Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouÁgata Andrada Alterado mais de 9 anos atrás
1
Introdução Identificação x Autenticação; Identificação não requer autenticação; Autenticação requer identificação; Usar hash para senhas. Ex. SHA-2;
2
Momento da Autenticação O quanto antes; Usuário não deve fazer nada sem autenticação; Usuário pode tentar acessar informações sem passar pelo sistema: –Ex. acesso direto à base de dados, sem autenticar no sistema.
3
Impossibilidade de Fraude Administrador não pode saber a senha do usuário; Prevenção de ataque de replay; –Na rede; –Utilizar data e hora;
4
Reautenticação Autenticar sempre que o sistema ficar parado por muito tempo; Autenticar sempre que algo crítico for executado; Mensagens de autenticação: cuidado para não dar pistas nas mensagens; –Mensagens de erro;
5
Quando usar autenticação? Usuário deve ser responsabilizado por seus atos; As informações dos usuários são confidenciais; Deseja-se mecanismo de controle de acesso;
6
ISO 15408 Identificação do usuário (FIA_UID); Autenticação do usuário (FIA_UAU); Tratamento de falhas de autenticação (FIA_AFL);
7
Auditoria de Identificação Mínimo: insucessos na identificação do usuário; Básico: qualquer uso dos mecanismos de identificação;
8
Auditoria de Autenticação Mínimo: –Falha na autenticação; –Fraude nos dados; –Reutilização de dados; Básico: –Todo uso da autenticação e reautenticação; –Todas as decisões tomadas; Detalhado: tudo que foi feito antes da autenticação;
9
Dados para autenticação Identificação; Dado de autenticação; Prazo de validade; Prazo para emitir alerta de alteração de dados para o usuário; Flag de conta bloqueada; Data e hora de liberação de bloqueio;
10
Requisitos de Senha Número mínimo de caracteres; Letras, números e sinais; Não usar dados do usuário;
11
Auditoria de Definição de Senhas Mínimo: rejeição de senhas; Básico: rejeição ou aceitação de senhas; Detalhado: informação de alterações nas métricas de geração e verificação;
12
Autenticação entre sistemas As vezes um sistema autenticado chama outros sistemas; O sistema chamado pode confiar na autenticação do primeiro; Uma opção é o primeiro sistema se autenticar novamente no segundo através de outra conta pré-definida; –Ex. sistemas de banco de dados;
13
Auditoria de Usuário ligado ao sistemas Mínimo: falha na criação de processo com a informação do usuário; Básico: todas as ligações de processos com o usuário; Obs: ligação de processo é o relacionamento de um sistema com outro sistema.
14
Opções de Autenticação Autenticação Básica: –Muito fraca; –Definida na RFC 2617; –Usuário e senha em base 64;
15
Opções de Autenticação Autenticação de hash ou de resumo: –RFC 2617; –Senha não trafega em texto plano; –Usa Hash; –Usado em LDAP; IMAP; POP3 e SMTP;
16
Opções de Autenticação Autenticação Microsoft passport: –Autenticação centralizada da microsoft; –Usado pelo hotmail e msn; –Para desenvolver, usar o Passport Software Development Kit: www.passport.com;www.passport.com –ASP.NET suporta o passport; –IIS 6 também suporta;
17
Opções de Autenticação Autenticação do Windows –Suporta 2 protocolos: NTLM e Kerberos; –Suportados pela Security Support Providers Interface (SSPI); –Kerberos 5 é definido em RFC 1510; –Kerberos é considerado mais seguro do que o NTLM
18
Opções de Autenticação Assinatura Digital:
19
Atividade Desenvolver implementação de autenticação com hash –Cadastramento da senha com persistência do hash –Comparação do hash na entrada do sistema
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.