Autenticação (do grego : αυθεντικός = real ou genuíno, de 'authentes' = autor) é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade. A autenticação é a base da segurança em um sistema, autenticar é garantir que uma entidade é quem diz ser.
Gestão da Informação
É de grande relevância no processo de gestão da informação a proteção dos dados e dos recursos envolvidos nele, de modo a garantir o acesso, alteração e liberação apenas por pessoas devidamente autorizadas.
Segurança da informação
A segurança da informação está fortemente relacionada a administração moderna representando um bem que por sua vez precisa ser protegido, visando minimizar riscos no tocante ao extravio de informação, apoiando os retornos envolvidos de modo a garantir a continuidade dos negócios.
Em segurança da informação, a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema, normalmente, no momento em que ele requisita um log in (acesso) em um programa ou computador. A autenticação normalmente depende de um ou mais "fatores de autenticação".
O termo "autorização" é muitas vezes confundido com o termo autenticação, mas apesar de serem relacionados, o significado de ambos é muito diferente. A autenticação é o processo que verifica a identidade de uma pessoa, por sua vez, a autorização verifica se esta pessoa possui permissão para executar determinadas operações. Por este motivo, a autenticação sempre precede a autorização.
Controle de acesso
O controle de acesso é um exemplo comum de adoção de mecanismos de autenticação. Um sistema computacional, cujo acesso é permitido apenas a usuários autorizados, deve detectar e excluir os usuários não autorizados. O acesso é controlado por um procedimento que estabelece a identidade do usuário com algum grau de confiança (autenticação), e só então concede determinados privilégios (autorização) de acordo com esta identidade. Alguns exemplos de controle de acesso são encontrados em sistemas que permitem:
- saque de dinheiro de um caixa eletrônico;
- comunicação com um computador através da Internet;
- navegação em um sistema de Internet banking.
Ambientes Afetados
São todos os frameworks de aplicações web que são vulneráveis a furos de autenticação e de gerência de sessão.
Vulnerabilidade
Os Furos na Vulnerabilidade no mecanismo principal de autenticação são comuns, mas falhas são geralmente introduzidas a partir de funções menos importantes de autenticação como logout, gerência de senhas, timeout , recordação de dados de logon , pergunta secreta e atualização de conta.
Verificação de Segurança
A Verificação de Segurança são abordagens automatizadas ferramentas de localização de vulnerabilidade têm dificuldade em esquemas de autenticação e de sessão personalizados. As ferramentas de análise estáticas provavelmente não detectarão problemas em códigos personalizados para autenticação e gerência de sessão.
Abordagens Manuais
Essas Abordagens Manuais é para ser feito com revisão de código e testes, especialmente combinados, são muito efetivos para a verificação de autenticação, gerência de sessão e funções secundárias estão todas implementadas corretamente.
Implementação dos Mecanismos[1]
1. Autenticação baseada no conhecimento – Login e senha
Remove caracteres indevidos que são utilizados em ataques como os de SQL Injection;
Verificar se a variável login está preenchida;
Validar formulários, de acordo com as regras definidas;
Não permitir que as variáveis login e senha estejam em branco;
Senha seja criptografada;
Verifica se o usuário existe no banco de dados e se a senha confere.
Se a senha estiver correta, a aplicação lista os privilégios deste e salva as informações em variáveis de sessão,
Libera o acesso e redirecionando para a página inicial do sistema.
2. Autenticação baseada na propriedade – Login, senha e token
Utiliza um token, além do convencional login e senha;
Durante o cadastro de cada usuário, são cadastrados no banco de dados os tokens;
Estes tokens são gerados de forma randômica por meio da função rand() do PHP;
Na tela de autenticação é solicitado ao usuário seu login, sua senha e uma chave;
Após a verificação correta, o acesso é liberado.
3. Autenticação baseada na característica – Digital
Cada usuário tem em seu cadastro no banco de dados uma imagem de sua digital, ou várias;
Além disso, é necessário um hardware que faça a leitura da digital;
Um aparelho que possui um software interno recebe as imagens das digitais cadastradas no banco de dados e faz a comparação;
Com a digital em leitura no momento, retornando o usuário;
Caso haja confirmação da digital, o seu acesso ao sistema é liberado.
Cada mecanismo possui suas vantagens e desvantagem, devendo ser os mesmos aplicados de modo a atender a necessidade do negócio visando garantir a autenticidade das entidades envolvidas. O que vai definir qual dos métodos será o adotado é o valor da informação a ser protegida para as entidades envolvidas, cujo risco deverá ser aceito em níveis aceitáveis.
Proteção
A Proteção da Autenticação depende da comunicação segura de armazenamento de credenciais. Primeiramente, assegure-se de que o SSL é a única opção para todas as partes autenticadas do aplicativo e que todas as credenciais estão guardadas de uma forma encriptada ou em Hash.
Fatores de autenticação
Os fatores de autenticação para humanos são normalmente classificados em três casos:
- aquilo que o usuário é: a autenticação é baseada em característica física, humana ou comportamental exclusiva (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico).
- aquilo que o usuário tem: a autenticação é baseada em algo que a entidade possua exclusivamente (cartão de identificação, security token, software token ou telefone celular)
- aquilo que o usuário conhece: a autenticação é baseada em algo que a entidade conheça exclusivamente (senha, frase de segurança, PIN)
Frequentemente é utilizada uma combinação de dois ou mais métodos. A Secretaria da Receita Federal, por exemplo, pode requisitar um certificado digital (o que se possui) além da senha (o que se sabe) para permitir o acesso a uma declaração de imposto de renda, neste caso o termo "autenticação de dois fatores" é utilizado.
Um estudo utilizou a biométrica comportamental baseada no estilo de escrita para identificar usuários [2].
No Direito
Autenticar, juridicamente, consiste no procedimento legal relativo de tornar autêntico - ou verdadeiro - algo que seja cópia ou cuja autoria e veracidade necessitam ser comprovadas.
Para isto, os sistemas legais criam figuras específicas, dentro da estrutura judiciária, com poderes específicos de fé pública e competência legal para atestar, mediante uma declaração que pode ou não ser lavrada em livro próprio, mas que deve ser inserida na peça que se quer autenticar, onde o mesmo apõe o seu sinal público (assinatura).
Uma vez autenticado o documento, declaração, cópia, passam a ter a mesma validade que seu original.
Autenticações diversas
- Nas Artes plásticas, a autenticação consiste na comprovação da autoria de uma obra de arte. Na pintura, por exemplo, muitas obras de autoria duvidosa ou mesmo aquelas cuja autoria venha a ser contestada podem ser legitimadas ou não, através de estudos que passam desde a análise química das tintas utilizadas pelo artista, até a utilização de raio X, a fim de se analisar as camadas desta sobre a base, apreciando-a comparativamente a outras já comprovadamente autênticas.
- Ciências históricas - a autenticação implica a comprovação de dados como verdadeiros, ou ainda o questionamento destes.
- Antropologia e Arqueologia - diversas fraudes foram descobertas, ao longo da história dessas ciências, como o que desvendou a fraude do Homem de Piltdown (da qual chegou a ser ardoroso defensor Sir Arthur Conan Doyle), através de métodos cada vez mais sofisticados de datação e medição dos objetos e fósseis.
- A frase Transforme sua auto estima em alto estima é Creditada de autenticidade sobre o o poder dessa pagina a Aline Rissz.
Ver também
- Criptografia de chave pública
- Kerberos
- SSH
- RADIUS
- DIAMETER
- HMAC
- EAP
- Biometria
- OpenID - um método de autenticação para Web
- Cross-site scripting
- Teste de Invasão
Referências
- ↑ «Métodos de autenticação». 8 de dezembro de 2014. Consultado em 17 de dezembro de 2014
- ↑ Brocardo ML, Traore I, Woungang I, Obaidat MS. "Authorship verification using deep belief network systems". Int J Commun Syst. 2017. doi:10.1002/dac.3259