AP Tisafe Mecanismos Controle Acesso

8/19/2019 AP Tisafe Mecanismos Controle Acesso

1/46

Mecanismos paraMecanismos paraControle de AcessoControle de Acesso


2/46

www.tisafe.com

Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade

A TI Safe não se responsabiliza pelo mal uso das informações

aqui prestadas

Aproveite esta apresentação para ampliar seus conhecimentos

em Segurança da Informação e usá los com responsabilidade.


3/46

www.tisafe.com

Agenda Agenda• Controle de Acesso

– Conceitos – Metodologias – Técnicas de controles de acesso – Single Sign On

• Soluções baseadas no conhecimento – Usuário e Senha – Senhas descartáveis – Desafio/Resposta

• Soluções baseadas em propriedade – Smart Card – Tokens USB – Tokens OTP

• Soluções baseadas em características (biometria) – O que é Biometria? – Componentes de um sistema biométrico – Comparativo entre os dispositivos – Principais sistemas biométricos – Futuro da Biometria


4/46

www.tisafe.com

Controle de acessoControle de acesso - - conceitosconceitos

• O controle de acesso , nasegurança da informação, écomposto dos processos de

autenticação, autorização econtabilidade (accounting ).• Neste contexto o controle de

acesso pode ser entendido comoa habilidade de permitir ou negara utilização de um objeto (umaentidade passiva, como um

sistema ou arquivo) por um sujeito(uma entidade ativa, como umindivíduo ou um processo).


5/46

www.tisafe.com

A Arquitetura AAA A Arquitetura AAA

Arquitetura AAA – Authentication , Authorization , Accounting• Autenticação : identifica quem acessa o sistema (ex.: passaporte,cartão de identificação de uma empresa, cartão bancário, habilitaçãode motorista, CPF, carteira de Identidade de uma pessoa, cartão doINSS)• Autorização : determina o que um usuário autenticado pode fazer(ex.: Níveis de permissão de acesso aos sistemas e categorias deusuários – roles)• Contabilidade : diz o que o usuário fez (ex.: tempo de cada sessão,nome do usuário, senha, largura de banda, quantidade de bytesenviados e recebidos, porta do modem, telefone utilizado, data e hora

de início e fim de cada sessão)


6/46

www.tisafe.com

MMéétodos de Autenticatodos de Autentica ççãoão• Um IP identifica um único equipamento ou uma rede, mas o usuário

que está num equipamento usando esse endereço, precisa ser umapessoa válida, autêntica na rede.

• Autenticação é a capacidade de garantir que alguém, ou algumequipamento, é de fato quem diz ser, dentro de um contexto definido.

• Entre duas entidades: – O USUÁRIO – O AUTENTICADOR

• Autenticação Fraca = fácil de ser quebrada• Autenticação Forte = + difícil


7/46

www.tisafe.com

Mecanismos de autenticaMecanismos de autentica çção de usuão de usu ááriosrios

• O crescimento das redes abertas fez com que surgissem váriosproblemas de segurança, que vão desde o roubo de senhas einterrupção de serviços até problemas de personificação, onde umapessoa faz-se passar por outra para obter acesso privilegiado.

• Com isso, surgiu a necessidade de autenticação, que consiste naverificação da identidade tanto dos usuários quanto dos sistemas eprocessos.

• Os mecanismos de autenticação de usuários dividem-se em trêscategorias: – baseados no conhecimento (o que se sabe) – baseados em propriedade (o que se possui)

– baseados em características (o que se é)


8/46

www.tisafe.com

Mecanismos baseados no conhecimento (o que se sabe)Mecanismos baseados no conhecimento (o que se sabe)

• A autenticação pelo conhecimento é o modo mais utilizado para forneceruma identidade a um computador, no qual destaca-se o uso de segredos,como senhas, chaves de criptografia, PIN (Personal Identification Number )e tudo mais que uma pessoa pode saber.

• Existem vários métodos para a autenticação baseada em senhas, dentreeles os mais comuns são: – Usuário e Senha – Utilização de senhas descartáveis ( one-time passwords) – Sistemas de desafio/resposta ( chalenge/response systems )


9/46

www.tisafe.com

UsuUsuáário e senhario e senha

• Método mais usado em TI• Consiste na digitação de um nome de

usuário e senha para ter acesso a

sistemas e aplicativos• Passível a fraudes dos mais diversostipos (keyloggers, Shoulder Surfing,softwares para quebrar senha, etc.)


10/46

www.tisafe.com

Senhas descartSenhas descart ááveis (OTPveis (OTP–– One Time Passwords)One Time Passwords)

• Uma senha descartável é aquela que só é usada uma vez noprocesso de autenticação. Com isso, evita o ataque da captura erepetição da senha, porque a próxima conexão requererá umasenha diferente.

• Existem muitas implementações de senhas descartáveis baseadasem software e hardware . As implementações baseadas emhardware , utilizam dispositivos especiais como smartcards e tokens

que serão vistos adiante neste curso .


11/46

www.tisafe.com

Perguntas Randômicas (desafio/resposta)Perguntas Randômicas (desafio/resposta)

• Em uma primeira etapa, faz-se um cadastro do usuário, no qual ele responde a umquestionário com perguntas variadas como a bebida favorita, o número da identidade,CPF, data de aniversário, lugar de nascimento, etc.

• No momento da conexão, o usuário entra com sua identificação. O sistema, então,

escolhe uma pergunta do questionário de forma aleatória e desafia o usuário.• Se sua resposta coincidir com a previamente armazenada no questionário, a conexão é

permitida e lhe são atribuídos os direitos de acesso correspondentes.• Empresas de cartão de crédito, bancos e provedores de Internet geralmente utilizam

este método para autenticar seus usuários.


12/46

www.tisafe.com

An Anáálise de mecanismos baseadas no conhecimentolise de mecanismos baseadas no conhecimento

• O mecanismo de autenticação mais popular e usado nos sistemas de computação é a autenticaçãoatravés de senhas. As vantagens deste tipo de autenticação são: – Onde o usuário estiver, o segredo estará com ele; – O segredo pode ser facilmente modificado, se necessário; – O segredo é facilmente inserido através do teclado, não necessitando de dispositivos especiais;

• Entretanto, este tipo de autenticação tem algumas limitações: as senhas podem ser adivinhadas,roubadas ou esquecidas.

• Soluções alternativas, como perguntas randômicas e senhas descartáveis, geralmente são desimples utilização e bem aceitas pelos usuários, baratas e fáceis de implementar. Além disso, nãorequerem hardware adicional como outras soluções baseadas em propriedade e características.

• Outra vantagem que vale destacar é que elas podem ser integradas em sistemas baseados emrede e na Web , além de diversos sistemas operacionais. Elas evitam vários ataques e problemasbaseados em senha, mas não impedem que o usuário divulgue seu segredo para outro fazer ocurso em seu lugar.

• A utilização de perguntas randômicas, porém, acrescenta uma dificuldade adicional ao usuário quequiser divulgar seu segredo, pois, ao contrário de contar apenas uma palavra (como no caso desenhas), terá que divulgar todas as informações constantes no questionário que serve de base paraas perguntas randômicas.


13/46

www.tisafe.com

Mecanimos baseados em propriedadeMecanimos baseados em propriedade

• Os Mecanismos de autenticação baseados em propriedade caracterizam-sepor um objeto físico que o usuário possui.• Este objeto pode ser um cartão inteligente (smartcard ), uma chave USB

(token) ou dispositivos eletrônicos semelhante a calculadoras, usados para

calcular senhas descartáveis .• As desvantagens deste tipo de autenticação são que os objetos físicospodem ser perdidos, roubados ou esquecidos e o custo adicional dohardware . A vantagem baseia-se no princípio de que a duplicação do objetode autenticação poderá ser mais cara que o valor do que está sendoguardado.

• É comum ver-se a combinação de autenticação por propriedade comautenticação baseada em senhas, fornecendo dois fatores de autenticação.Sem os dois, um usuário não pode ser autenticado na conexão a um sistema

ou aplicação.


14/46

www.tisafe.com

Smart CardsSmart Cards

• Smart-Cards são cartões que possuem um chipmicroprocessado embutido no plástico, geralmentePVC impresso, fornecendo funcionalidades

adicionais de segurança, armazenamento efacilidades que um cartão simples com tarjamagnética não tem como prover, devido as suaslimitações técnicas.

• Atualmente, o uso do smart-card está sendoamplamente difundido com a redução do custo domesmo, e com a criação de novas aplicações,como no caso do transporte público, certificaçãodigital, passaporte inteligente, celular com atecnologia GSM, setor bancário utilizando padrõesEMV, vouchers alimentação e restaurante, entreoutros que estão surgindo dia após dia.


15/46

www.tisafe.com

Tipos deTipos de Smart CardsSmart Cards• Recursos disponíveis

– Somente memória• convencional• memória óptica

– Processador • monoaplicação• multiaplicação

• Comunicação com leitora (terminal)

– Com contato – Sem contato (usando RF)

• Formato físico – Padrão “cartão de crédito” (plástico) – SIM - para aplicações GSM, 3G, etc.


16/46

www.tisafe.com

Tokens USBTokens USB

• Possuem as mesmas funcionalidades de um SmartCard, porém utilizam a porta USB do computador aoinvés de uma leitora externa (já possuem leitora

embutida)• Apesar de semelhante a um pen drive, possui

memória suficiente para armazenar apenas dados esenhas (32 e 64Kbytes), além de possuirprocessamento criptográfico


17/46

www.tisafe.com

Principais aplicaPrincipais aplicaçções para Tokens USBões para Tokens USB

- Certificação digital (PKI)- eMail Seguro- Proteção e Autenticação de Clientes- Autenticação em VPNs- Autenticação em rede- Criptografia de Disco (proteção de Notebooks)- Criptografia de arquivos e diretórios- Controle de Acesso Web- Controle de Acesso a Dados


18/46

www.tisafe.com

Tokens OTPTokens OTP• Tokens OTP na maioria das vezes são dispositivos semelhantes a uma calculadora

de mão e que não necessitam de dispositivos de leitura/escrita adicionais.• Eles fornecem autenticação híbrida, usando tanto "algo que o usuário possui" (o

próprio dispositivo), como "algo que o usuário conhece" (um PIN de 4 a 8 dígitos).• Sistemas de autenticação por tokens OTP baseiam-se em um dos seguintes

esquemas: autenticação por desafio/resposta ou autenticação sincronizada no

tempo.• Nos sistemas baseados em desafio/resposta, o usuário insere sua identificação nosistema. O sistema apresenta, então, um desafio randômico como, por exemplo, naforma de um número de sete dígitos. O usuário, por sua vez, digita seu PIN no tokene informa o desafio apresentado pelo sistema. O token, gera a respostacorrespondente cifrando o desafio com a chave do usuário, a qual ele informa aosistema. Enquanto isso, o sistema calcula a resposta apropriada baseado no seu

arquivo de chaves de usuários. Quando o sistema recebe a resposta do usuário, elea compara com a resposta que acabou de calcular. Se forem idênticas, a conexão épermitida e são atribuídos ao usuário os direitos de acesso correspondentes.

• Quando são utilizadas calculadoras de desafio/resposta, é dado a cada usuário umdispositivo que foi unicamente chaveado. Ele não pode utilizar o dispositivo denenhum outro usuário para seu acesso. O sistema deve ter um processo ouprocessador para gerar um par de desafios/resposta a cada tentativa de conexão,

baseado nos dados informados pelo usuário. Cada desafio é diferente, para que aobservação de uma troca de desafios/resposta com sucesso não traga informaçõessuficientes para uma conexão subseqüente. A desvantagem deste esquema é onúmero de mensagens trocadas entre o usuário e o servidor.

• A grande maioria dos fabricantes de tokens utilizam autenticação pordesafio/resposta.


19/46

www.tisafe.com

Funcionamento bFuncionamento b áásico de sistemas com OTPsico de sistemas com OTP

Apli caçãoWeb

Sistema de controlede acesso Web

Software para Autenti cação

Banco de dados do clienteCustomer ID … Token ID

Banco de dados deautenticação

Token ID … Key ID

Internet

Chavecompatilhada Token ID,

OTP

Sim/Não

ID Cliente,OTP

Cliente comToken


20/46

www.tisafe.com

An Anáálise de mecanismos baseados em propriedadelise de mecanismos baseados em propriedade

• Os Mecanismos de autenticação baseados em propriedade caracterizam-sepela posse de um objeto físico. Sua vantagem consiste no princípio de que aduplicação desse objeto será mais cara que o valor do que está sendoguardado. As desvantagens são que os objetos físicos podem ser perdidos

ou esquecidos e o custo adicional do hardware .• Por possuir dois fatores de autenticação (PIN e o token ) estas soluçõesapresentam um bom nível de segurança. Uma vez que uma nova senha égerada a cada nova autenticação, o sistema evita ataques como: adivinhaçãoda senha, ataque do dicionário e monitoramento do tráfego na rede.

• O problema da utilização de mecanismos de autenticação baseados napropriedade para aplicações é que, assim como as senhas podem serdivulgadas para outras pessoas, os tokens também podem ser emprestados,além do custo do produto que ainda é um pouco elevado.


21/46

www.tisafe.com

Mecanismos baseados em caracterMecanismos baseados em caracter íísticas (biometria)sticas (biometria)

• Biometria é o conjunto de características físicas e comportamentais quepodem ser utilizadas para identificar uma pessoa.

• Pode ser utilizada em qualquer área da tecnologia da informação onde sejaimportante verificar a verdadeira identidade de um indivíduo.

• Sistemas biométricos são métodos automatizados para a verificação ou oreconhecimento de uma pessoa com base em alguma característica física, talcomo a impressão digital ou o padrão de íris, ou algum aspectocomportamental, tal como a escrita ou o padrão de digitação.

• Ainda que os sistemas biométricos não possam ser usados para estabelecerum "sim/não" na identificação pessoal, como as outras tecnologiastradicionais, eles podem ser usados para alcançar uma identificação positiva,com um alto grau de confiança.


22/46

www.tisafe.com

Componentes de um sistema biomComponentes de um sistema biom éétricotrico

Um sistema biométrico padrão possui os seguintes componentes:• Um dispositivo de medida: o qual forma ainterface do usuário;• Um software de operação, incluindo o algoritmo matemático que iráchecar a medida contra um modelo ( template);• Umhardware e sistemas externos: a usabilidade, confiança e o custodo sistema irá freqüentemente depender tanto destes sistemas externoscomo dos dispositivos de medida;


23/46

www.tisafe.com

ComoComo funcionam os sistemas biomfuncionam os sistemas bioméétricostricos


24/46

www.tisafe.com

Falsa aceitaFalsa aceitaçção e falsa rejeião e falsa rejeiççãoão

• FAR: taxa de falsa aceitação (False Acceptance Rate)• FRR: taxa de falsa rejeição (False Rejection Rate)• Taxa de cruzamento (crossover rate) : é o ponto onde o FAR e o FRRcruzam-se


25/46

www.tisafe.com

Principais sistemas biomPrincipais sistemas bioméétricostricos

• Impressão digital• Análise da Íris

• Reconhecimento da Retina• Reconhecimento de voz• Geometria da mão• Reconhecimento da Face• Reconhecimento da

Assinatura• Ritmo de digitação


26/46

www.tisafe.com

ImpressãoImpressão digitaldigital

• Baseia-se na Minutia do indivíduo (coleção de pontos identificáveisem uma impressão digital)

• Chance de 2 indivíduos com impressão digital igual é de 1 em 1bilhão

• Fingerprinting – Ato de digitalizar a impressão digital para arquivo deimagem (tamanho aprox. 150 bytes)

• Após digitalizada, a imagem sofre um tratamento e é convertida paraum formato P&B para mapeamento da minutia baseado em seus

detalhes (Bridge, Dot, Ridge, Ending Ridge, Bifurcation andEnclosure)• Uma minutia é classificada por tipo e qualidade. Minutias de maior

qualidade serão mais facilmente identificadas.• A comparação entre as minutias é baseada em um arquivo de

configuração e o seu retorno é o “Match Score”.• Match Score > 0 Comparação OK. Indivíduo identificado.


27/46

www.tisafe.com

ImpressãoImpressão digitaldigital - - etalhesetalhes daa Minutiainutia


28/46

www.tisafe.com

Tipos de leitores de digitaisTipos de leitores de digitais

Existem três tipos de leitores de digitais:• Ópticos: O dedo é colocado sobre um

plataforma de vidro e uma imagem do dedo écapturada;

• Ultra-som: O dedo é colocado sobre umaplataforma de vidro e uma varredura de ultra-som é efetuada;

• Baseados em chip: O usuário coloca seu dedo

direto em um chip de silício.


29/46

www.tisafe.com

An Anáálise dalise da Í Í risris

• Íris é o anel colorido que circunda a pupila do olho. Cada íris possui umaestrutura única que forma um padrão complexo e pode ser usada paraidentificar um indivíduo

• A Íris não se altera por toda a vida e não há forma de alterá-la propositalmente

sem provocar danos à visão• Possui 6 vezes mais ítens identificáveis que a impressão digital• A Íris possui 400 características distintas (em uma imagem P&B). 260 destas

características são usadas para formar o template

• O tamanho médio da imagem é de 512 bytes• O alto custo do dispositivo de leitura dificulta propagação da tecnologia• Leitura da Íris é feita pela mesma tecnologia utilizada por câmeras de vídeo

padrão, não utiliza laser e não faz mal para a visão


30/46

www.tisafe.com

An Anáálise do padrão dalise do padrão da Í Í risris - - MapeamentoapeamentoConsiste nos seguintes passos:• Detectar a presença do olho na imagem• Localizar os limites interiores e exteriores da Íris• Detectar e excluir as pálpebras, se forem indutoras de erro• Definir um sistema de coordenadas 2D onde é mapeado o padrão da íris e gerado o seu código• O Código da Íris pode ser armazenado em código hexadecimal em um banco de dados ou outro tipo

de mídia. Uma vez no banco de dados, o código é usado como base para a comparação contra a íriscapturada pela câmera no processo de identificação de uma pessoa


31/46

www.tisafe.com

Dispositivos para leitura daDispositivos para leitura daÍ Í risris

• Tamanho do template é deaproximadamente 500 bytes

• Dispositivos caros

• Usuários precisam ser treinados parausar o dispositivo• Alguns usuários têm medo que o

dispositivo possa prejudicar sua visão.• Tempo de cadastro menor que 30

segundos;• Tempo de verificação entre 1 e 2

segundos;


32/46

www.tisafe.com

Reconhecimento da RetinaReconhecimento da Retina

Analisador de retina

• O padrão de veias da retina é acaracterística com maior garantia deunicidade que uma pessoa pode ter

• Os analisadores de retina medem essepadrão de vasos sangüíneos usando umlaser de baixa intensidade e uma câmara.• Nesta técnica, deve-se colocar o olho pertode uma câmara para obter uma imagemfocada• A análise de retina é considerada um dosmétodos biométricos mais seguros: a FAR énula e as fraudes até hoje são

desconhecidas.• Olhos falsos, lentes de contato etransplantes não podem quebrar asegurança do sistema.


33/46

www.tisafe.com

Reconhecimento deReconhecimento de vozvoz

• Baseado na comparação de 2 formas de onda da fala.• Análise Cepstral Análise que permite representar as similaridades

entre duas ondas de voz como uma simples distância euclidiana, queserá convertida em um “match score”.

• HMM score Probabilidade de uma onda ter sido gerada pelamesma fonte que uma outra forma de onda Template.

• Análise Cepstral


34/46

www.tisafe.com

Reconhecimento deReconhecimento de vozvoz

CComparaompara çção de 2 vozesão de 2 vozes

Limitações:• Voz muda durante o tempo devido a vários fatores: envelhecimento natural,

stress, etc.• Pode ser enganado por uma voz gravada.


35/46

www.tisafe.com

Dispositivos para reconhecimento de vozDispositivos para reconhecimento de voz

As principais características dos dispositivos dereconhecimento de voz encontrados no mercadosão as seguintes:• Tempo médio de cadastro: 3 minutos;• Tempo médio de verificação em torno de 0,5segundos;• FAR e FRR médios em torno de de 1,7%;

• Tamanho do modelo de 2 a 5 Kbytes;• Fácil de ser usado;• Influência de ambientes com ruídos;

• Baixo nível de invasão;

d


36/46

www.tisafe.com

Geometria daGeometria da MãoMão - - Pontosontos importantesmportantes

O Mapeamento da mão consiste na obtenção de dados como ocomprimento e largura dos dedos na imagem capturada. Estas medidasdefinem o mapa da mão de uma pessoa.

dG i d ãMã


37/46

www.tisafe.com

Geometria daGeometria da MãoMão - - imitaimita çõeses

• Dispositivos são grandes e nãoportáteis

• O tamanho do dedo muda com otempo (principalmente em jovens emfase de crescimento)

• Tamanho dos templates é grande

• Problemas com anéis• Necessita que o usuário encaixe amão na posição correta

h i dR h i d F


38/46

www.tisafe.com

Reconhecimento da FaceReconhecimento da Face

• O reconhecimento facial refere-se a um processo automatizado ou semi-automatizado de confrontação de imagens faciais.• A imagem é obtida através de um scanner e depois analisada, utilizando

vários tipos de algoritmos, com o objectivo de se obter uma assinatura

biométrica.• http://www.face-rec.org/ : Site de grupos de pesquisadores da tecnologia dereconhecimento da face

• Principais características:

– Alto Custo – Menor Confiabilidade

– Maior tempo de leitura e pesquisa

Di i i h i d fDi i i h i d f


39/46

www.tisafe.com

Dispositivos para reconhecimento da faceDispositivos para reconhecimento da face

Para cadastrar uma pessoa, deve-se capturar várias imagens com a câmera edefinir as informações sobre os usuários e seus direitos de acesso. Tambémpode-se fazer um teste opcional de expressões e piscares de olhos, reduzindoassim a possibilidade de alguém enganar o sistema com uma fotografia.

R h i t d A i tR h i t d A i t


40/46

www.tisafe.com

Reconhecimento da AssinaturaReconhecimento da Assinatura

•Alto Custo•Menos confiável•Problemas com a velocidade e pressão daassinatura•Algumas assinaturas mudam com o passar do tempo•Demora no processo de cadastramento

•Maior tempo de leitura e pesquisa

Rit d di itRit d digit ãã


41/46

www.tisafe.com

Ritmo de digitaRitmo de digitaççãoão

• Baixo Custo• Pouco confiável• Não requer hardware especial• Transparente ao usuário• Demora no processo de cadastramento• Maior tempo de leitura e pesquisa

F t ro da biometriaFuturo da biometria


42/46

www.tisafe.com

Futuro da biometriaFuturo da biometria

Novas técnicas em pesquisa:

• Formato do ouvido• Transpiração• Cheiro do corpo• Agarre• Brilho da pele

• Caminhada• Análise de DNA• Impressão da Palma• Matriz da Unha• Salinidade

Referências na InternetReferências na Internet


43/46

www.tisafe.com

Referências na InternetReferências na Internet

• http://www.biometrics.org- (Web Site do Biometric Consortium – Utilizado como referência pelo governo norteamericano)

• http://www.bioapi.org- (Web Site do Bioapi Consortium – Responsável pela elaboração de padrões para biometria)• http://www.ibia.org- (Web Site do Ibia – Associação internacional da indústria de biometria – Diretório de fabricantes

de dispositivos)• The Biometric Consulting Group.Comparation of Biometric Techniques. Disponível por WWW em

http://www.biometric-consulting.com/bio.htm (01 Jun. 2007).

• BioMet Partners, Inc.FingerFoto. Disponível por www em http://www.biomet.ch/ff.htm (01 jun. 2007).

Curso de FormaCurso de Forma çção de Analistas de Seguranão de Analistas de Seguran ççaa


44/46

www.tisafe.com

Curso de FormaCurso de Forma çção de Analistas de Seguranão de Analistas de Seguran ççaa

• Curso com o objetivo de formar analistas de segurança dainformação

• Compreende todos os 7 domínios que compoem o SSCPuma das melhores certificações internacional de segurançada informação

• Dividido em 3 macromódulos, de 24 horas cada, mais ummódulo final com um simulado de preparação para o SSCPcom duração de 8 horas

• Curso 100% desenvolvido pela TI Safe• Já implementado (versão 80 horas com preparatório para a

certificação SSCP) no Instituto Infnet – detalhes emhttp://www.infnet.edu.br/formacao/analista_seg.htm

Lâmina promocional

CFAS Rápido - Versão em 40 horas

(1 semana) em horário comercialpara empresas, ministrado on site

DDúúvidas?vidas?


45/46

www.tisafe.com

DDúúvidas?vidas?

Obrigado!


46/46

www.tisafe.com

[email protected]

Obrigado!

Documents

AP Tisafe Mecanismos Controle Acesso