Autenticação por dois factores
Olá a todos. Todos estamos a par dos recentes problemas de segurança informática que as instituições portuguesas têm sido vitimas. Boas práticas e investimento em segurança informática é obrigatório nos dias que correm, no entanto, também é do conhecimento geral que nada é 100% infalível pelo que há que fazer o que está ao nosso alcance no que toca à segurança informática e manter a atenção em todos os aspectos dos nossos sistemas para que se consiga eficazmente detectar as actividades suspeitas ou fora do normal.
Como a segurança é responsabilidade de todos vou, neste primeiro post, falar num dos sistemas que nos dias de hoje pode salvar-nos de muitos dissabores no que diz respeito à utilização de sistemas informáticos, a autenticação por dois factores.
O que é a autenticação por dois factores?
A autenticação por dois factores é um termo genérico em que um (ou vários) meios de autenticação são utilizados como complemento à típica combinação Nome de Utilizador + Palavra-Passe. No fundo, é a utilização de um elemento de autenticação adicional, tipicamente único, que atesta que quem está a executar uma dada acção é o utilizador legitimo e não um sujeito a tentar ganhar acesso ilícito a um sistema informático. Existem vários tipos de autenticação por dois factores e a utilização de cada um depende (não só mas também) do nível de segurança oferecido bem como o quão prático é utilizar esse método.
Vamos agora fazer uma viagem pelos tipos principais de autenticação por dois factores.
Em primeiro lugar temos a autenticação por software, a autenticação por software é um dos tipos de autenticação por dois factores mais usados precisamente pela sua facilidade de utilização e, como o nome indica, não necessitar de nenhum equipamento especializado. Tipicamente o serviço que suporta este método de autenticação indica um segredo partilhado ao utilizador; segredo esse que, utilizado em conjunto com um mecanismo temporal, consegue gerar códigos renováveis em intervalos de tempo pré-determinados que permitem autenticar um utilizador. Existem várias aplicações geradoras destes códigos como por exemplo o Microsoft Authenticator, o Google Authenticator e o RSA SecurID Token for Desktop.
De seguida temos a autenticação por hardware, a autenticação por hardware recorre a equipamentos físicos para conseguir autenticar um utilizador. Existindo um segmento de equipamentos cuja função é igualmente gerar códigos similares aos da autenticação por software, estes funcionam de maneira diferente pois é o utilizador que fornece ao serviço o identificador do equipamento físico em vez de ser o serviço a fornecer o segredo partilhado, como exemplo deste tipo de equipamento existe o RSA SecurID Token. Outro segmento destes equipamentos físicos pressupõe a ligação do equipamento ao local onde o utilizador está a autenticar-se e a informação trocada entre esses dois elementos permite que a autenticação termine com sucesso. Como exemplos destes equipamentos existem as YubiKey que são dispositivos que se inserem na porta USB de um equipamento, e através da utilização de processos matemáticos (conhecidos como algoritmos criptográficos) autenticam o utilizador. Um outro sistema que na prática utiliza os mesmos processos matemáticos que as YubiKey são os chamados cartões inteligentes que, fazendo uso do chip existente no próprio cartão, são capazes de executar os processos matemáticos que permitem autenticar o utilizador. O exemplo que o cidadão português terá mais presente deste tipo de cartões é o Cartão de Cidadão da República Portuguesa que, se o cidadão o desejar, têm a capacidade de assinar documentos digitalmente com validade legal em território português.
Seguidamente temos um dos métodos mais utilizados, a autenticação biométrica. Este mecanismo utiliza elementos do corpo humano para autenticar um utilizador. Estes elementos podem ser variados como a impressão digital, verificação ocular, verificação vocal ou uma verificação das feições da face do utilizador. Exemplos conhecidos destas tecnologias são o Touch ID e o Face ID para validação da impressão digital e da cara do utilizador respectivamente.
Existem outros métodos que não se enquadram nos referidos acima mas não é por isso que são menos válidos. O primeiro chama-se Cartão Matriz em que o utilizador recebe um cartão com um conjunto de elementos, tipicamente identificados por coordenadas, coordenadas essas que o serviço requisita ao utilizador e se os valores indicados corresponderem aos valores esperados determina-se que o utilizador é detentor do cartão e por isso o utilizador legitimo. Por fim, talvez o método mais utilizado de todos, a autenticação por SMS; neste método o serviço envia uma SMS para o telemóvel do utilizador, previamente registado e validado, durante o processo de autenticação e se o utilizador sob autenticação conseguir introduzir o código que o sistema acabou de enviar, assume-se que o detentor do telemóvel é o utilizador legitimo do serviço.
Assim termina o primeiro post deste blog. Espero que o conteúdo seja acessível a todos e que com esta leitura consigam perceber que este sistema fortalece significativamente a segurança dos vossos sistemas e que num futuro próximo possam começar a utilizar este sistema sempre que seja possível.
Saudações a todos,
Rui
