Baixe o app para aproveitar ainda mais
Prévia do material em texto
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO MÉTODOS DE AUTENTICAÇÃO Prof André Molina MÉTODOS DE AUTENTICAÇÃO Prof. André Molina http://timasters.ning.com/profile/AndreMolina Sobre o professor Formação y Engenharia de Computação – ITA y Mestre em Telecomunicações – UnB y Especialista em Criptografia – UFFy Especialista em Criptografia – UFF Atuação profissional y Aeronáutica – 2000 a 2007 y CGU – 2007 a 2009 y Senado Federal (Prodasen) – 2009Senado Federal (Prodasen) 2009 2 Prof. André Molina êReferências y Cryptography and Network Security. William Stallings. y Segurança de Redes em Ambientes Cooperativos. Emilio Nakamura e Paulo Geus. y Practical Unix & Internet Security. Simon Garfinkel; Gene Spafford e Alan SchuwartzAlan Schuwartz y ABNT NBR ISO/IEC 27002 y Guia Security Officer 1 Móduloy y Official (ISC)2 Guide to the CISSP Exam. Susan Hansche, John Berti e Chris Hare. 3 Prof. André Molina Ementa y Política de Segurança y DefiniçõesDefinições y Melhores Práticas y Legislação y Recomendações y Métodos de Autenticação S hy Senhas y Certificados y TokensTokens y Smartcards y Biometria 4 Prof. André Molina Paolla Highlight Paolla Highlight Política de Segurança da Informação Como implementar a SI de forma que esteja li h d bj ti d ó i ?alinhada aos objetivos do negócio? 5 Prof. André Molina Política de Segurança da Informação Acórdão TCU 1603/2008 – Plenário: recursos empregados pela Administração Federal na área de tecnologia da informação segundo dados do Siafi de 2007 ultrapassam ana área de tecnologia da informação, segundo dados do Siafi de 2007, ultrapassam a soma de seis bilhões de reais. Acórdão TCU 2 308/2010 Plenário o significati o impacto da tecnologia daAcórdão TCU 2.308/2010 – Plenário: o significativo impacto da tecnologia da informação na administração pública federal decorre de seu papel crítico no apoio à execução de políticas, programas e projetos de governo, bem como do expressivo valor de recursos a ela alocados, que corresponderam a cerca de R$ 12,5 bilhões no, q p $ , orçamento da União de 2010 6 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informação Políticas e Planos podem ser entendidos como instrumentos da Governança Corporativa Servem como direcionadores ESTRATÉGICOS para todas asCorporativa. Servem como direcionadores ESTRATÉGICOS para todas as atividades desempenhadas em uma organização. Política/Plano - Estratégico Norma –Tático Procedimentos e Instruções - Operacional 7 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Definições Uma Política Segurança da Informação é um conjunto de princípios objetivos eUma Política Segurança da Informação é um conjunto de princípios, objetivos e diretrizes formalmente expressos pela direção que norteiam a gestão de segurança da informação de uma instituição. As diretrizes estabelecidas nessa política determinam as linhas mestras a serem seguidas pela organização para que sejadeterminam as linhas mestras a serem seguidas pela organização para que seja assegurada a segurança de suas informações. Têm como objetivos:j • Prover orientação e apresentar diretrizes de SI para a organização como um todo • Reduzir/controlar os riscos • Maximizar eficiência • Assegurar transparência • Aumentar a confiabilidade • Apoiar o negócio • Garantir conformidade com regulamentações, acordos, etc. 8 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Melhores Práticas NBR ISO/IEC 27002:2005: Seção 5 – Política de Segurança da InformaçãoNBR ISO/IEC 27002:2005: Seção 5 Política de Segurança da Informação Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. COBIT 4.1: DS5.2 Plano de Segurança de TI Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente deTraduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e di t d d i d á i t i t dprocedimentos de segurança devem ser comunicados aos usuários e partes interessadas ITIL V3: Service Design – Política de Segurança da Informação A PSI deve ter o total apoio da gerência executiva de TI e, preferencialmente, o apoio eS de e e o o a apo o da ge ê c a e ecu a de e, p e e e c a e e, o apo o e comprometimento da gerência executiva do negócio. 9 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Melhores Práticas NBR ISO/IEC 27002:2005 Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e q g regulamentações relevantes. Controle Administrativo 10 Prof. André Molina Política de Segurança da Informaçãog ç ç Melhores Práticas NBR ISO/IEC 27002:2005 11 Prof. André Molina Política de Segurança da Informaçãog ç ç Melhores Práticas 5.1.1 Documento da PSI • aprovado pela direção, publicado e comunicado para todos (interno e externo) d fi i õ t i tâ i ti t d di ã• definições, metas, escopo, importância, comprometimento da direção • estrutura de Gestão de Segurança da Informação (GSI) • explanação das normas de SI • aborde questões de conformidade, educação em SI, gestão da continuidadeaborde questões de conformidade, educação em SI, gestão da continuidade • estabeleça consequências de violações • responsabilidades na GSI • referências de outras documentações de SI 12 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Melhores Práticas 5.1.2 Análise crítica da política de segurança da informação • análise crítica a intervalos planejados ou quando mudanças significativas ocorrerem t á l l t ã d PSI• gestor responsável pela manutenção da PSI • aprovação pela direção da política de segurança da informação revisada 13 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Melhores Práticas Outros aspectos da PSI na NBR ISO/IEC 27002 A PSI é t l id d lh áti d i f ãA PSI é um controle considerado melhor prática para a segurança da informação. Política de segurança da informação é um fator crítico de sucesso na implementação daPolítica de segurança da informação é um fator crítico de sucesso na implementação da segurança da informação dentro de uma organização. D d NBR ISO/IEC 27001 é t l b i tó iDe acordo com a NBRISO/IEC 27001, é um controle obrigatório. 14 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Legislação (Federal) • Decreto 3.505 de 13 de junho de 2000 •Acórdãos TCU 1.603/2008, 2.471/2008, 2.308/2010 • Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008Instrução Normativa GSI/PR n 1, de 13 de junho de 2008 • Norma Complementar nº 03/DSIC/GSIPR, de 3 de julho de 2009 15 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Legislação (Federal) Decreto 3.505 de 13 de junho de 2000 • Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal • Cria o CGSI (Comitê Gestor de Segurança da Informação) para assessorar a Secretaria-Executiva do Conselho de Defesa Nacional • Conceber, especificar e coordenar a implementação da infra-estrutura de chaves públicas a serem utilizadas pelos órgãos e pelas entidades da Administração Pública Federal 16 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Legislação (Federal) Acórdão TCU 1603/2008: Deficiências em Governança de TI (TCU) 17 Prof. André Molina Política de Segurança da Informaçãog ç ç Legislação (Federal) Acórdãos TCU 1.603/2008, 2.471/2008, 2.308/2010: 9.1.3. Orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de i d TI á ífi i t d d i f ã líti driscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso; 9.1.8. Introduzam práticas voltadas à realização de Auditorias de TI, que permitam a avaliação regular da conformidade, da qualidade, da eficácia e da efetividade dos serviços prestados. 9.6.1. Crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio 75. Não se percebe melhora nos indicadores de segurança da informação em relação ao levantamento de orientação normativa; 9.6.2. Identifique boas práticas relacionadas à segurança da informação, difundindo-as na Administração Pública Federal; p g ç ç ç anterior, a despeito da recomendação emitida pelo TCU. A Administração, de forma geral, continua a desconhecer e a não proteger suas informações críticas adequadamente. Como não há avaliação de riscos, nem ao menos é possível estimar as suas consequências caso estes se materializem. 76. Dessa forma, deve-se dar especial atenção a este aspecto no monitoramento das recomendações do Acórdão nº 18 Prof. André Molina p p 1.603/2008-TCU-Plenário. Política de Segurança da Informaçãog ç ç Legislação (Federal) Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008Instrução Normativa GSI/PR n 1, de 13 de junho de 2008 Art. 2º Para fins desta Instrução Normativa, entende-se por: I - Política de Segurança da Informação e Comunicações: documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal direta e indireta com o objetivo de fornecerpelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos gestão de continuidade do negócio tratamento de incidentes tratamento daatividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações; Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete: VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações;informação e comunicações; 19 Prof. André Molina Política de Segurança da Informaçãog ç ç Legislação (Federal) Norma Complementar nº 03/DSIC/GSIPR, de 3 de julho de 2009.Norma Complementar n 03/DSIC/GSIPR, de 3 de julho de 2009. 1 OBJETIVO Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades daatualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF. 2 CONSIDERAÇÕES INICIAIS 2.1 A Política de Segurança da Informação e Comunicações declara o comprometimento da alta direção organizacional com vistas a prover diretrizes estratégicas responsabilidades competências e o apoio paraorganizacional com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio para implementar a gestão de segurança da informação e comunicações nos órgãos ou entidades da Administração Pública Federal, direta e indireta; 2.2 As diretrizes constantes na Política de Segurança da Informação e Comunicações no âmbito do órgão ou entidade visam viabilizar e assegurar a disponibilidade integridade confidencialidade e autenticidade daentidade visam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação. 4 CONCEITOS E DEFINIÇÕES 4 4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; 20 Prof. André Molina Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Underline Paolla Highlight Paolla Highlight Política de Segurança da Informaçãog ç ç Legislação (Federal) Sugestão de conteúdo (NC 03/DSIC/GSIPR)Sugestão de conteúdo (NC 03/DSIC/GSIPR) ¾Escopo (abrangência, limites) ¾Conceitos e Definições ¾Referências legais e normativas¾Referências legais e normativas ¾Princípios ¾Diretrizes Gerais ¾ Tratamento da Informação; ¾ Tratamento de Incidentes de Rede;¾ Tratamento de Incidentes de Rede; ¾ Gestão de Risco; ¾ Gestão de Continuidade; ¾ Auditoria e Conformidade; ¾ Controles de Acesso;¾ Controles de Acesso; ¾ Uso de e-mail; e ¾ Acesso a Internet. ¾Penalidades ¾Competências e Responsabilidades (estrutura da gestão da SI, definição de gestor, etc.)¾Competências e Responsabilidades (estrutura da gestão da SI, definição de gestor, etc.) ¾Atualização. 21 Prof. André Molina Política de Segurança da Informaçãog ç ç Recomendações Definir escopoDefinir escopo Identificar objetivos estratégicos Identificar pontos prioritários de atenção (Análise e Avaliação de Risco – AAR)p p ç ( ç ) Identificar requisitos do negócio, legaise regulatórios Recomendar os controles para tratar os riscos Definir a estrutura da gestão de segurança da informação Atribuição de responsabilidades Estilo, linguagem, clareza, simplicidade Apoio e assinatura da direção Publicação, comunicação Monitorar com métricas (ex: número de incidentes) Revisão periódica 22 Prof. André Molina Revisão periódica Política de Segurança da Informaçãog ç ç Questões 1) (PMV 2007 Cargo 1) 101 Uma política de segurança para uma rede visa, tipicamente, identificar os) ( g ) p g ç p , p , recursos que precisam ser protegidos, os riscos aos recursos, a importância destes, as medidas para protegê-los, quem pode usá-los e conceder acesso a eles, quais usos dos recursos são considerados apropriados, quais os direitos e as responsabilidades dos usuários. 2) (PMV 2007 Cargo 1) 103 Realizar cópias de segurança (backup) pode ser parte de uma política de segurança. Por exemplo, pode-se exigir uma cópia de segurança integral no primeiro dia de cada mês e cópias incrementais nos outros dias. 3) (SEBRAE 2010 Cargo 3) De acordo com a ABNT, o Sistema de Gestão de Segurança da Informação é uma forma de gerenciamento utilizada para estabelecer políticas baseadas na análise de risco do negócio. Tendo esse sistema certificado, a organização demonstra sua capacidade de definir, de implementar, de operar, de manter e de sempre melhorar a segurança da informação. Com base nasp , p , p g ç ç recomendações das normas ISO 27001 e ISO 27002, julgue os itens subsequentes: 16 O documento de política de segurança da informação deve ser aprovado pela direção da organização, mas não deve ser publicado nem comunicado a colaboradores ou partes externas. 4) (MPU 2010 Cargo 26) Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos itens. 143 Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação 23 Prof. André Molina p g q g ç g ç da segurança. Paolla Highlight Política de Segurança da Informaçãog ç ç Questões (TCU 2007 Cargo 9) Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informaçãog , p p p g g g ç ç embasado na ABNT NBR ISO/IEC 17799 (ISO 17799). 5) 143 A política corporativa de segurança da informação deverá ser elaborada somente após o estabelecimento das políticas de segurança no desenvolvimento de software e de segurança em operações de TI.p ç 6) 144 Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização. 24 Prof. André Molina Política de Segurança da Informaçãog ç ç Questões 7) (TRT 21 2010 Cargo 11) Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à gestão de segurança da informação, julgue os itens que se seguem. 102 Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a suap j q ç g , p g contínua pertinência, adequação e eficácia. 8) (TCU 2007 Cargo 2) 179 O estabelecimento de uma política organizacional de segurança da informação é uma atividade que depende em maior escala do apoio obtido pelo estafe de nível inferior na hierarquiaq p p p q organizacional que do apoio explícito provido pela alta administração. 9) (INMETRO 2010 Cargo 16) QUESTÃO 35 Quanto à política de segurança da informação, assinale a opção correta.pç A É necessário definir o que deve ser protegido e o porquê. B As responsabilidades pela proteção não devem ser definidas. C As ameaças e as vulnerabilidades específicas a serem tratadas devem ser enumeradas. D Os recursos tecnológicos que devem ser utilizados na proteção devem ser especificados.g q p ç p E A política deve ser divulgada apenas entre os membros da administração superior da organização. 25 Prof. André Molina Política de Segurança da Informaçãog ç ç Questões 10) (INMETRO 2010 Cargo 14) QUESTÃO 66 Com relação à segurança da informação, assinale a opção correta. A A política de segurança da informação define o que deve ser protegido, por quê, e também quem seráp g ç ç q p g , p q , q o responsável pela proteção, provendo uma base para decisões futuras. B A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários. C Vulnerabilidade é uma feature de um software que, quando explorada, pode levar a comportamentoq , q p , p p não desejado. D O risco de um ataque é proporcional à sua facilidade de execução. E A ameaça é o produto do risco pelo custo da proteção. 11) (INMETRO 2010 Cargo 27) QUESTÃO 66 A política de segurança da informação deve A servir de base para a solução de futuros conflitos. B basear-se nas opiniões dos responsáveis pela operação da infraestutura de tecnologia da informação. C ter sua divulgação restrita à alta direção da organização.g ç ç g ç D ser elaborada por meio de um processo representativo e democrático. E ser detalhada nos aspectos tecnológicos de sua implementação. 26 Prof. André Molina Política de Segurança da Informaçãog ç ç Questões (ABIN 2010 Cargo 8) Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue os seguintes itens. 12) 39 Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no) g ç ç p p p p , âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após aprovação do Gabinete de Segurança Institucional da Presidência da República. 13) 40 Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no mercado de bens e de serviços relacionados com a segurança da informação, incluindo-se a fabricação de produtos que incorporem recursos criptográficos. (UNIPAMPA 2009 Cargo 3) Com relação à segurança de redes e sistemas, julgue os itens subsequentes. 14) 69 A política de segurança deve ser um documento minucioso e detalhado, no qual estejam previstos procedimentos recomendados e práticas proibidas.p p p 15) 70 A política de segurança deve ser definida democraticamente pelos usuários e levada à administração superior para sanção. 27 Prof. André Molina Mét d d A t ti ãMétodos de Autenticação Identificação x Autenticação x AutorizaçãoIdentificação x Autenticação x Autorização Identificação: Ato de apresentar uma credencial a um recurso Autenticação: Ato de validar uma credencial apresentada a um recurso Autorização: Definição de quais direitos e permissões tem o usuário do recurso após identificado e autenticado Prof. André Molina28 Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Mét d d A t ti ãMétodos de Autenticação Autenticação é o processo de garantir que alguém ou alguma coisa é de fato quem diz ser A forma de autenticação pode ser dividida em 3 categorias: y Algo que sabemos: nome de usuário senhay Algo que sabemos: nome de usuário, senha y Algo que temos: token, smartcard, certificado y Algo que somos: biometria (impressões digitais, retina, rosto, voz) Autenticação Forte: pelo menos duas formas de autenticação juntas (autenticação de dois fatores)(autenticação de dois fatores) Prof. André Molina29 Paolla HighlightPaolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Mét d d A t ti ãMétodos de Autenticação Tipo Exemplo Vantagens Desvantagens Algo que Senha passphrase Facilidade e baixo Fácil de descobrir; sujeito aAlgo que sabemos Senha, passphrase, ou PIN (personal identification number) Facilidade e baixo custo de implementação Fácil de descobrir; sujeito a ataques de dicionário; usuários não mantêm suas senhas em sigilo Algo que temos Token, memory card, smart card, certificado digital Dificuldade de atacar Pode ser roubado ou perdido; alto custo de implementação Algo que somos Leitores biométricos Portabilidade e provê fácil método de autenticação Alto custo de implementação; baixa aceitabilidade dos usuários; taxas de falsa rejeição etaxas de falsa rejeição e falsa aceitação Prof. André Molina30 Mét d d A t ti ãMétodos de Autenticação y Tipo mais comum de autenticação (custo, facilidade, padronização)Tipo mais comum de autenticação (custo, facilidade, padronização) y Fragilidades y Sigilo y Complexidade baixay Complexidade baixa y Passphrase: a senha é uma frase. y Alternativas: requisitos de complexidade, expiração, educação. y Validação: hash y Quebra de senhas: y Ataques de força bruta (ataque de dicionário informações do usuário buscay Ataques de força bruta (ataque de dicionário, informações do usuário, busca exaustiva) y Engenharia social y Sniffers de redey Sniffers de rede y Ataques de replay y Key loggers y Efeito tempest Prof. André Molina31 y Efeito tempest Métodos de Autenticaçãoç Certificados y Funcionam como uma identidade digital.Funcionam como uma identidade digital. y Contêm a chave pública do proprietário. y Podem conter informações diversas sobre o proprietário, tais como CPF, RG, endereço e mail profissão local de trabalho etcendereço, e-mail, profissão, local de trabalho, etc. y Pode estar contido em um arquivo em disco, ou em smartcard/token. y Mais detalhes serão vistos dentro do tópico de ICP.p Prof. André Molina32 Métodos de Autenticaçãoç Tokens y Hardware com funções de armazenamento e processamento y Alguns tipos conectam-se ao computador, outros não y Capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitaisg y Uma vez geradas as chaves, não será possível retirá-las ou exportá-las y Utiliza um PIN (Personal Identification Number), que é uma senha, a qual permite a utilização do tokenpermite a utilização do token y Utilizados para acesso a bancos, VPN, assinaturas digitais, etc. y Autenticação forte: algo que você sabe (PIN) + algo que você tem (token com chave privada ou chave instantânea) Prof. André Molina33 Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Métodos de Autenticaçãoç Smartcards y Semelhante a um cartão de crédito com chip, com funções de armazenamento e processamento Capa de gerar e arma enar as cha es criptográficas q e irão compor osy Capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais y Uma vez geradas as chaves, não será possível retirá-las ou exportá-las y Também utiliza o PIN y Operações realizadas dentro do chip y Autenticação forte: algo que você sabe (PIN) + algo que você tem (tokeny Autenticação forte: algo que você sabe (PIN) + algo que você tem (token com chave privada ou chave instantânea) Prof. André Molina34 Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Métodos de Autenticaçãoç Biometria y Uso de características biológicas em mecanismos deUso de características biológicas em mecanismos de autenticação y Características mais utilizadas: Íy Íris: analisa os anéis em torno da pupila y Retina: analisa os vasos sanguíneos y Impressão digital: óptica, capacitiva, ultra-sônicap g p , p , y Voz: problema com ruídos e variações da voz y Formato do rosto: não é muito preciso y Geometria da mãoy Geometria da mão y Assinatura y Principal vantagem é o maior nível de segurança fornecido y Desvantagens: maior custo e requer ajustes dos valores de aceitação Prof. André Molina35 Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Paolla Highlight Métodos de Autenticaçãoç Questões INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade – Área: Gestão da Informação 16) Questão 42 - Acerca dos métodos de autenticação de usuários, assinale a opção correta. A) O método de autenticação embasado no que você sabe é adotado, por exemplo, quando se utiliza um pendrive com senha para auxiliar na autenticação de um usuário na rede. B) As senhas são armazenadas em arquivos que jamais podem ser acessados ou decriptografados; por isso aB) As senhas são armazenadas em arquivos que jamais podem ser acessados ou decriptografados; por isso, a autenticação por meio de senha é a mais segura e a mais utilizada. C) Os métodos de autenticação embasados no que você é consistem na utilização de mecanismo de autenticação relacionado à posição hierárquica que o indivíduo ocupa em uma organização, permitindo-se mais privilégios de uso do ambiente computacional àqueles que ocupam posições superiores. D) O método embasado no que você sabe é relacionado ao uso de senhas de acesso e de logon para identificar oD) O método embasado no que você sabe é relacionado ao uso de senhas de acesso e de logon para identificar o usuário na rede. E) A administração de privilégios de acesso refere-se à possibilidade de leitura, escrita, gravação e exclusão de arquivos, procedimentos que não podem estar associados a métodos de autenticação, pois podem gerar muitas variáveis na administração da autenticação dos usuários. EMBASA 2009 Cargo 6 - Analista de Tecnologia da Informação – atuação em Desenvolvimento Com referência aos fundamentos de segurança relacionados a criptografia, firewalls, certificados e autenticação, julgue os itens a seguir. 17) 99 O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Além17) 99 O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Além disso, todo processo ou usuário autêntico está automaticamente autorizado para uso dos sistemas. 36 Prof. André Molina Política de Segurança da Informaçãog ç ç Respostas 1) C) 2) C 3) E 4) C 5) E) 6) E 7) C 8) E 9) A) 10) A 11) A 12) C 13) E) 14) E 15) E 16) D 17) E) 37 Prof. André Molina
Compartilhar