No arsenal de tecnologias para uso do controle de acesso vimos que a biometria provê um grau de segurança a mais quando relacionada a autenticação de dois ou três fatores. Além da biometria outras formas como senhas de um único uso (one-time password) e tokens podem ser usadas.
One-time password
One-time password é uma senha que só é valida para uma sessão de logon. Ela é considerada dinâmica pois muda em intervalos regulares ou segundo algum evento. A senha dinâmica provê o mais alto nível de segurança para esse tipo de controle de acesso.
Os tokens e o protocolo S/key são exemplos de implementações de one-time password.
Tokens
Tokens são dispositivos de controle de acesso tais como smart cards, cartões magnéticos que armazenam senhas estáticas (ou certificados digitais) ou geram senhas dinâmicas.
Os tipos de tokens são :
a) Tokens de senhas estáticas
Armazenam senhas estáticas ou certificados digitais
b) Tokens de senhas dinâmicas síncronas
Geram continuamente senhas dinâmicas em intervalos de tempo regulares (ex. a cada 60 segundos) ou decorrentes de um evento (pressionar de um botão). Tipicamente a senha gerada só é válida durante uma janela de tempo e para um logon.
c) Tokens de senhas dinâmicas assíncronas
Geram as senhas ao calcular a resposta correta para um desafio gerado aleatoriamente pelo sistema. O sistema ao qual você deseja ter acesso irá gerar um desafio e você deve informar o mesmo no dispositivo e ele irá gerar uma resposta que deve ser usada para efetuar o logon.
Single sign-on (SSO)
Com o advento do crescimento do número de sistemas e dado o ambiente heterogêneo encontrado nas empresas, o usuário médio é apresentado a um grande número de contas, uma para cada sistema.
Isso como já vimos tem duas desvantagens:
- Usuários com várias contas tendem a escolher senhas mais frágeis
- Multiplas contas afetam a produtividade já que são várias contas para serem criadas, mantidas, resetadas etc.
Para auxiliar nesse sentido sistemas que ofereçam SSO auxiliam no processo. Dentre os sistemas de SSO mais conhecidos estão:
- Kerberos
- SESAME
- KryptoKnight
Metodologias de implantação de controle de acesso
As metodologias de controle de acesso são normalmente classificadas como centralizadas ou descentralizadas.
- Centralizadas
LDAP – Provê serviços para autenticação de usuários e recursos.
RAS (Remote Access Service) – Utilizam protocolo PPP para encapsular pacotes IP.
RADIUS (Remote Authentication Dial-in User Service) – Utiliza UDP para enviar usuário e senha para o servidor realizar autenticação
TACACS (Terminal Access Controller Access Control System) – Provê o AAA (Authorization, Authentication e Accountability)
- Descentralizados
Nos sistemas descentralizados a localização das informações do usuário estão espalhadas em localizações diferentes e mantidas por administradores distintos.
No próximo post encerraremos esta introdução ao controle de acesso ao discutirmos sobre os métodos de ataque e controles de acesso de dados.
