Autenticação

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Autenticação (do grego : αυθεντικός = real ou genuíno, de 'authentes' = autor) é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade.

Gestão da Informação[editar | editar código-fonte]

É de grande relevância no processo de gestão da informação a proteção dos dados e dos recursos envolvidos nele, de modo a garantir a acesso, alteração e liberação apenas por pessoas devidamente autorizadas.

Segurança da informação[editar | editar código-fonte]

A segurança da informação está fortemente relacionada a administração moderna representando um bem que por sua vez precisa ser protegido, visando minimizar riscos no tocante ao extravio de informação, apoiando os retornos envolvidos de modo a garantir a continuidade dos negócios.

Em segurança da informação, a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema, normalmente, no momento em que ele requisita um log in (acesso) em um programa ou computador. A autenticação normalmente depende de um ou mais "fatores de autenticação".

O termo "autorização" é muitas vezes confundido com o termo autenticação, mas apesar de serem relacionados, o significado de ambos é muito diferente. A autenticação é o processo que verifica a identidade de uma pessoa, por sua vez, a autorização verifica se esta pessoa possui permissão para executar determinadas operações. Por este motivo, a autenticação sempre precede a autorização.

Controle de acesso[editar | editar código-fonte]

O controle de acesso é um exemplo comum de adoção de mecanismos de autenticação. Um sistema computacional, cujo acesso é permitido apenas a usuários autorizados, deve detectar e excluir os usuários não autorizados. O acesso é controlado por um procedimento que estabelece a identidade do usuário com algum grau de confiança (autenticação), e só então concede determinados privilégios (autorização) de acordo com esta identidade. Alguns exemplos de controle de acesso são encontrados em sistemas que permitem:

Ambientes Afetados[editar | editar código-fonte]

Os Ambientes Afetados São todos os frameworks de aplicações web são vulneráveis a furos de autenticação e de gerência de sessão.

Vulnerabilidade[editar | editar código-fonte]

Os Furos da Vulnerabilidade no mecanismo principal de autenticação não são incomuns, mas falhas são geralmente introduzidas a partir de funções menos importantes de autenticação como logout, gerência de senhas, timeout, recordação de dados de logon, pergunta secreta e atualização de conta.

Verificação de Segurança[editar | editar código-fonte]

A Verificação de Segurança são abordagens automatizadas ferramentas de localização de vulnerabilidade têm dificuldade em esquemas de autenticação e de sessão personalizados. As ferramentas de análise estáticas provavelmente não detectarão problemas em códigos personalizados para autenticação e gerência de sessão.

Abordagens Manuais[editar | editar código-fonte]

Essas Abordagens Manuais é pra ser feito com revisão de código e testes, especialmente combinados, são muito efetivos para a verificação de autenticação, gerência de sessão e funções secundárias estão todas implementadas corretamente.

Implementação dos Mecanismos[editar | editar código-fonte]

1.     Autenticação baseada no conhecimento – Login e senha[editar | editar código-fonte]

Remove caracteres indevidos que são utilizados em ataques como os de SQL Injection;

Verificar se a variável login está preenchida;

Validar formulários, de acordo com as regras definidas;

Não permitir que as variáveis login e senha estejam em branco;

Senha seja criptografada;

Verifica se o usuário existe no banco de dados e se a senha confere.

Se a senha estiver correta, a aplicação lista os privilégios deste e salva as informações em variáveis de sessão,

Libera o acesso e redirecionando para a página inicial do sistema.

2.     Autenticação baseada na propriedade – Login, senha e token[editar | editar código-fonte]

Utiliza um token, além do convencional login e senha;

Durante o cadastro de cada usuário, são cadastrados no banco de dados os tokens;

Estes tokens são gerados de forma randômica por meio da função rand() do PHP;

Na tela de autenticação é solicitado ao usuário seu login, sua senha e uma chave;

Após a verificação correta, o acesso é liberado.

3.     Autenticação baseada na característica – Digital[editar | editar código-fonte]

Cada usuário tem em seu cadastro no banco de dados uma imagem de sua digital, ou várias;

Além disso, é necessário um hardware que faça a leitura da digital;

Um aparelho que possui um software interno recebe as imagens das digitais cadastradas no banco de dados e faz a comparação;

Com a digital em leitura no momento, retornando o usuário;

Caso haja confirmação da digital, o seu acesso ao sistema é liberado.

Cada mecanismo possui suas vantagens e desvantagem, devendo ser os mesmos aplicados de modo a atender a necessidade do negócio visando garantir a autenticidade das entidades envolvidas. O que vai definir qual dos métodos será o adotado é o valor da informação a ser protegida para as entidades envolvidas, cujo o risco deverá ser aceito em níveis aceitáveis.

Proteção[editar | editar código-fonte]

A Proteção da Autenticação depende da comunicação segura de armazenamento de credenciais. Primeiramente, assegure-se de que o SSL é a única opção para todas as partes autenticadas do aplicativo e que todas as credenciais estão guardadas de uma forma encriptada ou em Hash.

Fatores de autenticação[editar | editar código-fonte]

Os fatores de autenticação para humanos são normalmente classificados em três casos:

Frequentemente é utilizada uma combinação de dois ou mais métodos. A Secretaria da Receita Federal, por exemplo, pode requisitar um certificado digital (o que se possui) além da senha (o que se sabe) para permitir o acesso a uma declaração de imposto de renda, neste caso o termo "autenticação de dois fatores" é utilizado.

No Direito[editar | editar código-fonte]

Autenticar, juridicamente, consiste no procedimento legal relativo de tornar autêntico - ou verdadeiro - algo que seja cópia ou cuja autoria e veracidade necessitam ser comprovadas.

Para isto, os sistemas legais criam figuras específicas, dentro da estrutura judiciária, com poderes específicos de fé pública e competência legal para atestar, mediante uma declaração que pode ou não ser lavrada em livro próprio, mas que deve ser inserida na peça que se quer autenticar, onde o mesmo apõe o seu sinal público (assinatura).

Uma vez autenticado o documento, declaração, cópia, passam a ter a mesma validade que seu original.

Autenticações diversas[editar | editar código-fonte]

  • Nas Artes plásticas, a autenticação consiste na comprovação da autoria de uma obra de arte. Na pintura, por exemplo, muitas obras de autoria duvidosa ou mesmo aquelas cuja autoria venha a ser contestada podem ser legitimadas ou não, através de estudos que passam desde a análise química das tintas utilizadas pelo artista, até a utilização de raio X, a fim de se analisar as camadas desta sobre a base, apreciando-a comparativamente a outras já comprovadamente autênticas.
  • Ciências históricas - a autenticação implica na comprovação de dados como verdadeiros, ou ainda no questionamento destes.
  • Antropologia e Arqueologia - diversas fraudes foram descobertas, ao longo da história dessas ciências, como o que desvendou a fraude do Homem de Piltdown (da qual chegou a ser ardoroso defensor Sir Arthur Conan Doyle), através de métodos cada vez mais sofisticados de datação e medição dos objetos e fósseis.

Ver também[editar | editar código-fonte]