Espaço Sophos : «Tudo o que necessita saber sobre autenticação de dois fatores: Parte 4»

João Fernandes Por
Fev. 06, 2014
Espaço Sophos : «Tudo o que necessita saber sobre autenticação de dois fatores: Parte 4»
Especiais

Este é um tema algo em voga, e de que nós próprios falámos nalguns artigos, mas cujo nome pouco dá a entender aquilo de que efetivamente se trata e como funciona. Mas a Sophos e a BSPI vão esclarecer todas as suas questões relativamente a este assunto.

Neste artigo, tencionamos cobrir os principais aspetos da autenticação de dois fatores, incluindo o que é, como funciona e onde pode utilizá-la.

 

Regularmente ouvimos e lemos histórias de roubos a bases de dados de passwords, ataques de phishing, malware que recolhe tudo o que escreve com o seu teclado e até dispositivos que copiam cartões de crédito instalados em caixas Multibanco ou nos terminais de pagamento em lojas.

Para os que aprendem melhor ouvindo, recomendamos o podcast que foi dedicado ao tema, aqui.

Prós e contras

 

A autenticação de dois fatores não é uma panaceia, mas melhora significativamente a segurança por um esforço razoavelmente curto.

Existem alguns assuntos centrais, e o mais relevante é o custo. Aqui estamos perante uma situação 80-20 (o princípio de Pareto). Sempre que adiciona um segundo fator obtém cerca de 80% do benefício, simplesmente implementando qualquer fator adicional. Se pretender preocupar-se em recuperar os restantes 20%, gastará uma quantia crescente de dinheiro e inconvenientes para os obter.

Os tokens offline, como os da RSA, Yubikey, entre outros, são razoavelmente seguros mas têm um custo por utilizador moderado (20 a 100 dólares/utilizador).

Muitos dos seus utilizadores esquecer-se-ão de os trazer consigo ou acabarão por perdê-los, aumentando tanto o trabalho como o custo por utilizador com o passar do tempo.

A maioria dos utilizadores prefere utilizar o próprio telemóvel como token, seja na forma de uma aplicação, SMS ou mesmo um telefonema automático. Mas este método apenas proporciona o máximo valor, se o dispositivo em que for obtido não for o mesmo com que se está a autenticar.

Se iniciar sessão no serviço a partir do seu telemóvel e também receber o token nesse mesmo dispositivo, voltará a ter um único ponto falível. Se o seu telefone for comprometido, tudo será comprometido.

A maioria das soluções de dois fatores são vulneráveis a ataques do tipo man-in-the-middle ou man-in-the-browser, mas não deixe que isso o desencoraje. No pior cenário, apenas ficará vulnerável numa única transação e não a um acesso ilícito contínuo, como aquele que pode ocorrer com um fator único, como uma password.

Aumentar a dificuldade para os atacantes com um fator significativo, valerá sempre a pena. Como utilizadores de serviços, provavelmente não teremos possibilidade de escolha relativamente aos tipos de dois fatores que estiverem estabelecidos, pelo que o nosso conselho é que tire partido daqueles que forem oferecidos.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.

Classifique este item
(0 votos)
Ler 1570 vezes
Mais nesta categoria: « Espaço Sophos : «Tudo o que necessita saber sobre autenticação de dois fatores: Parte 3» Espaço Sophos : «Tudo o que necessita saber sobre autenticação de dois fatores: Parte 5» »

Últimas de João Fernandes

Top