No controle de acesso é possível identificar duas categorias:
- Sistema (system access controls)
- Dados (data access controls)
Controles de acesso de sistema
Eles protegem o sistema inteiro e provêem a primeira linha de defesa para os dados contidos no sistema. A proteção destes se dá ao restringirem o acesso ao sistema.
Eles podem prover o AAA mas são mais conhecidos pela autenticacão.
A autenticação é baseada em qualquer um dos três fatores:
a) Algo que você conhece (something you know)
Se baseia no fato de que apenas o dono da conta tem o conhecimento de uma senha ou código de identificação necessário para acessar a conta.
b) Algo que você possui (something you have)
Se baseia no fato de que apenas o dono da conta tem a posse de uma chave para acessar a conta. Essa chave é comumente um smartcard ou token card
c) Algo que você é (something you are)
Se baseia no fato de que só você é você! 
Ou seja, só você tem a sua impressão digital, iris, voz etc.
Autenticação é então baseada em algo que você conhece, tem ou é!
Autenticação de dois fatores (two factor-authentication) utiliza quaisquer dois fatores dos descritos acima. Autenticação de três fatores utiliza todos os fatores vistos.
Identificação e autenticação
O componente de identificação é normalmente simples, baseado em um nome de usuário, endereço MAC (medium access control), endereço IP ou identificador de processo.
Os únicos requisitos para a identificação é que eles possam identificar de maneira única o usuário e não deve identificar a posição do mesmo dentro do sistema/organização.
Lembrando que identificação é o ato de reivindicar uma identidade e autenticação é o ato de verificar essa identidade!
Senhas e frases secretas
A senha é o mecanismo mais comum para autenticação. A frase secreta é uma variação que usa uma sequencia de palavras em vez de uma só.
Problemas com senhas e frase secretas:
a) Inseguras
- natureza humana – os usuários tendem a escolher senhas que são fáceis de lembrar (e consequentemente fáceis de se advinhar). Os usuários tem a tendência de escrever a senha ou compartilhar com outros
- transmissão e armazenamento – alguns aplicativos e protocolos transmitem a senha em texto puro (clear text) ou a armazenam sem estar criptografada ou usando um hash fraco
b) Facilmente quebradas
Senhas são alvo de ataques por força bruta e de dicionário
c) Inconvenientes
Digitar a senha pode ser cansativo para usuários que tem que fazê-lo muitas vezes. É comum que por conta disso o usuário escolha uma senha muito pequena, de fácil digitação, ou se recusem a travar a estação enquanto estiverem ausentes.
d) Refutáveis
Transações autenticadas apenas com a senha não necessariamente incluem mecanismos para provar a identidade do usuário. Assim falham ao prover a não repudiação.
Controles e gerenciamento de segurança aplicado a senhas
Alguns controles que podem (e devem) ser aplicados em sua política de segurança:
- Tamanho : quanto maior melhor já que a senha nada mais é do que uma chave de criptografia. No mínimo de 6 ou 8 caracteres
- Complexidade : quanto mais difícil melhor (do ponto de vista da segurança). Usar letras maiúsculas e minúsculas, números e caracteres especiais (tais como @) ajudam.
- Validade : Toda senha deve ter um limite máximo de validade que força que o usuário tenha que alterá-la periodicamente. Prazos como 30,60 ou 90 dias são recomendados. Recomenda-se também um tempo mínimo de 1 dia para evitar que o usuário altere a senha e evite o próximo controle
- Histórico : O sistema deve ser capaz de se lembrar das últimas 5 senhas e com isso evitar que o usuário (forçado pelo item anterior) escolha a mesma senha ou fique fazendo ciclos.
- Limitar tentativas : O sistema deve limitar o número de tentativas sem sucesso para acessar uma conta. É composto de dois componentes : um limite (counter threshold) e tempo de reset (counter reset). Ex. counter threshold = 3 e counter reset = 30 minutos. Se houver 3 tentativas sem sucesso no período de 30 minutos a conta é bloqueada.
- Duração de bloqueio : Define a duração de tempo na qual uma conta não pode ser acessada depois de se ultrapassar o limite de tentativas sem sucesso.
- Período de acesso : Define o período do dia no qual o usuário pode fazer o acesso.
- Mensagens de sistema :
Desabilitar os banners de logon
Desabilitar funcionalidade que exibe o login que realizou acesso com sucesso pela última vez
Exibir o último acesso com sucesso
Além das senhas e frases secretas é comum o uso de números de identificação pessoal (PIN) e de biometria.
Enquanto o PIN é um número com 4 dígitos e a biometria se baseia em características do usuário que deseja se autenticar e será vista no próximo blog.
