Introdução à autenticação: saiba como provar que realmente é você

Introdução à autenticação: saiba como provar que realmente é você

Embora o conceito de autenticação pareça muito complicado, na realidade é bastante simples: é uma forma de demonstrar que você é quem diz ser. No mundo offline esse processo é simples e universal. A maioria dos países contam com procedimentos bem documentados com os quais se pode obter um passaporte que demonstre sua identidade em

Embora o conceito de autenticação pareça muito complicado, na realidade é bastante simples: é uma forma de demonstrar que você é quem diz ser. No mundo offline esse processo é simples e universal. A maioria dos países contam com procedimentos bem documentados com os quais se pode obter um passaporte que demonstre sua identidade em

Embora o conceito de autenticação pareça muito complicado, na realidade é bastante simples: é uma forma de demonstrar que você é quem diz ser. No mundo offline esse processo é simples e universal. A maioria dos países contam com procedimentos bem documentados com os quais se pode obter um passaporte que demonstre sua identidade em qualquer lugar onde você esteja. No mundo dos computadores não existe um documento único que sirva para provar sua identidade onde esteja. Como resultado, a maioria dos sites web e serviços utilizam diferentes técnicas.

No post sobre as quatro “A” da administração de contas, publicado anteriormente, falamos sobre a autenticação relacionada à autorização, o controle de acesso e ao registro de auditorias. A implementação de uma boa autenticação é um passo prévio essencial para poder proceder com as outras três funções de gestão de contas.

Se não é possível saber quem é realmente o usuário, não se pode verificar a quais recursos ou serviços esta pessoa deve ter direito de acesso, nem tampouco é possível identificar as ações que a mesma realizou.

Como demonstrar quem somos no mundo online?

Quando temos que demonstrar que somos quem asseguramos ser, devemos buscar algo único e inalterável sobre nós. Para isso, podemos recorrer a algumas estratégias; por exemplo, nos filmes ou programas de televisão, quando existe alguma dúvida sobre a identidade de uma pessoa, costuma-se fazer o seguinte:

  • Verificação de um dado que apenas a pessoa saberá
  • Algum objeto que apenas essa pessoa possa ter
  • Busca-se alguma característica marcante e único

Também há opções parecidas e disponíveis para verificar os usuários online. O conjunto desses três métodos básicos se denomina “fatores de autenticação”. Individualmente, esses fatores são conhecidos como:

  • Fator de conhecimento: o que você sabe

Pode ser uma informação que provavelmente apenas você (a pessoa cuja identidade está sendo verificada) e a pessoa ou o processo (que está verificando a identidade) conheçam.

  • Fator de posse ou propriedade: o que você tem

Corresponde a um objeto entregue pela pessoa ou organização (que está verificando), mostrando a veracidade da identidade.

  • Fator de inerência ou existência: o que você é

Envolve as coisas que fazem parte do que você é, de uma forma geral são as coisas que nunca mudariam.

Os três primeiros fatores

totallypic

Há certas coisas que se utilizam comumente como “fatores de conhecimento”: as senhas, as chaves de acesso, as frases de senha ou o PIN (que é o acrônimo em inglês do número de identificação pessoal). Muitas pessoas não se dão conta de que as “perguntas secretas” (além da senha, alguns sites web exigem que você utilize) também são fatores de conhecimento.

A maioria de nós temos ao menos um “fator de propriedade” na carteira, ou melhor, possivelmente vários. Se bem que a carteira de habilitação, RG, cartões de crédito e débito sem dúvida pertencem a essa categoria.

Sobre os cartões de crédito e débito que você leva na carteira não são apenas um sinal de que o banco te considera capaz de pagar suas dívidas; também indicam que o banco já analisou sua identidade.

No entanto, o documento pessoal e os cartões não são os únicos exemplos de “fatores de propriedade”. Qualquer coisa que possa vincular-se a você de forma exclusiva é útil; por exemplo, um email, um celular ou um número de telefone fixo. Os sites também podem gerar códigos de chaves temporais e enviar por mensagem de SMS, chamadas de voz ou email, para que você possa utilizar como credenciais e realizar o login.

Por último está o “fator de inerência”. Esse fator de autenticação que antes apenas estava disponível para os espiões, hoje em dia está presente em muitos smartphones ou computadores portáteis. A digitalização da impressão digital, que é o exemplo mais comum, tem o propósito de verificar o padrão único das pontas dos dedos. Alguns smartphones agora vem com um escâner para a íris, que verifica as manchas e a coloração exclusiva dos olhos.

O escritório da Alfândega e Proteção de Fronteiras dos Estados Unidos está experimentando escâneres de reconhecimento facial, como uma forma de automatizar a verificação da identificação por meio de fotos.

Quando um fator não é suficiente

A essa altura, a maioria de nós conhecemos alguém que teve a conta bancária online comprometida. A autenticação que apenas utiliza o nome do usuário e senha gera tantos problemas de segurança que os pesquisadores buscam constantemente novas formas de autenticar aos usuários de forma rápida e segura. O uso de mais de um fator para autenticar aos proprietários das contas é uma opção cada vez mais utilizada.

O início de uma sessão por meio do uso de dois fatores de autenticação denomina-se “autenticação em duas fases”, “autenticação de dois fatores”, “verificação em dois passos” ou “2FA (para abreviar)”. Se o processo de início da sessão utiliza o 2FA, mesmo que os usuários apresentem seus dados de ingresso a outros (de forma acidental ou intencional), as contas continuarão protegidas, caso o atacante também não tenha acesso ao segundo fator.

Os fatores do futuro

Outro método para melhorar a segurança da autenticação é encontrar novos fatores. Há alguns que já estão sendo utilizados sem que as pessoas saibam:

  • Fator de localização: onde você está
  • Fator de comportamento: o que você faz

Podem parecer um pouco estranho, pois a gente viaja e o comportamento vai mudando com o tempo. Com certeza você deve se perguntar como pode ser único se os dados mudam. Isso é verdade, no entanto, essa informação pode ser muito útil principalmente quando são usados em conjunto com outros fatores.

O “fator de localização” baseia-se na previsão sobre em qual lugar e momento uma pessoa possa estar (em casa ou no trabalho) ou que use certos equipamentos específicos. Obviamente, nem sempre é o caso; então, por si mesma, essa informação apenas tem utilidade marginal. No entanto, caso você se encontra em um lugar conhecido ou está usando uma direção IP ou MAC conhecida, pode utilizar esta informação como segundo fator de autenticação, além do nome de usuário e senha. Do contrário, se não está nesse lugar ou computador conhecidos, pedirá que utilize um fator diferente de autenticação, como um código de chave temporário.

Por outro lado, o “fator de comportamento” baseia-se na ideia de que os comportamentos possam ser tão únicos como as impressões digitais; por exemplo, nossos hábitos de navegação, nossa voz, nossos movimentos do mouse ou na tela sensível ao toque, ou nossa letra quando escrevemos a mão. Alguns smartphones já estão utilizando este fator. Se você configura uma senha de acesso numérica ou gestual, não apenas registra o código em si, como também a forma em que as escreve ou desliza o dedo para incluí-la.

Próximos passos: estabelecer limites

Uma vez que a identidade de alguns tenha sido autenticada, muitos administradores lhes abrem as portas de par em par aos usuários (metaforicamente falando), o que lhes permite acessar sem restrições a todo o conteúdo das redes. Em nossos próximos posts, falaremos dos seguintes passos para a gestão de contas: a autorização e o controle do acesso.

Essas técnicas permitem estabelecer controles adequados para que os usuários possam acessar aos recursos ou serviços que necessitam e bloquear a possibilidade do que não necessitam, como forma de limitar os danos acidentais e intencionais e o roubo de dados.

Discussão