Na LOBA desenvolvemos projetos que visam dar resposta às necessidades de comunicação das organizações, seja com os seus clientes, colaboradores ou parceiros de negócio.
As áreas reservadas são um exemplo de sistemas de informação que valorizam essa comunicação. Enquanto consultores procuramos aconselhar e conduzir os nossos clientes a seguirem as melhores práticas de segurança durante o desenvolvimento destes projetos. Um dos aspetos mais relevantes é a garantia de uma autenticação segura.
O acesso a conteúdos exclusivos de um utilizador num sistema informático está condicionado à validação da identidade do próprio utilizador. Podemos ter, pelo menos, 3 formas de garantir segurança na autenticação, que podem inclusive serem utilizadas mutuamente. Para validar uma autenticação segura é necessário que um destes estados esteja garantido:
- credenciais de acesso, que só o utilizador sabe (password);
- algo que o utilizador possui (2FA)
- algo que o utilizador é.
As credenciais de acesso, vulgarmente conhecidas por login e password, são a forma de autenticação segura mais básica. Pressupõe-se que a password seja um conjunto de caracteres que apenas o utilizador sabe. Neste capítulo, a segurança na autenticação não está apenas dependente da tecnologia que a suporta, mas está também na palavra-chave que o utilizador definiu. Por isso, algumas boas práticas devem ser consideradas:
- Devem possuir mais de 10 caracteres;
- Pelo menos um caractere maiúsculo;
- Pelo menos um caractere minúsculo;
- Pelo menos um dígito;
- Pelo menos um caractere especial (pontuação).
A autenticação em 2 fatores (2FA) implica que a autenticação seja feita em 2 passos. O primeiro passo consiste na validação de credenciais de acesso. Estando estes dados validados, num segundo passo é disponibilizada uma chave ao utilizador – por exemplo, um conjunto de algarismos ou caracteres, conhecido por token – através de outro meio externo à aplicação. Será validado, então, neste passo. Tipicamente, o token é gerado exclusivamente para aquele acesso e possui uma validade temporal limitada, prevenindo ataques de força bruta.
Uma forma de disponibilizar o token é através do envio de uma SMS ou e-mail para o utilizador. Desta forma, fica garantido que apenas o utilizador que está a tentar autenticar-se tem o token para a respetiva tentativa de autenticação. Um cartão com um ou vários códigos que seja único para o seu portador é também considerado um meio de disponibilização de um token – por exemplo, um cartão matriz de uma instituição bancária. O Google Authenticator é uma aplicação para telemóvel que disponibiliza tokens válidos por 30 segundos. Esta aplicação usa o serviço de autenticação em 2 fatores da Google que necessita de ser previamente integrado com os sistemas.
Fonte: http://www.expertreviews.co.uk/
Recentemente, desenvolvemos na LOBA um projeto para um cliente cuja autenticação requer 2 passos. Após a inserção de login e password surge ao utilizador uma interface para a inserção de um código que recebe por SMS. Até inserir um código válido, o utilizador não conseguirá aceder a nenhum conteúdo da plataforma. Inclusive, se falhar um determinado número de tentativas, será obrigado a aguardar alguns segundos até poder voltar a tentar. Adicionalmente, este código expirará ao fim de alguns minutos.
Por fim, temos a biometria como forma de autenticação a partir de características físicas ou comportamentais que são únicas de um indivíduo. Alguns exemplos de autenticação por biometria são a leitura de impressão digital, reconhecimento facial ou leitura da íris dos olhos.
Fonte: https://www.gemalto.com
Independentemente da(s) forma(s) de autenticação usada num sistema, o utilizador deve sempre garantir a confidencialidade dos seus dados. De uma forma geral, grande parte das fugas de informação e acessos indevidos têm como base a falha humana. Se regista todos os seus dados de acesso numa agenda em papel, com todas as suas passwords e perder a sua agenda poderá estar a colocar em risco, não só o acesso às suas contas pessoais bem como estar a potenciar perdas de informação, perdas de cariz monetário e/ou roubo de identidade.
Outro erro comum é a utilização das mesmas credenciais para todos os seus serviços – Email, Facebook, Homebanking. Sempre que possível, utilize passwords aleatórias diferentes para cada um dos seus serviços.
Na LOBA procuramos aconselhar os nossos clientes a escolherem e adotarem as práticas de segurança recomendadas para os seus projetos. Por isso, estamos continuamente a estudar as melhores práticas. No que toca à segurança, é sempre preferível ser proativo do que reativo.
