume de dados transferidos.
Esses dados são úteis para monitoramento, análise de tráfego e faturamento em
ambientes de provedores de serviços.
5. Exemplos de Cenários de Aplicação:
• Redes Corporativas: Em ambientes corporativos, o RADIUS é amplamente utilizado
para autenticar usuários que tentam acessar a rede Wi-Fi da empresa. Ele
proporciona uma solução centralizada para gerenciar o acesso à rede, garantindo
que apenas usuários autorizados tenham permissão para conectar-se.
• Provedores de Serviços de Internet �ISPs�: Provedores de serviços de Internet
utilizam o RADIUS para autenticar usuários discados e fornecer acesso seguro à
Internet. Isso permite uma gestão eficaz das contas de usuários e uma
implementação eficiente de políticas de controle de acesso.
• Telecomunicações: Em ambientes de telecomunicações, o RADIUS é usado para
autenticação de usuários que se conectam por meio de linhas discadas ou redes de
acesso remoto. Ele desempenha um papel crítico na gestão da autenticação e na
autorização dos serviços.
• Redes de Campus Universitário: Universidades e instituições de ensino superior
utilizam o RADIUS para gerenciar o acesso à rede em seus campi. Isso permite uma
autenticação centralizada para estudantes, professores e funcionários, facilitando a
administração de grandes redes.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 8/28
1. Conceitos Básicos: O controle de acesso terminal refere-se à prática de gerenciar e
regular o acesso a terminais ou dispositivos finais em uma rede. Este sistema é
projetado para garantirque apenas usuários autorizados possam interagir com
dispositivos terminais, como servidores, roteadores, switches e outros
equipamentos de rede. Os conceitos básicos incluem a autenticação de usuários, a
autorização para acessar recursos específicos e o registro de atividades para fins
de auditoria.
2. Funcionamento:
• Autenticação de Usuários: O sistema de controle de acesso do controlador de
acesso terminal começa autenticando os usuários que tentam acessar o terminal.
Isso geralmente envolve a verificação de credenciais, como nomes de usuário e
senhas, ou métodos mais avançados, como certificados digitais.
• Autorização de Acesso: Após a autenticação, o sistema determina as permissões
do usuário, especificando quais recursos e comandos o usuário está autorizado a
acessar. Isso é fundamental para garantir que os usuários tenham acesso apenas ao
que é necessário para suas responsabilidades.
• Auditoria e Registro de Atividades: O sistema de controle de acesso registra todas
as atividades realizadas pelos usuários no terminal. Isso inclui comandos
executados, alterações de configuração e outros eventos relevantes. Os registros de
atividades são valiosos para auditoria de segurança, solução de problemas e
conformidade regulatória.
• Controle de Sessão: O sistema pode incluir recursos de controle de sessão, como
limites de tempo para sessões de usuários ou a capacidade de encerrar uma sessão
remotamente em caso de atividade suspeita.
• Integração com Outros Sistemas: Em ambientes corporativos complexos, o sistema
de controle de acesso terminal pode ser integrado a sistemas de gerenciamento de
identidade, sistemas de gerenciamento de eventos de segurança �SIEM) e outros
componentes de segurança.
Funcionamento RADIUS.
Sistema de Controle de Acesso do Controlador de Acesso Terminal
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 9/28
3. Casos Práticos de Utilização:
• Administração de Redes: Em ambientes de administração de redes, o sistema de
controle de acesso do controlador de acesso terminal é essencial para garantir que
apenas administradores autorizados tenham acesso a dispositivos críticos de rede.
Isso protege contra alterações não autorizadas e reduz o risco de exploração
maliciosa.
• Gerenciamento de Servidores: Em centros de dados e ambientes de servidores, o
controle de acesso terminal é usado para gerenciar o acesso aos servidores. A
administração pode ser feita remotamente, mas apenas por usuários autorizados.
• Operações de Telecomunicações: Em operações de telecomunicações, o sistema é
utilizado para controlar o acesso a equipamentos de comunicação, como switches e
roteadores. Isso garante a integridade e a segurança das redes de
telecomunicações.
• Segurança Industrial: Em ambientes industriais, especialmente em sistemas de
controle e automação, o controle de acesso terminal é crucial para proteger contra
interferências não autorizadas que poderiam afetar operações críticas.
• Ambientes de Computação em Nuvem: Em ambientes de computação em nuvem, o
controle de acesso terminal é aplicado para gerenciar o acesso a máquinas virtuais
e recursos na nuvem, garantindo a segurança e conformidade.
Controle de Acesso.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 10/28
1. Chaves de Token
Definição
As chaves de token referem-se a códigos gerados por um dispositivo de hardware ou
software conhecido como "token". Esse token pode ser um dispositivo físico, como um
chaveiro eletrônico, ou uma aplicação em um dispositivo móvel. As chaves de token
geralmente são temporárias e mudam regularmente, proporcionando uma camada
adicional de segurança.
Como são Utilizados na Autenticação
• Geração Dinâmica: Os tokens geram códigos únicos que mudam em intervalos
regulares (geralmente a cada 30 segundos). O usuário fornece o código atualizado
juntamente com suas credenciais de login durante o processo de autenticação.
• Aplicação Móvel: Em alguns casos, as chaves de token são geradas por aplicativos
móveis, onde o dispositivo móvel serve como o token. O usuário recebe um código
único diretamente no dispositivo móvel.
Considerações de Segurança
• Temporariedade: A mudança regular das chaves de token reduz o risco de
comprometimento, pois um código específico torna-se obsoleto rapidamente.
• Proteção do Token: A segurança do token em si é crucial. Se o dispositivo que gera
as chaves for comprometido, a autenticação também pode ser comprometida.
• Implementação Adequada: A integração adequada com sistemas de autenticação é
fundamental para garantir a eficácia das chaves de token.
Exemplos Práticos
• Google Authenticator: Uma aplicação móvel que gera códigos de autenticação de
dois fatores, utilizada em diversos serviços online.
• RSA SecurID� Um dispositivo de token físico que gera códigos dinâmicos para
autenticação.
2. Códigos Estáticos
Definição
Chaves de Token e Códigos Estáticos
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 11/28
Códigos estáticos são senhas ou códigos que permanecem constantes e não mudam
automaticamente com o tempo. São geralmente utilizados como fatores de
autenticação, seja por si só ou em conjunto com outros métodos.
Como são Utilizados na Autenticação
• Combinados com Senhas: Os códigos estáticos são frequentemente usados em
conjunto com senhas tradicionais para criar uma autenticação em duas etapas. O
usuário fornece a senha estática (permanente) e um código adicional temporário
para acessar o sistema.
• Acesso a Áreas Restritas: Em sistemas de controle de acesso físico ou lógico,
códigos estáticos podem ser utilizados para permitir ou negar o acesso a áreas
específicas.
Considerações de Segurança
• Riscos de Reutilização: Códigos estáticos podem apresentar riscos se reutilizados
por longos períodos. O vazamento de um código estático pode comprometer a
autenticação de forma duradoura.
• Necessidade de Combinar com Outros Métodos: Para fortalecer a segurança, é
recomendável combinar códigos estáticos com outros métodos, como senhas
tradicionais ou autenticação biométrica.
Exemplos Práticos
• Cartões de Acesso com Código PIN� Cartões de acesso físico que, combinados com
um código PIN estático, são usados para acessar edifícios ou áreas restritas.
• Códigos de Recuperação de Conta: Alguns serviços online fornecem códigos
estáticos como uma opção de recuperação de conta, permitindo o acesso em
situações especiais.
Chaves de Token.
Autenticação Aberta: HOTP e TOTP
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 12/28
1. Definição de HOTP �HMAC-based One-Time Password) e TOTP �Time-based One-
Time Password):
• HOTP �HMAC-based One-Time Password): O HOTP é um algoritmo de autenticação
baseado em HMAC �Hash-based Message Authentication Code). Ele gera senhas
únicas que são válidas apenas por uma única transação ou sessão. O processo
envolve uma chave secreta compartilhada entre o servidor e o dispositivo do
usuário. A cada solicitação de autenticação, um contador é incrementado, e a chave
secreta é combinada com o contador por meio de uma função de hash para gerar o
código de autenticação.
• TOTP �Time-based One-Time Password): O TOTP é uma variação do HOTP, mas,
em vez de depender de um contador, ele utiliza um fator de tempo. A senha única é
gerada com base no tempo atual e na chave secreta compartilhada. O dispositivo do
usuário e o servidor devem manter sincronia temporal para que a autenticação seja
bem-sucedida. A vantagem do TOTP é que os códigos têm uma validade temporal, o
que adiciona uma camada extra de segurança.
2. Principais diferenças entre eles:
• Método de Geração:
• HOTP� Utiliza um contador incrementado a cada transação.• TOTP� Baseia-se no tempo atual, geralmente utilizando um intervalo de 30 segundos
a 1 minuto.
• Sincronia Temporal:
• HOTP� A sincronia temporal não é um fator crítico, pois depende apenas do
contador.
• TOTP� Exige uma sincronia temporal entre o dispositivo do usuário e o servidor para
gerar códigos válidos.
• Validade dos Códigos:
• HOTP� Os códigos permanecem válidos até que sejam usados.
• TOTP� Os códigos são válidos apenas por um curto período (intervalo de tempo),
aumentando a segurança.
• Implementação:
• HOTP� É mais adequado quando a sincronia temporal é desafiadora ou quando há
uma possível falta de conectividade constante.
• TOTP� É ideal quando a sincronia temporal pode ser mantida e uma camada
adicional de temporalidade é desejada.
3. Aplicações Práticas:
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 13/28
• Autenticação em Dois Fatores �2FA�:
• HOTP e TOTP� Amplamente utilizados como uma segunda camada de autenticação
em sistemas que requerem alta segurança, como contas de e-mail, serviços
bancários online e autenticação em VPNs.
• Acesso a Aplicações Corporativas:
• HOTP e TOTP� Implementados em ambientes corporativos para reforçar a segurança
no acesso a sistemas internos, intranets e recursos sensíveis.
• Proteção de Contas Online:
• HOTP e TOTP� Utilizados como uma camada de segurança em contas online, como
redes sociais e serviços de armazenamento em nuvem, para proteger contra
acessos não autorizados.
• Controle de Acesso Físico:
• HOTP e TOTP� Aplicados em sistemas de controle de acesso físico, como entrada
em prédios ou áreas restritas, quando a autenticação em duas etapas é necessária.
• Ambientes de IoT �Internet of Things):
• TOTP� Pode ser utilizado em ambientes de IoT para autenticação de dispositivos
conectados, proporcionando uma camada adicional de segurança baseada no
tempo.
HOTP vs. TOTP.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 14/28
A verificação em duas etapas �2FA) é um método de segurança que requer duas formas
distintas de autenticação para verificar a identidade de um usuário. Geralmente, envolve
algo que o usuário sabe (como uma senha) e algo que o usuário possui (como um
dispositivo móvel ou um token físico). A ideia é adicionar uma camada extra de
segurança além da tradicional autenticação baseada em senha, reduzindo
significativamente o risco de acessos não autorizados.
1. Importância na Segurança: A verificação em duas etapas é crucial para a
segurança digital por diversas razões:
• Mitigação de Riscos de Senhas Comprometidas: Mesmo se a senha do usuário for
comprometida, o acesso à conta ou sistema ainda é protegido pela segunda etapa
de autenticação.
• Fortalecimento da Segurança Online: Adiciona uma camada extra de autenticação,
tornando mais difícil para invasores obterem acesso não autorizado às contas ou
sistemas.
• Proteção contra Ataques de Engenharia Social: A verificação em duas etapas reduz
o impacto de ataques de engenharia social, pois mesmo com informações de login,
os invasores ainda precisariam da segunda forma de autenticação.
• Conformidade com Padrões de Segurança: Em muitos setores e regulamentações,
a implementação da verificação em duas etapas é recomendada ou até mesmo
exigida para cumprir padrões rigorosos de segurança.
2. Exemplos de Implementação:
• Códigos de Verificação via Mensagem de Texto �SMS�: O usuário recebe um
código único por mensagem de texto que deve ser inserido após a senha para
concluir o processo de autenticação.
• Aplicativos de Autenticação: Utilização de aplicativos como Google Authenticator
ou Authy, que geram códigos temporários em dispositivos móveis para autenticação.
• Tokens de Hardware: Dispositivos físicos, como tokens USB ou cartões inteligentes,
que geram códigos únicos para autenticação.
• Biometria como Segunda Etapa: Combinação de senha com autenticação
biométrica, como leitura de impressão digital ou reconhecimento facial.
3. Boas Práticas: A implementação cuidadosa e a adoção de boas práticas na
verificação em duas etapas são essenciais para maximizar sua eficácia na proteção
contra ameaças de segurança:
Verificação em Duas Etapas
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 15/28
• Diversificação de Fatores: Utilize métodos de autenticação que envolvam diferentes
fatores, como senhas, dispositivos móveis e tokens.
• Educação do Usuário: Informe os usuários sobre a importância da verificação em
duas etapas e forneça orientações claras sobre como configurá-la e utilizá-la.
• Atualizações e Revisões Periódicas: Mantenha os métodos de verificação em duas
etapas atualizados, revisando periodicamente as configurações e métodos
disponíveis.
• Backup de Códigos de Recuperação: Se possível, forneça códigos de recuperação
de acesso em caso de perda de dispositivos ou outros problemas de autenticação.
• Integração com Ferramentas de Gerenciamento de Identidade: Integre a
verificação em duas etapas com ferramentas de gerenciamento de identidade para
uma administração centralizada e eficiente.
Parabéns por ter finalizado a aula de tecnologias de autenticação. Nesta aula,
exploramos uma variedade de métodos e protocolos projetados para reforçar a
segurança digital. A autenticação é um pilar fundamental na proteção de informações
sensíveis e na prevenção de acessos não autorizados a sistemas, redes e serviços. Ao
compreender os conceitos apresentados, desde a autenticação com smart-cards até a
verificação em duas etapas, os profissionais de segurança e os usuários finais podem
fortalecer significativamente a segurança de suas identidades online.
Autenticação por Dois Fatores.
Conclusão
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 16/28
A utilização de chaves de token, códigos estáticos, protocolo IEEE 802.1X, serviço
RADIUS e sistemas de controle de acesso do controlador de acesso terminal
proporciona uma abordagem abrangente para autenticação em diversos contextos. A
implementação de métodos como HOTP e TOTP, juntamente com a verificação em duas
etapas, demonstra a importância de adicionar camadas adicionais de segurança,
reduzindo os riscos associados a senhas comprometidas e acessos não autorizados.
À medida que as tecnologias evoluem, é imperativo permanecermos atualizados e
adaptarmos nossas estratégias de autenticação para enfrentar os desafios emergentes.
A conscientização sobre a importância da segurança cibernética e a aplicação diligente
desses princípios contribuem para um ambiente digital mais seguro e resistente a
ameaças. 
Compreender os princípios e fundamentos da autenticação biométrica.
Conhecer as práticas dessas tecnologias e seu papel no controle de acesso.
Explorar as diferentes modalidades de autenticação biométrica.
Autenticação Biométrica.
Reconhecimento da Digital e Reconhecimento Facial.
Tecnologias Comportamentais.
Bem-vindos à aula sobre autenticação por biometria e seu papel associado às
tecnologias de segurança digital. Enquanto a autenticação tradicional tem se baseado
em senhas e códigos, a biometria surge como uma abordagem inovadora, utilizando
características únicas do corpo humano para garantir a identidade dos usuários. Dentro
dessa abordagem veremos as modalidades de reconhecimento da digital, facial e as
tecnologias comportamentais, desvendando como essas técnicas têm redefinido os
padrões de segurança.
Aula 4: Autenticação por Biometria
Objetivos
Conceitos
Introdução
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 17/28
Ao compreender os conceitos por trás da autenticação biométrica, desde a
singularidade das impressõesdigitais até a complexidade dos padrões faciais, será
possível explorar suas aplicações práticas em diversos cenários. Destacaremos
implementações que vão desde o desbloqueio de smartphones até o controle de acesso
altamente seguro em ambientes corporativos.
Este é um convite para compreender como a singularidade de cada indivíduo pode se
tornar a chave para um futuro mais seguro e conectado. Vamos explorar, questionar e
entender como essa tecnologia está redefinindo os padrões de autenticação na era
digital.
A autenticação biométrica é um método avançado de verificação de identidade que
utiliza características físicas ou comportamentais exclusivas de um indivíduo para
confirmar sua identidade. Diferentemente das tradicionais senhas ou códigos, a
autenticação biométrica baseia-se em atributos inerentes ao corpo humano. Seus
princípios fundamentais residem na singularidade, universalidade e permanência das
características biométricas.
1. Singularidade: As características biométricas são distintas para cada indivíduo.
Impressões digitais, padrões faciais, íris e outras características são únicas,
proporcionando uma base robusta para a autenticação.
2. Universalidade: Ao contrário das senhas, que podem ser esquecidas ou perdidas,
as características biométricas estão presentes em todos os seres humanos. Essa
universalidade facilita a aplicação generalizada da autenticação biométrica.
3. Permanência: As características biométricas permanecem relativamente constantes
ao longo da vida adulta. Mesmo que alguns traços possam mudar com o tempo,
como a íris, eles ainda oferecem uma base duradoura para a autenticação.
4. Coleta Não Invasiva: A coleta de características biométricas, quando bem projetada,
é geralmente não invasiva e não requer ações específicas do usuário. Isso contribui
para uma experiência de autenticação mais fácil e aceitável.
A autenticação biométrica, ao incorporar essas características únicas, oferece um
método seguro e eficaz para verificar a identidade dos usuários, contribuindo para a
Autenticação Biométrica
Definição de Autenticação Biométrica e seus Princípios Fundamentais
Características Únicas do Corpo Humano para Autenticação
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 18/28
evolução contínua dos sistemas de segurança digital.
1. Impressões Digitais: As impressões digitais são padrões únicos formados nas
pontas dos dedos. A autenticação por impressão digital utiliza a análise desses
padrões para verificar a identidade do usuário.
2. Reconhecimento Facial: O reconhecimento facial emprega algoritmos para mapear
características faciais exclusivas, como contornos, proporções e pontos de
referência, para autenticação.
3. Íris e Retina: A íris e a retina são partes dos olhos com padrões únicos. A varredura
biométrica dessas características oferece um alto nível de precisão na autenticação.
4. Voz: A autenticação biométrica baseada na voz analisa padrões específicos, como
entonação e características vocais, para verificar a identidade.
5. Geometria da Mão e Veias: Características como a geometria da mão e padrões de
veias são exploradas para criar perfis biométricos únicos e seguros.
6. Assinatura Dinâmica: A assinatura dinâmica leva em conta a forma única como uma
pessoa assina, analisando a pressão, velocidade e trajetória da caneta durante a
escrita.
Os processos descritos a seguir exemplificam a coleta de características distintivas
durante o scanning no reconhecimento facial e na leitura de impressões digitais. A
eficácia desses métodos reside na capacidade de transformar características únicas do
corpo humano em representações matemáticas, permitindo uma comparação precisa
para autenticação biométrica.
1. Captura de imagem para reconhecimento facial: No primeiro passo do processo de
scanning no reconhecimento facial, uma imagem da face do usuário é capturada.
Isso pode ser feito por meio de uma câmera, seja embutida em dispositivos como
smartphones ou câmeras de vigilância, ou através de câmeras dedicadas para essa
finalidade.
Extração de Características Faciais
• Após a captura da imagem, algoritmos de reconhecimento facial realizam a extração
de características faciais distintivas.
• Isso envolve a identificação de pontos-chave, como contornos, proporções entre
olhos, nariz e boca, além de outros elementos únicos da face.
• Essas características são então convertidas em um conjunto de dados matemáticos,
conhecido como vetor de características.
Processo de Scanning
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 19/28
2. Captura da Impressão Digital: O processo começa com a captura da impressão
digital do usuário por meio de um dispositivo de sensor biométrico. Este dispositivo
pode ser um leitor óptico ou capacitivo, comum em smartphones e leitores de
impressões digitais.
Conversão para Minutiae
• A imagem capturada da impressão digital é convertida em um conjunto de pontos e
características chamados minutiae.
• Essas minutiae representam pontos específicos onde linhas, curvas e bifurcações na
impressão digital são identificadas.
• As minutiae formam um padrão único e são usadas para criar um modelo biométrico
exclusivo da impressão digital. Estes processos exemplificam a coleta de
características distintivas durante o scanning no reconhecimento facial e na leitura
de impressões digitais. A eficácia desses métodos reside na capacidade de
transformar características únicas do corpo humano em representações
matemáticas, permitindo uma comparação precisa para autenticação biométrica.
A avaliação cuidadosa das métricas é essencial para o desenvolvimento e
implementação bem-sucedidos de sistemas biométricos, garantindo segurança,
eficiência e conformidade com padrões éticos e legais. As principais métricas e
considerações usadas para avaliar a taxa de eficácia da obtenção e correspondência de
padrões biométricos e adequação como mecanismo de autenticação incluem o
seguinte:
1. FRR �Taxa de Falsos Rejeitos - False Rejection Rate): Representa a porcentagem de
vezes em que o sistema de autenticação biométrica erroneamente rejeita um usuário
legítimo. Baixos valores de FRR indicam uma menor probabilidade de rejeitar
usuários autorizados, melhorando a experiência do usuário.
2. FAR �Taxa de Falsos Aceitos - False Acceptance Rate): Indica a porcentagem de
vezes em que o sistema aceita erroneamente um usuário não autorizado como
legítimo. Baixos valores de FAR são cruciais para garantir que apenas usuários
autorizados sejam autenticados, minimizando riscos de segurança.
3. CER �Taxa de Erro de Equalização - Equal Error Rate): Representa o ponto onde FRR
e FAR são iguais. É um indicador do equilíbrio entre aceitar usuários autorizados e
rejeitar usuários não autorizados. Um CER mais baixo sugere uma melhor calibração
do sistema, buscando um equilíbrio ideal entre FRR e FAR.
4. Throughput Speed: Refere-se à velocidade com que o sistema pode processar e
autenticar as amostras biométricas. Um alto throughput speed é essencial para
Métricas chave e considerações sobre padrões biométricos
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 20/28
garantir uma autenticação eficiente em ambientes com grande volume de usuários.
5. FER �Taxa de Erro de Falha - Failure to Enroll Rate): Indica a porcentagem de falhas
durante o processo de registro ou cadastramento no sistema biométrico. Baixos
valores de FER são essenciais para assegurar que o processo de cadastramento
seja eficaz e preciso.
6. Cost Implementation �Custo de Implementação): Avalia os custos associados à
implementação e manutenção de sistemas biométricos, incluindo hardware,
software, treinamento e suporte técnico. A eficiência do sistema deve ser
balanceada com a viabilidade econômica,tornando a implementação acessível e
sustentável.
7. Ameaça à Privacidade: Refere-se à preocupação com a coleta e armazenamento de
dados biométricos, destacando o risco de violações de privacidade. A proteção
rigorosa da privacidade é crucial para ganhar confiança dos usuários e cumprir
regulamentações de proteção de dados.
8. Discriminatória: Refere-se à capacidade de um sistema biométrico de tratar todos
os usuários de forma justa e imparcial, sem viés ou discriminação. A garantia de que
o sistema não seja discriminatório é vital para evitar injustiças e garantir uma
aplicação equitativa em diversos grupos demográficos.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 21/28
As características biométricas fisiológicas representam o fator de autenticação baseado
em algo que você é. Neste contexto estão inclusos os padrões de impressão digital,
reconhecimento de íris ou retina ou reconhecimento facial.
1. Conceito: O reconhecimento da digital é um método biométrico que utiliza as
características únicas presentes nas cristas e sulcos das impressões digitais para
Autenticação Biométrica.
Reconhecimento Digital
Conceito, funcionamento e práticas
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 22/28
identificar e autenticar indivíduos. Cada pessoa possui padrões exclusivos, tornando
as impressões digitais uma escolha eficaz e segura para a autenticação.
O reconhecimento de impressão digital é o método de autenticação biométrica mais
amplamente implementado. A tecnologia necessária para digitalizar e registar
impressões digitais é relativamente barata e o processo bastante simples. Um sensor de
impressão digital geralmente é implementado como uma pequena célula capacitiva que
pode detectar o padrão único de cristas que compõem o padrão. A tecnologia também
não é intrusiva e é relativamente simples de usar, embora a umidade ou a sujeira
possam impedir as leituras. O principal problema dos scanners de impressões digitais é
que é possível obter uma cópia da impressão digital de um usuário e criar um molde que
enganará o scanner. Essas preocupações são abordadas por scanners de
correspondência de veias ou biometria vascular. Isso requer um scanner mais complexo
- um vaso sanguíneo no dedo ou na palma da mão de uma pessoa. 2. Funcionamento:
O reconhecimento de impressões digitais oferece não apenas uma forma segura e
eficiente de autenticação, mas também simplifica a interação do usuário com diversos
dispositivos e serviços, promovendo a adoção generalizada dessa tecnologia
biométrica.
• Captura da Impressão Digital: O processo inicia-se com a captura da impressão
digital do usuário por meio de um sensor biométrico. Esse sensor pode ser óptico,
capacitivo ou ultrasônico, dependendo da tecnologia utilizada.
• Digitalização e Extração de Características: A imagem capturada é digitalizada, e
algoritmos de reconhecimento de padrões analisam características específicas,
como pontos de bifurcação, minúcias e a distância entre esses pontos.
• Criação de Modelo Biométrico: Com base nas características extraídas, um modelo
biométrico exclusivo é criado. Esse modelo representa de maneira única a
impressão digital do usuário, convertendo as informações em dados matemáticos.
• Armazenamento Seguro: O modelo biométrico não armazena a imagem real da
impressão digital, mas sim as informações matemáticas derivadas dela. Esses dados
são armazenados de forma segura, muitas vezes utilizando técnicas de criptografia.
• Comparação e Autenticação: Durante o processo de autenticação, a impressão
digital apresentada é novamente capturada e seu modelo é comparado com o
armazenado no sistema. Se houver correspondência dentro de um nível aceitável de
tolerância, a autenticação é concedida.
3. Aplicações Práticas:
• Smartphones: O reconhecimento de impressões digitais em smartphones é uma
aplicação amplamente difundida. Permite que os usuários desbloqueiem seus
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 23/28
dispositivos, acessem aplicativos e realizem transações financeiras de forma segura
e conveniente.
• Controle de Acesso Físico: Em ambientes corporativos, residenciais ou
governamentais, o reconhecimento de impressões digitais é utilizado para controlar
o acesso a edifícios, salas seguras e áreas restritas, substituindo métodos
tradicionais, como cartões magnéticos.
• Transações Financeiras: Em transações financeiras online ou em caixas eletrônicos,
o reconhecimento de impressões digitais acrescenta uma camada extra de
segurança. É comum em sistemas de autenticação de instituições bancárias para
verificar a identidade do usuário durante operações sensíveis.
1. Conceito: O reconhecimento facial é uma tecnologia biométrica que utiliza
características faciais únicas para identificar e autenticar indivíduos. O
reconhecimento facial é baseado em características físicas estáticas e dinâmicas.
Ao analisar padrões específicos, como contornos, proporções e pontos de
referência no rosto de uma pessoa, os sistemas de reconhecimento facial buscam
criar um modelo único que permita distinguir uma pessoa de outra.
O reconhecimento facial registra vários indicadores sobre o tamanho e formato do rosto,
como a distância entre cada olho ou a largura e comprimento do nariz. O padrão inicial
Reconhecimento Digital.
Reconhecimento Facial
Conceito, funcionamento e práticas
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 24/28
deve ser registrado sob condições ideais de iluminação; dependendo da tecnologia,
este pode ser um processo demorado. Novamente, esta tecnologia está muito
associada à aplicação da lei e é a que tem maior probabilidade de deixar os usuários
desconfortáveis com questões de privacidade pessoal. O reconhecimento facial sofre
de taxas relativamente altas de falsa aceitação e rejeição e pode ser vulnerável à
falsificação. Grande parte do desenvolvimento tecnológico está na vigilância, e não na
autenticação, embora esteja se tornando um método popular para uso com
smartphones. 2. Funcionamento: O reconhecimento facial oferece uma abordagem
eficaz e conveniente para autenticação biométrica, sendo aplicado em uma variedade
de contextos para aprimorar a segurança e a eficiência em várias situações do dia a dia.
• Captura e Digitalização: O processo inicia-se com a captura da imagem facial do
usuário por meio de uma câmera. Essa imagem é digitalizada para criar uma
representação digital das características faciais.
• Extração de Características: Algoritmos de reconhecimento facial extraem
características-chave da imagem, como a posição dos olhos, formato do nariz,
contornos da boca e outros pontos únicos. Essas características são convertidas em
um conjunto de dados que forma um modelo biométrico.
• Criação de Modelo Biométrico: Com base nas características extraídas, um modelo
biométrico único é gerado. Este modelo é uma representação matemática das
características faciais exclusivas do indivíduo.
• Comparação e Autenticação: Durante o processo de autenticação, a imagem facial
apresentada é novamente capturada, e seu modelo é comparado com o modelo
armazenado no sistema. Se houver uma correspondência dentro de uma margem de
tolerância aceitável, a autenticação é concedida.
• Atualização Contínua: Alguns sistemas de reconhecimento facial incorporam a
capacidade de aprendizado contínuo, ajustando-se às mudanças na aparência de
uma pessoa ao longo do tempo. Isso é especialmente útil para acomodar fatores
como envelhecimento, mudanças de penteado ou uso de acessórios.
3. Aplicações Práticas:
• Segurança de Dispositivos Móveis: O reconhecimento facial é amplamente utilizado
para desbloqueio de smartphonese tablets, proporcionando uma experiência de
usuário sem a necessidade de senhas ou PINs. O sistema pode identificar indivíduos
em fotos e vídeos, mas também em tempo real, como é o caso do desbloqueio de
smartphones.
• Controle de Acesso: Em ambientes corporativos ou residenciais, o reconhecimento
facial é empregado para controlar o acesso a edifícios, salas restritas ou mesmo
áreas específicas dentro de um espaço. Com aplicativos para controle de ponto é
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 25/28
possível realizar batida de ponto por meio do reconhecimento facial estático e
dinâmico que identifica movimentos do rosto.
• Vigilância e Monitoramento: Sistemas de vigilância e monitoramento utilizam o
reconhecimento facial para identificar e rastrear indivíduos em locais públicos. Isso
é valioso em segurança pública, transporte e controle de multidões.
1. Conceito: As tecnologias comportamentais na autenticação referem-se ao uso de
padrões e características comportamentais únicas de um usuário como meio de
verificar sua identidade. A biometria comportamental se concentra em padrões de
comportamento dinâmicos. Esses padrões podem incluir a forma como um indivíduo
digita, movimenta o mouse, assina documentos eletrônicos, ou até mesmo a maneira
como interage com um dispositivo touchscreen. Ao analisar esses comportamentos,
sistemas biométricos podem criar perfis únicos e confiáveis para autenticação.
Algo que você faz refere-se ao reconhecimento de padrões biométricos
comportamentais. Em vez de escanear algum atributo do seu corpo, um modelo é
criado analisando um comportamento, como digitar, escrever uma assinatura ou
caminhar/mover-se. As variações de movimento, pressão ou marcha devem identificar
Reconhecimento Facial.
Tecnologias Comportamentais
Conceito, funcionamento e práticas
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 26/28
cada indivíduo de forma única. Na prática, entretanto, esses métodos estão sujeitos a
taxas de erro mais altas e são muito mais difíceis de executar. 2. Funcionamento:
• Coleta de Dados Comportamentais: O processo começa com a coleta de dados
comportamentais durante as atividades regulares do usuário. Por exemplo, a forma
como ele digita, a velocidade do mouse, a pressão exercida na tela ou a dinâmica da
assinatura.
• Criação de Perfil Biométrico: Algoritmos analisam os dados coletados para criar um
perfil biométrico comportamental. Este perfil representa as características únicas do
comportamento do usuário, convertendo essas informações em um modelo
matemático.
• Treinamento do Sistema: Em alguns casos, é necessário um período de treinamento
durante o qual o sistema aprende e se adapta aos padrões comportamentais
específicos do usuário. Isso contribui para uma precisão ainda maior na
autenticação.
• Comparação e Autenticação Contínua: Durante o uso normal, o sistema continua a
monitorar e comparar o comportamento atual com o perfil biométrico previamente
estabelecido. Caso haja uma correspondência dentro de limites aceitáveis, a
autenticação é realizada.
3. Aplicações Práticas:
• Segurança Corporativa: As tecnologias comportamentais são aplicadas em
sistemas de segurança corporativos para garantir que apenas usuários autorizados
tenham acesso a informações sensíveis. Isso pode incluir o uso de padrões de
digitação para autenticação em redes corporativas.
• Autenticação Contínua: Em ambientes onde a segurança contínua é crucial, como
em centros de controle de infraestrutura crítica, as tecnologias comportamentais são
utilizadas para autenticação contínua. Se o padrão comportamental divergir
significativamente, o sistema pode solicitar autenticação adicional.
• Prevenção de Fraudes em Transações: No setor financeiro, as tecnologias
comportamentais são empregadas para detectar atividades suspeitas durante
transações online. Se o comportamento do usuário durante uma transação diferir do
padrão estabelecido, isso pode acionar alertas de segurança.
• Controle de Acesso a Dispositivos: Em dispositivos móveis ou computadores, a
forma de interação do usuário, como a dinâmica do toque em uma tela sensível ao
toque, pode ser utilizada para garantir que o acesso ao dispositivo seja concedido
apenas ao usuário autorizado.
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 27/28
Nesta aula sobre autenticação por biometria, estudamos que as características únicas
de cada indivíduo se tornam a chave para um mundo mais protegido e conectado. A
biometria, em suas diversas formas, não apenas redefine como nos autenticamos, mas
também molda a maneira como interagimos com a tecnologia ao nosso redor.
Ao compreender as nuances das impressões digitais, padrões faciais e outras
características biométricas, vocês descobriram camadas de segurança que
transcendem as limitações de senhas convencionais. A singularidade de cada traço,
seja uma íris ou a forma como assinamos digitalmente, tornou-se a linha de frente na
defesa contra ameaças cibernéticas e acesso não autorizado.
Quero parabenizar cada aluno por sua dedicação e interesse em assimilar esses
importantes conhecimentos. Vocês não apenas absorveram as complexidades da
autenticação por biometria, mas também viram que existem implicações éticas, de
privacidade e segurança associadas a essa evolução tecnológica. A biometria não é
apenas uma ferramenta de segurança, mas um reflexo da nossa capacidade constante
de inovação e adaptação.
Last updated 6 months ago
Biometria Comportamental.
Conclusão
12/11/2024, 20:53 Módulo 4 - Aulas 3 e 4 | Fundamental - Aula08
https://esr-1.gitbook.io/fundamental-aula08/o23B31BGRDGq17X2016K 28/28