Desenvolvimento

Ξ Deixe um comentário

2 fatores de autenticação

publicado por Anderson Dadario
2 Fatores de Autenticação

2 Fatores de Autenticação

Desde sempre diversos sistemas web implementam ao menos um fator de autenticação para validar se o usuário que está acessando determinada área restrita é quem ele realmente afirma ser, mas que outros fatores podem ser implementados para tornar esse processo ainda mais preciso e seguro?

Antes de mais nada, vamos rever os três fatores de autenticação para humanos:

  • o que o usuário conhece (ex: senha, PIN, etc)
  • o que o usuário tem (ex: token, cartão de senhas, celular, etc)
  • o que o usuário é (ex: impressão digital, padrão de retina, padrão de voz, etc)

Obs: como o foco deste artigo está relacionado a sistemas web e implementar o fator que valida o que o usuário é ser algo complexo nesse contexto, não entrarei neste item. Na verdade, nunca vi esse fator em sistemas web, mas vi no caixa eletrônico do Bradesco onde o usuário necessita apenas da digital para efetuar um saque, por exemplo.

Agora que revemos os conceitos, vamos conhecer o que é aplicado na prática em termos de sistemas web:

1) Google Authenticator

Você provavelmente deve ter uma conta do Google, e o Google fornece a verificação em duas etapas utilizando o Google Authenticator, um projeto open source que gera senhas únicas e seguras (secure OTP). Basta ativá-lo em https://www.google.com/settings/security e instalar o aplicativo no seu dispositivo móvel.

O que nem todos sabem é que este projeto pode ser estendido para o seu próprio website, veja alguns exemplos:

2) Yubico

Esse assunto é tão sério que o Google declarou guerra ao uso exclusivo de senhas para o processo de autenticação, como afirmaram na matéria da Wired. No artigo, comentam de um dispositivo USB chamado Yubikey, que também possui plugin para o WordPress.

3) Facebook

Sim, o facebook também utiliza dois fatores de autenticação, mas apenas para autenticações partidas de dispositivos não cadastrados previamente.
Você precisa configurar em “Account Settings –> Security –>Login Approvals”,  ou acesse  https://www.facebook.com/settings?tab=security.

4) Dropbox

Depois de um incidente de segurançaa empresa decidiu implementar os dois fatores de autenticação. Se você é usuário do Dropbox, aprenda como proteger sua conta.

5) Taferno

O projeto Taferno é outra solução open source para secure OTP em VPN, SSH, SSO, etc.

Conclusão

Em poucas palavras, pode-se dizer que a implementação de fatores de autenticação evitarão uma série de invasões, pois obter a senha do usuário não será mais suficiente, resguardando assim o usuário, as informações e a imagem da empresa, tornando-se mais do que uma opção, uma necessidade.

Autor

Anderson Dadario é fundador do Gauntlet.io, serviço gratuito para execução de diversos scanners de segurança em aplicações web; Dadario possui larga experiência com testes de intrusão, análise de vulnerabilidades e integração de segurança no ciclo de desenvolvimento de software. Site: https://dadario.com.br

Anderson Dadario

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes