Regularmente ouvimos e lemos histórias de roubos a bases de dados de passwords, ataques de phishing, malware que recolhe tudo o que escreve com o seu teclado e até dispositivos que copiam cartões de crédito instalados em caixas Multibanco ou nos terminais de pagamento em lojas.

Para os que aprendem melhor ouvindo, recomendamos o podcast que criámos dedicado ao tema, aqui.

 

Algo que possui

Este é, habitualmente, o segundo fator a ser combinado com algo que conhece. Existem dois tipos principais de tokens:

• Os que podem ser utilizados online (baseados em pergunta-resposta).
• Os que podem ser utilizados offline (baseados em tempo, sequências ou utilização única).

Tokens online

Os tokens online, oferecem regularmente a possibilidade de participar num desafio pergunta-resposta do servidor, e assinar digitalmente a resposta para tornar a transação "à prova de manipulações".

Imagine um smartcard, como o chip e o PIN dos cartões de crédito. Em vez de transmitir um número estático como um cartão de crédito tradicional, o chip é capaz de assinar de forma criptográfica uma transacção que "diz", por exemplo: "Autorizo a transferência de 20€ da minha conta para a da Sophos".

Isto impede que um ladrão gaste 500€ noutro local, porque é incapaz de obter as chaves para assinar a transação.

A maioria dos smartcards utilizam certificados X.509 para assinar transações, semelhantes ao método como assina digitalmente um e-mail ou um fabricante assina o seu software.

Os tokens online ainda são suscetíveis a ataques do tipo man-in-the-middle, e exigem uma ligação direta à entidade para autenticar o seu detentor.

Tokens offline

Os tokens offline funcionam "fora da rede", isto é, sem ligação direta à entidade que solicita a autenticação, geralmente partilhando uma chave secreta.

Existem três tipos principais de tokens offline: baseado em tempo, em sequência e em utilização única.

Se alguma vez utilizou o Google Authenticator ou um token RSA, já sabe o que é um token baseado em tempo. São dispositivos alimentados por pilha, que calculam o atual número de segundos que decorreram desde o dia 1 de Janeiro de 1969 e apresentam parte do resultado num ecrã, geralmente seis dígitos. A assinatura utiliza uma chave secreta entre a entidade que autentica, e o token. Isto permite ao autenticador calcular o valor no ecrã, e garantir que corresponde ao que for introduzido.

Este é um dos motivos porque os clientes da RSA ficaram tão preocupados, quando surgiram rumores de que hackers comprometeram as suas bases de dados criptográficas. Isto poderia permitir que o indivíduo em posse dos segredos roubados, previsse o que surgiria nos ecrãs dos tokens correspondentes.

Outro tipo de token é o que se baseia em sequências. A ideia é ter uma lista de números previamente aprovados, como uma password de utilização única. Se alguém espiasse as suas comunicações, não saberia qual o próximo número válido na sequência. Embora fosse possível obter de forma ilegítima o número correto, isso não permitiria continuar a comprometê-lo no futuro.

O último método popular são as passwords de utilização única, que podem ser inquebráveis se utilizadas apropriadamente, e a sua implementação moderna pode ser realizada por SMS ou contar com um telefonema automático, que lhe fornece um token de autenticação que só pode ser utilizado uma vez.

Semelhantes a outros tokens offline, também podem ser obtidos ilegitimamente mas oferecem uma barreira de entrada reduzida, e o utilizador não necessita de possuir um dispositivo dedicado.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.