O processo de autenticar usuários consiste em determinar se um usuário é quem ele afirma ser[1] e este processo tradicionalmente depende de três fatores: algo que você tenha (ex. Um token), algo que você seja (ex. impressão digital, retina), e algo que você saiba (ex. uma senha)[2]. Para realizar este processo são utilizados um ou mais fatores onde cada um é um pedaço de informação utilizado para autenticar ou verificar a identidade de uma pessoa em um procedimento de segurança para garantir direitos de acesso individuais a cada usuário de um dado sistema[3,4]. Continue lendo Fatores de autenticação
Arquivo da tag: segurança
Resenha: Ten risks of PKI – What you’re not being told about Public Key Infrastructure
PKI (Public Key Infrastructure) ou ICP (Infraestutura de chave pública) é um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados digitais[1]. Baseado no principio da terceira pessoa confiável (TTP – Trusted Third Party), o PKI, ou ICP, oferece uma mediação de credibilidade e confiança em transações entre partes que utilizam certificados digitais[1,2,3].
Embora este método tenha sido adotado há alguns anos com relativo sucesso, há quem questione-o causando certo desconforto as empresas e instituições que de alguma maneira estão envolvidas neste processo, seja usando certificados ou seja registrando-o e mantendo-o. Continue lendo Resenha: Ten risks of PKI – What you’re not being told about Public Key Infrastructure
Resenha: Criptografia Quântica
Criptografia é um técnica largamente empregada para garantir o sigilo de dados transmitidos e/ou armazenados, seja em meios digitais (armazenamento em mídias digitais, discos, fitas magnéticas etc), seja por meios manuais e mecânicos (escrita em papel, pergaminho etc), como era feita nos primórdios da criação destas técnicas que segundo a história datam de até 600A.C. Com as técnicas conhecidas como chave Atbash e chave de Caesar.
Com a evolução da computação aquelas primeiras técnicas tornaram-se extremamente inseguras e servem atualmente apenas como ponto de partida para iniciar-se os estudos nesta área. Com isso novas técnicas cada vez mais sofisticada e avançadas foram criadas, mas com o advento da computação quântica até mesmo estas novas técnicas estão condenadas a insegurança, visto que qualquer pessoa de posse de um computador quântico terá em suas mãos poder computacional suficiente para que em poucos segundos consiga quebrar uma chave criptográfica que levaria-se dezenas ou mesmo centenas de anos com a computação clássica. Continue lendo Resenha: Criptografia Quântica
Segurança em ambientes virtualizados
Os departamentos de TI estão sob uma imensa pressão para entregar mais funcionalidade e capacidade em um período em que gastos estão sendo reajustados e os custos se elevando. O volume de gastos com energia e refrigeração de servidores, juntos com a dor de cabeça de gerenciar data-centers em franca expansão fazem desta tarefa um sério desafio. Investir em escalabilidade da maneira tradicional possui custos proibitivos e não é sustentável, o que causa um retorno as estratégias para um departamento de TI mais centralizado, integrado e, ultimamente, mais alinhado ao negócio[…]
Assim começa o interessante artigo de Kevin Skapinetz sobre segurança em ambientes virtualizados. O texto, disponível no site da Help Net Security e entitulado “Securing virtualized environments“[1] está em inglês mas é de leitura bem simples e agradável até mesmo para aqueles que dependem do dicionário bilíngue para entender o seu conteúdo.
Sem apresentar um parecer contra ou a favor da nova onda que está entrando pra ficar de vez nos nossos CPDs, o autor apresenta de forma sucinta, clara e direta os prós e os contras desta técnica.
Se a sua empresa ainda não se decidiu a favor ou contra esta tecnologia este será um bom ponto de partida para começar o seu estudo de viabilidade.
[1] Skapinetz, Kevin. Securing virtualized environments. Help Net Security. Aug. 2009. Disponível em <http://www.net-security.org/article.php?id=1278&p=1>. Acesso em 15-08-2009.