[ASSI] Lista de exercícios 04

Prévia do material em texto

pág. 1 de 6 
 
 
 
 
 
 
 
 
01. A autenticação de usuários é um processo essencial para garantir a segurança de sistemas de 
informação. Sobre as etapas e características desse processo, analise as afirmações abaixo: 
I. A etapa de identificação consiste em apresentar um identificador ao sistema de 
segurança, sendo fundamental que os identificadores sejam atribuídos 
cuidadosamente. 
II. A etapa de verificação exige que o usuário forneça ou gere informações que confirmem a 
vinculação entre a entidade e o identificador. 
III. A autenticação de usuários é suficiente para garantir a segurança completa de um 
sistema, independentemente de outros mecanismos de proteção. 
IV. A combinação de um identificador de usuário com uma senha secreta é um exemplo 
típico de autenticação baseada em algo que o indivíduo sabe. 
V. A autenticação de usuários é o único meio necessário para implementar serviços de 
segurança em sistemas de informação. 
Quais afirmações estão corretas? 
a. Apenas I, II e IV 
b. Apenas I, III e V 
c. Apenas II, III e IV 
d. Apenas I, II e V 
e. Todas estão corretas 
02. Considere um sistema que utiliza autenticação baseada em senhas. Sobre as vulnerabilidades e 
contramedidas relacionadas a esse método, analise as afirmações abaixo: 
I. O uso de um valor de sal combinado com a senha do usuário reduz a eficácia de ataques 
de dicionário off-line. 
II. A reutilização de senhas em diferentes sistemas aumenta a probabilidade de 
comprometimento de múltiplas contas. 
III. A implementação de bloqueio automático após várias tentativas de login malsucedidas é 
uma contramedida eficaz contra ataques de dicionário off-line. 
IV. A adoção de gerenciadores de senhas pode ajudar a mitigar vulnerabilidades 
relacionadas à reutilização de senhas. 
V. O uso de senhas populares é uma prática recomendada para facilitar a memorização e 
reduzir erros do usuário. 
Auditoria e Segurança de Sistemas de Informação • Lista de Exercícios 04 • 2024.2 
 
pág. 2 de 6 
 
 
Quais afirmações estão corretas? 
a. Apenas II, III e V 
b. Apenas I, III e IV 
c. Apenas II, IV e V 
d. Apenas I, II e IV 
e. Todas estão corretas 
 
03. Os meios de autenticação baseados em "algo que o indivíduo sabe" frequentemente utilizam 
informações secretas, como senhas, para identificar usuários. Sobre esse tipo de autenticação, 
é correto afirmar que: 
I. A complexidade de uma senha está intimamente ligada ao seu nível de segurança, mas 
isso pode afetar a facilidade com que ela é lembrada. 
II. Um sistema que permite apenas senhas numéricas com 4 algarismos oferece mais de 1 
milhão de combinações possíveis, tornando-o altamente seguro. 
III. As perguntas de segurança são frequentemente utilizadas como um meio alternativo 
baseado em "algo que o indivíduo sabe". 
IV. O risco de comprometimento aumenta quando os usuários reutilizam a mesma senha 
em vários sistemas. 
V. O uso de gerenciadores de senhas é considerado uma prática que mitiga riscos 
associados ao uso de "algo que o indivíduo sabe". 
Quais afirmações estão corretas? 
a. Apenas I, III e IV 
b. Apenas II, III e V 
c. Apenas I, III, IV e V 
d. Apenas I e IV 
e. Todas estão corretas 
04. Considerando os métodos de autenticação baseados em "algo que o indivíduo sabe", avalie as 
afirmações a seguir sobre senhas e segurança: 
I. A limitação de senhas a 4 algarismos resulta em apenas 10.000 combinações possíveis, o 
que representa uma vulnerabilidade significativa para sistemas de autenticação. 
II. Sistemas bancários, apesar de utilizarem senhas de 4 algarismos, compensam essa 
limitação matemática com camadas adicionais de segurança. 
III. A facilidade de memorização de senhas curtas deve ser equilibrada com os riscos de 
segurança que essas senhas representam. 
IV. A complexidade de uma senha está diretamente relacionada ao número total de 
combinações possíveis, sendo fundamental para resistir a ataques de força bruta. 
pág. 3 de 6 
 
V. Mecanismos como bloqueio de tentativas, detecção de fraudes e autenticação de dois 
fatores são estratégias utilizadas para mitigar as vulnerabilidades de senhas simples. 
Quais afirmações estão corretas? 
a. Apenas I, III e IV 
b. Apenas II, III e V 
c. Apenas I, III, IV e V 
d. Apenas I e IV 
e. Todas estão corretas 
05. A autenticação baseada em "algo que o indivíduo possui" utiliza dispositivos ou tokens que 
comprovam a identidade do usuário. Sobre esse tipo de autenticação, é correto afirmar que: 
I. O envio de códigos por SMS é um exemplo comum de autenticação baseada em "algo que 
o indivíduo possui", mas está vulnerável a ataques de interceptação. 
II. Tokens de hardware oferecem maior segurança em relação a códigos enviados por SMS, 
pois não dependem de redes de comunicação suscetíveis a interceptações. 
III. Os dispositivos de autenticação multifator sempre combinam "algo que o indivíduo 
possui" com "algo que o indivíduo sabe". 
IV. Cartões inteligentes, usados em sistemas de acesso, são exemplos de dispositivos que 
representam "algo que o indivíduo possui". 
V. Tokens de autenticação baseados em hardware implementam algoritmos criptográficos 
que geram códigos pseudoaleatórios sincronizados, tornando sua clonagem 
computacionalmente inviável mesmo com acesso ao dispositivo físico. 
Quais afirmações estão corretas? 
a. Apenas I, II e IV 
b. Apenas II e III 
c. Apenas I, III e IV 
d. Apenas III, IV e V 
e. Todas estão corretas 
06. Sobre as vulnerabilidades das senhas, é correto afirmar que: 
I. O ataque de dicionário off-line aumenta a probabilidade de um invasor descobrir senhas 
ao utilizar um conjunto pré-definido de senhas comuns. 
II. A implementação de bloqueios de conta após múltiplas tentativas de login malsucedidas 
é uma contramedida eficaz contra ataques de reutilização de senhas. 
III. O uso de senhas populares pode ser neutralizado pela adoção de políticas que proíbam a 
seleção dessas senhas. 
IV. Explorar erros do usuário, como anotar senhas em locais visíveis, não representa uma 
ameaça significativa para a segurança das senhas. 
pág. 4 de 6 
 
V. O sequestro de estação de trabalho depende de que o invasor obtenha as credenciais do 
usuário por meio de phishing. 
Quais afirmações estão corretas? 
a. Apenas I e III. 
b. Apenas II e IV. 
c. Apenas I, II e III. 
d. Apenas III e V. 
e. Todas estão corretas. 
07. Considerando as técnicas de ataque às senhas, assinale a opção que contém apenas afirmações 
verdadeiras: 
I. O ataque a senha popular utiliza senhas amplamente conhecidas para tentar acessar 
múltiplas contas de usuários. 
II. A exploração da reutilização de senhas permite que um invasor acesse diversas contas se 
uma única senha for comprometida. 
III. O ataque de força bruta é uma variação do ataque de dicionário que utiliza apenas 
caracteres alfanuméricos. 
IV. O sequestro de estação de trabalho ocorre quando o atacante instala keyloggers para 
capturar senhas digitadas pelo usuário. 
V. Atacar uma conta específica envolve restringir tentativas de login para evitar o sucesso 
do invasor. 
Quais afirmações estão corretas? 
a. Apenas I, II e IV. 
b. Apenas I, II, III e IV. 
c. Apenas II e V. 
d. Apenas I e II. 
e. Todas estão corretas. 
08. Sobre a utilização de hash de senhas juntamente com um valor de sal, é correto afirmar que: 
I. O sal impede que senhas duplicadas sejam perceptíveis no arquivo de senhas, 
aumentando a segurança. 
II. Utilizar sal em conjunto com hash torna mais difícil para atacantes realizar ataques de 
dicionário off-line, pois cada senha precisa ser verificada com múltiplos valores de sal. 
III. O sal torna impossível que um usuário utilize a mesma senha em múltiplos sistemas, 
garantindo a unicidade das senhas. 
IV. O valor do sal é armazenado em texto claro junto com o hash da senha no sistema. 
V. A utilização de diferentes valores de sal para cada usuário permite proteger contra 
ataques que exploram senhas comuns. 
pág. 5 de 6 
 
Quais afirmaçõesestão corretas? 
a. Apenas I, II e IV. 
b. Apenas II, III e V. 
c. Apenas I, II, IV e V. 
d. Apenas I e III. 
e. Todas estão corretas. 
09. A respeito da autenticação baseada em token, assinale a opção correta: 
I. Tokens estáticos armazenam os dados de autenticação diretamente no dispositivo, 
sendo imunes a ataques de interceptação. 
II. Tokens que utilizam a geração dinâmica de senhas fornecem uma única senha válida por 
um período limitado, aumentando a segurança. 
III. Em protocolos de desafio/resposta, o sistema de autenticação envia um desafio que o 
token deve resolver e retornar para autenticar o usuário. 
IV. Smart tokens sem contato utilizam tecnologias RFID para se comunicar com leitores, 
permitindo uma autenticação rápida e sem necessidade de inserção física no dispositivo. 
V. Tokens com interface manual não requerem interação física por parte do usuário para 
gerar a senha de autenticação. 
Quais afirmações estão corretas? 
a. Apenas II e III. 
b. Apenas II, III e IV. 
c. Apenas I, II e V. 
d. Apenas II, IV e V. 
e. Todas estão corretas. 
10. Sobre a autenticação biométrica, é correto afirmar que: 
I. A autenticação biométrica baseada em características faciais compara a localização e 
forma de aspectos faciais fundamentais, como olhos, sobrancelhas e nariz. 
II. A biometria dinâmica envolve a análise de aspectos fisiológicos estáticos, como a 
geometria da mão. 
III. O reconhecimento de voz em sistemas biométricos é altamente confiável, pois os padrões 
de voz não variam ao longo do tempo. 
IV. A autenticação biométrica pode ser considerada mais segura que métodos baseados em 
senhas, pois é menos suscetível a ataques de força bruta. 
V. Sistemas de reconhecimento de retina utilizam feixes de luz visível ou infravermelha 
para capturar o padrão único de vasos sanguíneos na retina. 
Quais afirmações estão corretas? 
 
pág. 6 de 6 
 
a. Apenas I e V. 
b. Apenas II e IV. 
c. Apenas I, III e V. 
d. Apenas I, IV e V. 
e. Todas estão corretas.