Sistema de Identificação OpenID

Slides:



Advertisements
Apresentações semelhantes
Como fazer um blog?.
Advertisements

Tutorial de Pesquisa Básica de Bibliotecas Acadêmicas
Site de relacionamento sério
Agentes Inteligentes e Sistemas Cooperativos
Site Pedidos Online - Seção Pedidos Pendentes
Segurança na Internet ou Intranet
CPU – based DoS Attacks Against SIP Servers
Modelos Fundamentais -> Segurança
Prof.: Sergio Pacheco Linguagem PHP Prof.: Sergio Pacheco 1.
Cadastro sistema acadêmico UFF IDUFF Passo a passo
Emitindo seu Certificado Digital
Emitindo seu Certificado Digital
Carimbo de Tempo ( timestamping )
Programação Web com PHP
LP II Autenticação em ASP.NET
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Jéssica Vieira Jonathan Fried Públio Lima Graduandos Engenharia de Controle e Automação UFRJ – Escola Politécnica.
Estratégias Cliente-Servidor para SIGWeb
Autenticação em Aplicações Web Notas para a disciplina de Segurança Informática Pedro Félix Instituto.
Guia para geração e importação do SPED FISCAL e PIS/COFINS
Rodrigo Cristiano Silva
Sistema de Protocolo Eletrônico Integrado do Poder Executivo - UPO
O que é o .
PROTOCOLOS CRIPTOGRÁFICOS. Introdução aos Protocolos de Segurança Protocolos -Sequência de passos, envolvendo duas ou mais partes, projetados para.
Treinamento AJAX Segurança
DigiSign A solução mais segura para proteção de direitos autorais digitais na publicação e distribuição de e-books.
O que é, exemplos de esquemas, cuidados a ter e como agir.
Gestão de Segurança em Comércio Eletrônico
WEBSITE Como utilizar um site Assistente de Criação
PROGRAMAÇÃO PARA INTERNET Prof.: Jean Carlo Mendes
Data Warehouse para a Saúde Pública: Estudo de Caso SES-SP
Segurança para a Internet no trabalho Proteja a empresa, os clientes e seus dados online.
Segurança e Auditoria de Sistemas
Tutorial: Cadastro.
Segurança da Informação
Protocolos Básicos Autenticação. Protocolos Básicos Esquemas de autenticação São métodos através dos quais alguém pode provar sua identidade, sem revelar.
Controle de Acesso Kerberos
Segurança de dados Palestrante: Pablo Marques. Sumário O que é segurança? Quem é responsável pela segurança? Engenharia Social Formas de ataque Como se.
Correio eletrónico.
1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;
Tema: Internet e Segurança
Web Movies Solução para locadora online. O que veremos 1.Segurança em primeiro lugar 2.Buscas mais rápidas 3.Interface Inovadora 4.Gerenciar nunca foi.
Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle.
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
Introdução Identificação x Autenticação; Identificação não requer autenticação; Autenticação requer identificação; Usar hash para senhas. Ex. SHA-2;
Apache Autenticação por usuário e senha. Introdução O princípio da autenticação é simples. O cliente envia o seu login e sua senha para o servidor Apache.
Curso: Análise e Desenvolvimento de Sistemas Disciplina: Introdução à Informática Assunto: Wordpress Professor: André Moraes Aluno: Bruna Lais Zuge Pelotas,
Meu Espaço corretor Guia Prático de Utilização
INTERNET BÁSICA.
Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri
Segurança da Informação Prof. João Bosco M. Sobral 1 Armazenamento de Chaves Simétricas Criptografia baseada em Senha.
18/04/2017 MODULO: Sistemas Operacional Aula 09 –Vírus e Antivírus
Diagrama Casos de Uso.
FIREWALL.
Serviços de rede e internet Jackson Eduardo da Silva.
Tema 2: Técnicas de desenvolvimento seguro
Linguagem Técnica II SCM Software Configuration Management Aula 03 Prof. Renato Novais
Noções básicas sobre segurança e computação segura
Privacidade <Nome> <Instituição> < >
REDES DE COMPUTADORES II
Ataque ao DNS.
Tutorial de Criação do Perfil Online
Felipe Nunes Flores – Programa de Educação Tutorial.
Programação para Web I AULA 2 BANCO DE DADOS.
Módulo I – Softwares: Vírus de Computadores Parte II Prof.: Rogério Morais.
SISAB e e-SUS AB.
Manual de Instalação e Configuração. Visão geral: O Módulo trabalha por store_view, permitindo assim a integração de varias contas Anymarket com a mesma.
Tutorial: Inclusão de Produção Intelectual no Sipex O presente tutorial visa esclarecer as principais dúvidas sobre o procedimento para inclusão de Produção.
Tutorial Webnode Criando site 1. Registrando Acesse o endereço: e preencha os dados solicitados e clique em Registre-se e crie.
Transcrição da apresentação:

Sistema de Identificação OpenID Vanessa Marques de Assis

Muitas senhas para lembrar O Problema Muitas senhas para lembrar Muitos sites onde preciso inserir meus dados

Usar o mesmo username e senha para todos os sites? O que fazer? Anotar minhas senhas? Usar o mesmo username e senha para todos os sites?

O usuário escolhe seu provedor A solução: OpenID Autenticação Única O usuário escolhe seu provedor Poucos locais com seus dados

Protocolo Agentes

Processo de autenticação Protocolo Processo de autenticação URL ou XRI único Descoberta, redirecionamento e pedido de autenticação Entrada de username e senha

Processo de autenticação Protocolo Processo de autenticação URL ou XRI único Descoberta, redirecionamento e pedido de autenticação Entrada de username e senha e confirmação de informações. Autenticação realizada com sucesso

Autenticação Única Protocolo URL ou XRI único Pedido de autenticação. Verificação do ID da sessão. Permitir autenticação: dessa vez, sempre ou negar Verificação realizada com sucesso

Processo de Descoberta Protocolo Processo de Descoberta Protocolo XRI para a descoberta do documento XRDS Protocolo Yadis para a descoberta do documento XRDS Análise do documento HTML apontado pela URL Ex.: <link rel="openid2.provider" href="http://www.exemplo.org/openid"/>

Protocolo Yadis Protocolo Identificador único: ID Yadis Pedido HTTP Resposta contém uma referência para documento XRDS

Três Cenários Segurança Usuário Malicioso RP Malicioso Provedor Malicioso

Usuário Malicioso Segurança Acessar host interno Ex.: localhost/admin.php?action=sql&query=DROP TABLE user Forçar acesso a host externo Ex.: www.exemplo.com/falhadeseguranca.php?attack=true Inundação e negação de serviço Ex.: Muitos pedidos de autenticação em pouco tempo

Segurança Como evitar? Filtros Não deixe o usuário inserir a URL que quiser Banir excesso de pedidos de autenticação que não passam pelo processo de descoberta Banir muitos pedidos de autenticação em pouco tempo

Segurança RP Malicioso

Segurança Como usuário evita?

Segurança Como provedor evita?

Provedor Malicioso Segurança Privilégios únicos Pode passar-se por usuário Possui informações sobre o usuário

Como evitar? Segurança Provedor de confiança Utilização de domínio próprio Ex.: O domínio http://vanessa.exemplo.net possui em seu HTML o trecho: <link rel="openid2.provider" href="http://www.exemplo.org/openid"/> <link rel="openid2.local_id" href="http://vanessa.exemplo.org"/>

Solução barata e simples de implementar Principais falhas de segurança Conclusão Solução barata e simples de implementar Principais falhas de segurança Popularização é um ponto positivo Não é ideal para alguns tipos de tarefa

Perguntas Quais são os principais problemas que o protocolo OpenID visa solucionar?

Perguntas Quais são os principais problemas que o protocolo OpenID visa solucionar? Com o aumento do número de serviços online, um mesmo usuário acaba tendo diversas contas, precisando decorar muitas senhas diferentes. E como há a necessidade da criação de uma conta para a utilização de cada serviço, acabamos inserindo informações pessoais em websites que por vezes não confiamos ou conhecemos a fim de conseguir uma autenticação para acessá-lo, o que permite que diversos locais tenham acesso a essas informações.

Perguntas 2. Por que a prática de utilizar um mesmo username e senha para diversos sites não é segura?

Perguntas 2. Por que a prática de utilizar um mesmo username e senha para diversos sites não é segura? Essa é uma prática pouquíssimo segura pois basta que um dos websites em que o usuário se inscreveu seja malicioso ou tenha sua segurança violada para que obtenham a autenticação do usuário e, através dela, tenham acesso a outros websites onde o usuário é cadastrado. Sendo assim, a segurança de todos os websites utilizados pelo usuário estará sujeita àquele com menor segurança.

Perguntas 3. Quais são os principais agente envolvidos no protocolo OpenID?

Perguntas 3. Quais são os principais agente envolvidos no protocolo OpenID? Usuário: Pode ser representado pelo navegador utilizado pelo usuário final para acessar um website (relying party) e autenticar-se utilizando uma identidade OpenID obtida de um provedor OpenID de sua escolha Provedor OpenID  (OP): Um servidor de autenticação que fornece uma ou mais identidades para o usuário final e valida as credenciais do usuário para autenticação. O usuário tem liberdade para escolher um provedor OpenID no qual confie Relying Party (RP): O website onde o usuário deseja conectar-se, utilizando um identificador OpenID. Esse identificador será validado pelo provedor OpenID do usuário.

Perguntas 4. O que é phishing e qual agente do protocolo OpenID pode realizar esse tipo de ataque?

Perguntas 4. O que é phishing e qual agente do protocolo OpenID pode realizar esse tipo de ataque? Phishing é uma forma de fraude virtual, onde o atacante faz uma cópia de um website a fim de fazer com que o usuário acredite que se encontra no website verdadeiro para então obter a identidade do usuário e os dados pessoais que ele fornece ao local que ele acredita que seja de sua confiança. No protocolo OpenID, o agente que pode realizar esse tipo de ataque é o RP, falsificando o site do provedor OpenID utilizado pelo usuário com o objetivo de obter seu username e senha.

Perguntas 5. Que medidas o usuário e o provedor podem tomar para se prevenir de fraudes como phishing?

Perguntas 5. Que medidas o usuário e o provedor podem tomar para se prevenir de fraudes como phishing? Para o usuário, uma das maneiras mais rápidas e eficazes de se identificar o phishing é através da análise da URL. Ou seja, é fortemente recomendado que o usuário verifique com atenção a URL do provedor OpenID e confirme que ela de fato está de acordo com a URL original antes de inserir os dados para sua autenticação. Se a URL parecer suspeita, é possível que o RP esteja tentando executar um ataque de phishing. O usuário pode também utilizar complementos em seu navegador que realizem esse tipo de verificação. Já o provedor deve criar uma página de autenticação que seja fácil para que os usuários reconheçam mas que ao mesmo tempo seja difícil para que terceiros falsifiquem. Um exemplo apresentado é o selo de autenticação utilizado pelo Yahoo!.

Fim Obrigada.

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.