Moura Tecnologia da Informação: Entendendo a Autenticação com Tokens

Entendendo a Autenticação com Tokens

Com o desenvolvimento digital e aumento do uso de tokens em aplicações comerciais e financeiras, surgem técnicas cada vez mais sofisticadas de fraude eletrônica, visando se apropriar de informações sigilosas dos usuários. Exemplos dessas técnicas são os chamados Phishing e Trojan. O primeiro é caracterizado por tentativas de adquirir informações sigilosas, tais como senhas e dados pessoais, se passando por uma entidade confiável. Um exemplo disso são as páginas de bancos clonadas que solicitam dados pessoais, senhas e códigos, alegando alguma necessidade, por exemplo, de recadastramento. O segundo, se instalado na máquina do usuário, através de uma simples visualização de uma foto recebida ou email aberto, captura todas ações dos usuários, seus dados, informações pessoais e envia para um destino previamente configurado pelo atacante.

A preocupação das organizações com a autenticação de usuários ganha mais relevância e novos mecanismos e métodos são adicionados ao sistema para prover uma autenticação mais confiável, reduzindo riscos de fraude.

O mecanismo de autenticação é dividido em três categorias:

- Autenticação baseada no conhecimento (o que se sabe): O modo mais usado de identificação. Senhas, informações pessoais ou qualquer informação não necessariamente secreta, mas que seja considerada desconhecida por outros.

- Autenticação baseada na propriedade (o que se tem): Caracterizado por um objeto físico que o usuário possui: Smartcard ou um Token. A desvantagem é que pode ser perdido, roubado ou esquecido e o hardware tem um custo adicional.

É comum ver a combinação de autenticação baseada em propriedade (Token) com autenticação baseada em conhecimento (senhas), fornecendo dois fatores de autenticação.

- Autenticação baseada na característica (o que é): Métodos de autenticação baseados nesse fator são chamados biométricos. Sistemas biométricos realizam a verificação ou reconhecimento de uma pessoa com base em alguma característica física, como a impressão digital, ou em um padrão de comportamento característico de uma pessoa.

O uso de Token como mecanismo adicional de autenticação tem se tornado cada vez mais comum no mercado e provê segurança de mais alto nível. Os tokens estão disponíveis em hardware e software e são utilizados no processo de autenticação de usuários, sistemas e processos. No mecanismo de autenticação, o Token se enquadra na categoria “o que se tem”. É comum utilizar autenticação com dois fatores para fornecer uma autenticação híbrida, usando o que o usuário possui (dispositivo) e o que conhece (Senha/PIN). Os esquemas de autenticação por Token são sincronizados no tempo ou desafio/resposta.

Usando Token, a senha memorizada pode ser substituída por uma senha gerada randomicamente por um algoritmo proprietário e protegido. Dependendo do método utilizado, essa senha gerada tem um período de validade que normalmente é muito curto, com apenas segundos e não pode ser reutilizada. Isso reduz o risco dessa senha ser capturada e utilizada novamente.Outros métodos também podem ser usados para reduzir riscos de fraude, como perguntas e respostas e até mesmo dispositivos biométricos.

Alguns Tokens também armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura. O certificado, chave pública, é gerado através da aplicação e embutido no Token para ser usado no momento de autenticação.

Algumas instituições financeiras já utilizam a autenticação baseada em três fatores. Nessa é utilizada a Senha/PIN (o que se sabe), Token (o que se tem) e métodos biométricos (o que se é) para identificação. Nesse último, a leitura de alguma característica física, impressão digital, leitura de íris ou de algum padrão de comportamento é validada com as características e comportamentos já armazenados no sistema.

O aumento dos fatores no processo de autenticação, geralmente, aumenta o trabalho e a dificuldade de um atacante em executar uma fraude.

O Token é utilizado como um dispositivo de segurança adicional. Em aplicações financeiras, por exemplo, os usuários continuam a ter suas senhas e seus dados pessoais utilizados no processo de autenticação e, como mecanismo adicional, o Token para complementar a autenticação. No caso de algumas instituições, o Token é utilizado para validar transações e um código é gerado para cada transação.

Algumas instituições financeiras ainda utilizam o Token de papel. No formato de um cartão, contém uma quantidade de senhas que são requisitadas aleatoriamente para autenticação. Esse modelo não é tão seguro como o Token em hardware, pois tem um número limitado de combinações que podem ser copiadas com facilidade.

A utilização de Tokens como mecanismo de segurança adicional para o estabelecimento de conexões seguras, Virtual Private Network (VPN), é cada vez mais frequente. O Token pode ser integrado com soluções de VPN, agregando ao sistema uma camada adicional de autenticação. Assim, o usuário utiliza a senha pessoal e o código gerado pelo Token, passando a ser uma autenticação de dois fatores. Somente após essa validação, a conexão é estabelecida e o acesso à rede e aplicações concedido.

Dicas de segurança:

1. Não forneça mais de um código do seu Token para efetuar um único acesso. As instituições financeiras solicitam apenas um código do Token por acesso ou por transação;

2. As instituições nunca enviam e-mails nem telefonam a seus usuários/clientes solicitando o código do Token e/ou dados pessoais;

3. Nunca entregue seu Token a terceiros;

4. Use e guarde o Token com muito cuidado e discrição;

5. Em caso de perda ou roubo, comunique o fato imediatamente aos responsáveis pelo acesso ou aplicação.


Fonte: Olhar Digital


0 comentários:

Postar um comentário