SecureCloud WisePlant o uso de autenticação de casal e / ou múltiplo fator é seletiva (obrigatório para determinados perfis de usuário) e / ou mediante solicitação (o usuário deve solicitar que ativar os recursos de segurança adicionais).

Que bom seria ter um mecanismo duplo ou multifatorial que podemos usar em todos os diferentes sistemas e aplicações, que seja bom e eficaz o suficiente para verificar a identidade e prático, ágil e simples o suficiente! Na WisePlant estamos comprometidos com a segurança, mas também assumimos o desafio de implementar e promover o uso de métodos e técnicas que tornem nossas vidas mais simples, eficazes e produtivas.

A autenticação multifatorial (MFA) é um método de autenticação no qual o acesso é concedido a um usuário somente após apresentar corretamente duas ou mais evidências (ou fatores) a um mecanismo de autenticação: conhecimento (algo que apenas o usuário conhece) , possessão (algo que só o usuário tem), e herança (algo que só o usuário é).

A autenticação de dois fatores (também conhecida como 2FA) é um tipo ou subconjunto de autenticação multifator. É um método para confirmar as identidades reivindicadas pelos usuários, combinando uma combinação de dois fatores diferentes: 1) algo que eles sabem, 2) algo que eles têm, ou 3) algo que eles são.

Um bom exemplo de autenticação de dois fatores é a retirada de dinheiro de um caixa eletrônico; somente a combinação correta de um cartão bancário (algo que o usuário possui) e um PIN (algo que o usuário conhece) permite que a transação seja feita.

Outros exemplos podem ser para completar uma senha controlada pelo usuário com uma senha de uso único (OTP) ou um código gerado ou recebido por um dispositivo (por exemplo, um token de segurança ou um smartphone) que somente o usuário possui.

Muitas pessoas evitam a configuração dupla ou multifatorial porque é incômoda e requer mais tempo, quando na realidade isso é falso dependendo do método usado. É uma questão de prática e bom hábito. Quando você se familiarizar com o assunto e a prática for adquirida, a segurança aumentará significativamente e os métodos existentes serão ainda mais ágeis e rápidos do que o simples uso da senha.

Verificação ou autenticação em duas etapas é um método para confirmar a identidade reivindicada de um usuário usando algo que eles conhecem (senha) e um segundo fator diferente de algo que eles têm ou algo que eles são. Um exemplo de um segundo passo é o usuário repetindo algo que foi enviado a eles através de um mecanismo fora de banda. Ou a segunda etapa poderia ser um número de seis dígitos gerado por um aplicativo comum ao usuário e ao sistema de autenticação.

A tabela mostra os diferentes tipos e métodos de autenticação do usuário e o nível de segurança que cada um desses métodos fornece.

Todos esses métodos podem ser usados ​​no SecureCloud. Os métodos são oferecidos de acordo com o perfil do usuário, a criticidade das informações que cada usuário gerencia e o contrato de serviço contratado.

Fatores de AutenticaçãoDefinições, tipos, métodos e técnicas

O uso de vários fatores de autenticação para comprovar a identidade é baseado na premissa de que é improvável que um ator não autorizado possa fornecer os fatores necessários para o acesso. Se, em uma tentativa de autenticação, pelo menos um dos componentes estiver ausente ou for fornecido incorretamente, a identidade do usuário não for estabelecida com certeza suficiente e o acesso ao ativo protegido pela autenticação de vários fatores permanecerá bloqueado. Os fatores de autenticação de um esquema de autenticação multifatorial podem incluir:

  • Algum objeto físico na posse do usuário, como um pen drive com um token secreto, um cartão bancário, uma chave etc.
  • Algum segredo conhecido pelo usuário, como senha, PIN, TAN etc.
  • Algumas características físicas do usuário (biometria), como uma impressão digital, íris ocular, voz, velocidade de digitação, padrão em intervalos de imprensa, etc.
  • Em algum lugar, como conectar-se a uma rede de computadores específica ou usar um sinal de GPS para identificar o local.

Fatores de ConhecimentoAlgo que só o usuário conhece

Os fatores de conhecimento são a forma de autenticação mais usada. Nesta forma, o usuário deve provar o conhecimento de um segredo para autenticar.

O uso de senhas e questões de segurança são os métodos de verificação e autenticação mais fracos que existem. O uso de fatores de segurança duplos ou múltiplos significa que a responsabilidade pela segurança não depende inteiramente de uma senha. Em um bom sistema de segurança, o uso da senha vai para um nível completamente secundário e, às vezes, quase irrelevante.

Uma senha é uma palavra secreta ou sequência de caracteres usada para autenticação do usuário. Esse é o mecanismo de autenticação mais usado. Muitas técnicas de autenticação multifator dependem da senha como um fator de autenticação. As variações incluem as mais longas, formadas a partir de várias palavras (uma frase secreta) e o número de identificação pessoal (PIN) puramente numérico mais curto, comumente usado para acesso a caixas eletrônicos. Tradicionalmente, espera-se que as senhas sejam memorizadas.

O grande número de sistemas e aplicativos que usamos diariamente requer autenticação do usuário por meio de senha complexa. Isso provoca nos usuários a necessidade de aplicativos para armazenar senhas, reutilizar senhas em tantos lugares quanto possível e até mesmo exigir algum tempo para seu uso, armazenamento e consulta.

Muitas perguntas secretas como "Onde você nasceu?" eles são exemplos insatisfatórios de um fator de conhecimento porque podem ser conhecidos por um amplo grupo de pessoas ou podem ser investigados.

Existem aplicações no mercado negro que são muito boas para descobrir as chaves usadas pelas pessoas. Razão pela qual muitas contas são violadas dia após dia com grande facilidade. Isso não é para mencionar quando um certo é hackeado e todos os nossos dados pessoais são expostos.

Fatores de posseAlgo que só o usuário tem

Fatores de posse ("algo que o usuário e apenas o usuário tem") têm sido usados ​​para autenticação há séculos, na forma de uma chave para uma fechadura. O princípio básico é que a chave incorpora um segredo que é compartilhado entre a fechadura e a chave, e o mesmo princípio fundamenta a autenticação do fator de posse em sistemas de computador. Um token de segurança é um exemplo de fator de posse.

Tokens desconectados

O conhecido RSA SecurID Token é um exemplo de gerador de tokens desconectado. Os cartões de coordenadas são outro exemplo. Os tokens desconectados não têm conexões com o computador cliente. Eles geralmente usam uma tela interna para exibir os dados de autenticação gerados, que o usuário digita manualmente.

Tokens conectados

Os tokens conectados são dispositivos fisicamente conectados ao equipamento que será usado. Esses dispositivos transmitem dados automaticamente. Existem vários tipos diferentes, incluindo leitores de cartões, tags sem fio e tokens USB.

Token de Software

Um token de software (também conhecido como token Soft) é um tipo de dispositivo de segurança de autenticação de dois fatores que pode ser usado para autorizar o uso de serviços de computador. Os tokens de software são armazenados em um dispositivo eletrônico de finalidade geral, como um computador de mesa, um laptop, um PDA ou um telefone celular, e podem ser duplicados. (Contrastam tokens de hardware, onde as credenciais são armazenadas em um dispositivo de hardware dedicado e, portanto, não podem ser duplicadas (ausência de invasão física do dispositivo)). Um token suave pode não ser um dispositivo com o qual o usuário interage. Um certificado carregado no dispositivo e armazenado de forma segura também pode servir a esse propósito.

Fatores InerentesAlgo que apenas o usuário é

Esses são fatores associados ao usuário e geralmente são métodos biométricos, como reconhecimento de impressões digitais, face, voz ou íris. Você também pode usar dados biométricos comportamentais, como a dinâmica de pressionamento de tecla.

Fatores de localizaçãoLocalização baseada em

Uso de CelularesAnálise de suas vantagens e desvantagens

Muitos provedores de autenticação multifator oferecem autenticação baseada em telefones celulares. Alguns métodos incluem autenticação baseada em inserção, autenticação baseada em código QR, autenticação de senha exclusiva (baseada em evento e baseada em tempo) e verificação baseada em SMS. A verificação baseada no SMS sofre alguns problemas de segurança. Os telefones podem ser clonados, os aplicativos podem ser executados em vários telefones e a equipe de manutenção de telefones celulares pode ler textos SMS. Não menos importante, os telefones celulares podem ficar comprometidos em geral, o que significa que o telefone não é mais algo que só o usuário tem.

A principal desvantagem da autenticação, incluindo algo que o usuário tem é que o usuário deve carregar o token físico (o pen drive, cartão bancário, chave ou similar), praticamente em todos os momentos. Perda e roubo são riscos. Muitas organizações proíbem o transporte de dispositivos USB e eletrônicos dentro ou fora das instalações devido a malware e aos riscos de roubo de dados, e a maioria das principais máquinas não tem portas USB pelo mesmo motivo. Os tokens físicos normalmente não escalam, geralmente exigindo um novo token para cada nova conta e sistema. A aquisição e subsequente substituição de fichas deste tipo implica custos. Além disso, existem conflitos inerentes e inevitáveis ​​compensações entre usabilidade e segurança.

A autenticação de telefonia móvel em duas etapas envolvendo dispositivos como telefones celulares e smartphones foi desenvolvida para fornecer um método alternativo que evitasse tais problemas. Para autenticar-se, as pessoas podem usar seus códigos de acesso pessoais ao dispositivo (isto é, algo que apenas o usuário individual conhece), além de uma senha dinâmica única e válida, que geralmente consiste de 4 para 6 dígitos. O código da chave pode ser enviado para o seu dispositivo móvel por SMS ou notificação PUSH ou pode ser gerado por um aplicativo gerador de chave de uma vez. Nos três casos, a vantagem de usar um telefone celular é que não há necessidade de um token dedicado adicional, já que os usuários tendem a carregar seus dispositivos móveis em todos os momentos.

A partir do 2018, o SMS é o método de autenticação multifatorial mais adotado para contas orientadas ao consumidor. Apesar da popularidade da verificação por SMS, o NIST dos Estados Unidos rejeitou-a como uma forma de autenticação, e defensores da segurança a criticaram publicamente.

Em 2016 e 2017, respectivamente, o Google e a Apple começaram a oferecer autenticação de usuário em duas etapas com a notificação PUSH como um método alternativo.

A segurança dos tokens de segurança fornecidos por dispositivos móveis depende totalmente da segurança operacional do operador móvel e pode ser facilmente violada por escutas telefônicas ou clonagem de SIM pelas agências de segurança nacional.

Cada vez mais, um quarto fator entra em cena, envolvendo a localização física do usuário. Embora esteja conectado à rede corporativa, um usuário pode ter permissão para efetuar login usando apenas um código PIN, enquanto fora da rede que insere um código de token suave também pode ser necessário. Isso pode ser considerado como um padrão aceitável em que o acesso ao escritório é controlado.

Os sistemas de controle de admissão de rede funcionam de maneira semelhante quando seu nível de acesso à rede pode depender da rede específica à qual seu dispositivo está conectado, como Wi-Fi e conectividade com fio. Isso também permite que um usuário se mova entre escritórios e receba dinamicamente o mesmo nível de acesso à rede em cada um.

Vantagens

  • Não há tokens adicionais e eles não são necessários porque você usa dispositivos móveis que são (geralmente) transportados o tempo todo.
  • Como eles mudam constantemente, as senhas geradas dinamicamente são mais seguras de usar do que as informações de registro fixas (estáticas).
  • Dependendo da solução, os códigos de uso que foram utilizados são automaticamente substituídos para garantir que um código válido esteja sempre disponível, os problemas de transmissão / recepção não impedem, portanto, os logins.

Desvantagens

  • Os usuários devem carregar um telefone celular, cobrado e mantido no alcance de uma rede celular, sempre que a autenticação for necessária. Se o telefone não puder exibir mensagens, como se estivesse danificado ou desligado por uma atualização ou devido a temperaturas extremas (por exemplo, exposição ao inverno), o acesso é geralmente impossível sem planos de backup.
  • As empresas de telefonia móvel podem cobrar o usuário por taxas de correio.
  • Mensagens de texto para telefones celulares que usam SMS são inseguras e podem ser interceptadas. Portanto, terceiros podem roubar e usar o token.
  • Mensagens de texto podem não ser entregues instantaneamente, adicionando atrasos adicionais ao processo de autenticação.
  • A recuperação de conta normalmente ignora a autenticação de dois fatores do telefone celular.
  • Smartphones modernos são usados ​​tanto para navegar por e-mail quanto para receber SMS. Normalmente, o email está sempre conectado. Assim, se o telefone for perdido ou roubado, todas as contas para as quais o email é a chave podem ser invadidas, pois o telefone pode receber o segundo fator. Assim, os smartphones combinam os dois fatores em um fator.

A clonagem do SIM permite que os hackers acessem as conexões de telefones celulares. Ataques de engenharia social contra empresas de operadoras móveis resultaram na entrega de cartões SIM duplicados para criminosos.

Avanços da Tecnologia em CelularesUso de dois fatores em telefones celulares

Os avanços na investigação da autenticação de dois fatores para dispositivos móveis consideram métodos diferentes nos quais um segundo fator pode ser implementado sem representar um obstáculo para o usuário. Com o uso contínuo e melhorias na precisão do hardware móvel, como GPS, microfone e giroscópio / acelerômetro, a capacidade de usá-los como um segundo fator de autenticação é cada vez mais confiável. Por exemplo, a gravação do ruído ambiente de localização do usuário a partir de um dispositivo móvel e comparando-a com a gravação de ruído ambiente a partir do computador na mesma sala em que o usuário tenta autenticar, você pode ter um segundo fator de autenticação eficaz. Isso também reduz a quantidade de tempo e esforço necessários para concluir o processo.

Mantendo a sessão ativaSair devido a inatividade

Uma vez que o usuário tenha sido autenticado e validado para iniciar a sessão, os horários foram configurados para fechar a sessão do usuário que está inativo, a fim de proteger suas informações pessoais e sua conta contra descuido ou mesmo contra um fechamento da venda ou aplicação em que ele estava trabalhando. No entanto, é muito importante que o usuário seja responsável e cuidadoso no uso de sua sessão.

Provedores de serviços de identidadeMétodos alternativos para o início da sessão com redes sociais

Fornecemos um método alternativo de login para efetuar login no SecureCloud usando suas contas de usuário existentes em outros IDPs (provedores de serviços de identidade). O login através de qualquer uma das redes sociais oferecidas (Amazon, Facebook, LinkedIn e Microsoft) permitirá que os visitantes acessem o conteúdo público sem a necessidade de preencher o formulário de registro.

Ao entrar através de qualquer uma das Redes Sociais, o visitante é automaticamente atribuído com o perfil de Assinante Básico. Ou seja, você pode acessar uma grande quantidade de conteúdo na biblioteca digital e configurar seu perfil de usuário entre muitos outros recursos.

Atualmente, as Redes Sociais possuem mecanismos para a configuração de fatores de autenticação. É da responsabilidade dos usuários configurá-los e usá-los apropriadamente. Uma vez configurada, a segurança e a velocidade podem ser obtidas ao mesmo tempo.

Para escalar ou acessar privilégios maiores, devemos necessariamente verificar a autenticidade e a credibilidade da conta de usuário. Embora você possa acessar e baixar documentos da biblioteca digital, todos os seus comentários e ações no SecureCloud serão moderados por um administrador na Web, até que seu perfil básico de assinante seja atualizado. Os usuários que entram com uma conta social podem solicitar a atualização de seus privilégios entrando em contato com o administrador da Web enviando uma mensagem ou criando um ticket na área de suporte técnico.

É bem conhecido que os provedores de serviços de identidade (Google, Facebook, etc.) têm muitos perfis falsos e que, em média, os usuários de redes sociais têm no mínimo dois ou três perfis sociais. Por esse motivo, todos os usuários que começam a usar os serviços do SecureCloud por meio de outros provedores de identidade são moderados e atribuem a eles a categoria mais baixa de Assinante Básico. Antes de escalar seus privilégios, devemos verificar e ter certeza da identidade do usuário.

Embora o WisePlant SecureCloud atue como um provedor de serviços de identidade (API REST), não fornecemos acesso a plataformas de terceiros. As únicas plataformas com acesso ao serviço de identidade SecureCloud do WisePlant são os aplicativos e sistemas do WiseGroup. Estes são Campus da Academia, CRM, Contabilidade, Projetos, Ferramenta Cyber-HAZOP entre outros.

Perfis de usuárioVisitante, cadastrado, cliente, fornecedor, parceiro, oficial, administrador e outros.

No SecureCloud, temos diferentes tipos de perfis. Cada um dos perfis possui uma série de características gerais do perfil e outras características específicas que podem ser modificadas especificamente para cada usuário. A modificação dos perfis de usuário e seus privilégios só podem ser feitos por um usuário adminsitrador. No entanto, nenhum administrador do sistema pode executar 100% das alterações.

  • Visitante: este perfil corresponde a um visitante da Web que não tenha efetuado login. O visitante sem login tem funções limitadas para acessar a Biblioteca de Conteúdo Digital, criar um caso de suporte (ticket) e nos enviar algum tipo de consulta entre muitas outras ações.
  • Registrado: Uma vez que o visitante tenha criado e logado, você pode acessar uma grande quantidade de informações disponíveis publicamente e de graça. Existem vários tipos diferentes de usuários registrados, dependendo das funções e privilégios atribuídos pelos administradores do SecureCloud. Nem todos os perfis têm a capacidade de configurar qualquer um dos fatores de autenticação.
  • Funcionários: Pela natureza das informações que assegurem e de conteúdo para o qual eles têm acesso, todos os membros de funcionários WiseGroup deve usar pelo menos alguns dos fatores de autenticação disponíveis no SecureCloud, sem exceção pode ser estendido para a autenticação multi-fator.

Mecanismos Adicionais de SegurançaMétodos e técnicas adicionais para segurança de conteúdo

Uma vez dentro do sistema, os diferentes itens ou conteúdos podem ter métodos, técnicas e mecanismos de validação adicionais, e todos os mecanismos usados ​​para autenticação do usuário no momento do início da sessão ou novos métodos de segurança podem ser válidos e reutilizados. :

  • Chaves de acesso individuais
  • Chaves de acesso ao grupo
  • Aceitação de Políticas de Confidencialidade, Não Divulgação e / ou Privacidade.
  • Aceitação do direito às políticas de propriedade intelectual
  • CAPTCHA (Verificação da Pessoa Humana - Sem Robô)
  • Políticas de segurança e acesso definidas em perfis de usuário
  • Uso de Assinaturas Digitais ou Eletrônicas
  • Criptografia com troca de chave pública anteriormente
  • Limitação do endereço IP do usuário. Exemplo: pode ser que acessar um determinado tipo de informação seja permitido somente a partir de um local específico ou intervalo específico.
  • Reconhecimento e Validação do Dispositivo.
  • … Outros métodos e tecnologias estão sendo incorporados.
Sobre o autor: Maximillian Kon Gerente WiseGroup Em segurança cibernética Instrutor Qualificado ISA Membro dos Grupos ISA
CEO e diretor administrativo