O processo de autenticar usuários consiste em determinar se um usuário é quem ele afirma ser[1] e este processo tradicionalmente depende de três fatores: algo que você tenha (ex. Um token), algo que você seja (ex. impressão digital, retina), e algo que você saiba (ex. uma senha)[2]. Para realizar este processo são utilizados um ou mais fatores onde cada um é um pedaço de informação utilizado para autenticar ou verificar a identidade de uma pessoa em um procedimento de segurança para garantir direitos de acesso individuais a cada usuário de um dado sistema[3,4].
O que é autenticação
Para Hutington[1], o processo de autenticação é aquele capaz de determinar se alguém é quem está dizendo ser. Tal procedimento pode ser realizado a partir de uma senha, um token, cartão ID ou uma leitura biométrica e é realizado com base em uma medida de riscos onde sistemas aplicações e informações de alto risco exigem diferentes formas de autenticação que confirmem de forma mais precisa a identidade digital do usuário enquanto aplicações de baixo risco onde a confirmação da identidade digital não é tão importante. Este conceito é normalmente referido como “autenticação forte”. O autor enumera diversos tipos de autenticação tal como PKI, biométrica, senha entre outras, mas nota-se que todas elas possuem similaridades que nos permite agrupa-las nos chamados fatores de autenticação.
Fatores de Autenticação
Os fatores de autenticação, algumas vezes chamados de fatores de autenticação humana (embora não sejam exclusivamente para este fim), são em geral classificados em três categorias distintas: O que você tem, o que você é e o que você sabe[5]. Estes três fatores são tão conhecidos e estão tão bem consolidados no nosso cotidiano que uma busca por eles em qualquer mecanismo de busca na Internet retornará uma centena ou mais de resultados falando sobre eles, desde pequenos blog pessoais[6], passando por artigos de cunho cientifico mais acurado[2] até sites de grandes corporações que lidam este tema[7].
Três fatores básicos
Métodos de autenticação baseado no que você tem, são aqueles que exigem a existência de um objeto de posse exclusiva do usuário para autoriza-lo à acessar algum sistema. Tal como um token, um cartão e até mesmo um celular com Bluetooth usando uma aplicação chamada Blueproximity[8].
Métodos de autenticação baseado no que você é, são aqueles que fazem uso de biometria para analisar alguma particularidade física do usuário, tal como a impressão digital, padrão de retina, reconhecimento de voz, assinatura entre outros. Este que pode-se ser considerado o método mais antigo de autenticação – já que fazemos análises físicas de pessoas a todo momento para reconhecê-las – na área de TI, pode ser considerado o mais sofisticado da atualidade.
Métodos baseados no que você sabe são as tradicionais solicitações de senhas, frases-chave, PIN entre outros.
Outros fatores
Um interessante resumo apresentado pela Hitachi ID System [9] faz um comparativo entre custos, confiabilidade e outros sobre estes fatores. Nota-se entretanto que alguns autores apresentam outros fatores além destes três tradicionais, como o apresentado por Brasinard et al[2] e Lau[5] que respectivamente defendem a rede social e o posicionamento (localização) do usuário como fatores de autenticação. O conceito de rede social é similar ao protocolo de Phil-zimmemann para se criar uma rede de confiança[10] e que foi primeiramente descrito no manual do PGP 2.0 em 1992 e que por sua vez é uma forma oposta ao do PKI, uma vez que este usa um entidade centralizada para validar um certificado enquanto a rede de confiança usa um grupo descentralizado. Quanto a ideia de localização do usuário é defendida também por Turnbull e Gedge[11] e também por Lehtonen, Michahelles e Fleisch[12].
Autenticação multifator
Algumas vezes estes fatores podem trabalhar aliados criando assim a autenticação multifator[13], aumentando a segurança do sistema. O mais comum é usar dois fatores como por exemplo uma senha (o que você sabe) juntamente com um token (o que você possui) de forma que não basta apenas você saber a senha, já que será solicitado também a presença do token. Ou ainda uma senha e a leitura de padrões de retina ou da impressão digital etc.
Um vídeo de 3m e 40s veiculado no site ZDnet e apresentado por Dennis Hoffman, vice presidente de soluções empresariais na RSA, explica como o processo de autenticação com dois fatores pode assegurar que apenas usuários autorizados poderão ter acesso aos dados de uma empresa[14] entretanto é importante salientar que, conforme comenta Schneier[15] ainda assim é possível haver uma falha de segurança, o que nos leva a já conhecida frase de que toda segurança ainda é pouca.
Conclusão
Fatores de autenticação são como agrupamos os mecanismos de autenticação existentes e embora apenas três destes sejam os mais comumente usados existem outros que são tão importantes quanto aqueles primeiros que são usados em menor escala.
Referências
[1] Huntington, Guy. The Business of Authentication. 27-Jun-2009. disponível em <http://www.authenticationworld.com/>. Acessado em 29-07-2009.
[2] J. Brainard, A. Juels, R. Rivest, M. Szydlo, and M. Yung. Fourth Factor Authentication: Somebody You Know. In ACM CCS, pp. 168-78. 2006. Disponível em <http://www.rsa.com/rsalabs/node.asp?id=3156>. Acessado em 29-Jul-2009.
[3]Security for Network. Autenticação Forte. Disponível em <http://www.s4n.com.br/Autenticacao.aspx>. Acessado em 29-jul-2009
[4] Wikipedia. Authentication. Disponível em <http://en.wikipedia.org/wiki/Authentication>. Acessado em 29-jul-2009.
[5] Lau, Marcelo. Localização, o quarto pilar da autenticação forte. Data Security – Boletim Mensal de Segurança da Informação. ed. 06, ano 2, Out/2008. Disponível em <http://www.datasecur.com.br/newsletter_18.html>. Acessado em 31-07-2009.
[6] Braga, Welington R. Como criar uma senha segura e fácil de lembrar. Jul. 2008. Disponível em <https://blog.welrbraga.eti.br/?p=88>. Acessado em 31-07-2009.
[7] Microsoft Technet. Guia de Recursos do Implementador de Otimização de Infra-estrutura Central – Recurso: Processo de segurança. Disponível em <http://technet.microsoft.com/pt-br/library/bb821286.aspx#EAAA>. Acessado em 31-Jul-2009.
[8] Friedrichs, Lars. Blueproximity Manual. Set. 2007. Disponível em <http://blueproximity.sourceforge.net/manual.html>. Acessado em 01-08-2009.
[9] Hitashi ID System Inc. Password Management Best Pratices. Disponícel em <http://psynch.com/docs/password-management-best-practices.html>. Acessado em 01-08-2009.
[10] Wikipedia. Web of trust. Disponível em <http://en.wikipedia.org/wiki/Web_of_trust>. Acessado em 01-08-2009.
[11] Turnbull, Rory Stewart; Gedge, Richard. LOCATION BASED AUTHENTICATION. Out. 2006. World Intellectual Property Organization (WIPO). Disponível em <http://www.wipo.int/pctdb/en/wo.jsp?wo=2006103387&IA=GB2006000856>. Acessado em 01-08-2009.
[12] Lehtonen, Mikko; Michahelles, Florian; Fleisch, Elgar. Probabilistic Approach for Location-Based Authentication. AutoId Labs. Jul. 2007. Disponível em <http://www.autoidlabs.org/single-view/dir/article/6/284/page.html>. Acessado em 01-08-2009.
[13] Wikipedia. Multi-factor authentication. 2 Jun. 2009. Disponível em <http://en.wikipedia.org/wiki/Multi-factor_authentication>. Acessado em 01-08-2009.
[14] Hoffman, Dennis. Two-factor authentication. ZDNet. Disponível em <http://news.zdnet.com/2422-13569_22-154453.html>. Acessado em 01-08-2009
[15] Schneier, Bruce. The Failure of Two-Factor Authentication. 15 Mar. 2005. Disponível em <http://www.schneier.com/blog/archives/2005/03/the_failure_of.html>. Acessado em 01-08-2009.
Um comentário em “Fatores de autenticação”