Muitas pessoas acham que suas informações pessoais guardadas em sites de e-commerce, jogos, redes sociais, etc não irão vazar para “terceiros” mal intencionados. Essas pessoas estão enganadas, seus dados já vazaram! Em 2012, por exemplo, vazaram mais de 6 milhões de credenciais de acesso da rede social LinkedIn. Assim como vazaram também de outros serviços largamente utilizados, como PlayStation Network, Hotmail etc.

Isso acontece por conta de falhas de segurança que permitem o roubo dessas informações de usuários. Uma credencial roubada e utilizada indevidamente por um atacante pode se tornar um pesadelo para a vítima. O que se tem feito para minimizar o impacto da utilização de contas roubadas por crackers é o uso de mais um fator de autenticação com o objetivo de reforçar a segurança na hora do login.

Os fatores de autenticação são divididos em três grupos.

1. Aquilo que você sabe (algo que você memoriza)

• Senha (método mais utilizado): frase, nome, número, data, algo aleatório que é “secreto” para o usuário.
• PIN (Personal Indentification Number): comumente utilizado em ATMs e bloqueio de celulares. É um número secreto para o usuário.
• Padrão de Desbloqueio e Picture Password: utilizado no Android e no Windows 8, respectivamente. Somente o usuário que consegue reproduzir o padrão ou a sequência solicitada tem acesso ao dispositivo.

2.  Aquilo que você tem (objeto físico)

• Token: aqueles chaveiros que possuem um display com uma senha, utilizado normalmente para acesso a VPN e em transações de Internet Banking.
• Smart Card (certificado digital): utilizados nos cartões de crédito/débito, SIM cards, alguns crachás mais sofisticados. Guarda, em seu interior, informações criptográficas acessadas apenas através de leitor específico em conjunto com uma senha/PIN.
• RFID (Radio-Frequency Identification): crachás, chaveiros, cartão de estacionamento, o “Sem Parar”, produtos em supermercados (normalmente os produtos mais caros!) etc. Dispositivo que identifica “unicamente” o seu portador.

3.  Aquilo que você é: biometria (bio[vida] + metria[medida]) – Característica física ou comportamental que identifica unicamente um indivíduo.

• Fingerprint (impressão digital): utilizada em empresas para acesso a lugares restritos, pelo Detran para confirmar presença do aluno nas autoescolas etc. A leitura é feita através dos pequenos sulcos localizados na pele das pontas dos dedos.
• Voiceprint: as cordas vocais emitem o som em uma frequência específica para cada pessoa. A identificação é feita através de gravação de uma amostra e comparada com uma gravação “original”. Observação: o aplicativo Shazam utiliza um algoritmo de identificação semelhante para identificar as músicas.
• Reconhecimento de íris (globo ocular): a íris é a parte do olho que define a cor (castanho, azul, verde). Vista em um microscópio, ela apresenta um tipo de textura que é diferente em cada pessoa e é quase impossível de se repetir.

Alguns desses fatores de autenticação são mais indicados para acesso físico e outros para acesso lógico e/ou na Web.

No caso de sites, o que está sendo mais utilizado é o token combinado com uma senha. Alguns serviços que já estão utilizando isso são: Gmail, Facebook (via SMS), Yahoo!, DropBox, Amazon,

entre outros.

Adicionando mais um fator de autenticação de SMS

Para incluir um fator de autenticação visando complementar a segurança de um sistema já em uso, pode-se colocar um passo (step) a mais, após o login do usuário. Por exemplo, enviar um SMS para um número de celular previamente cadastrado. Dessa forma, o sistema fica esperando o usuário digitar o token enviado para o seu celular, gerado randomicamente com uma entropia forte. O sistema guarda na sessão o token que foi enviado para o celular para que possa ser comparado quando o usuário digitar. O usuário só terá acesso ao sistema se digitar exatamente como enviado.

Obviamente, é preciso implementar mecanismos de contingência, caso o SMS demore ou o número de celular não seja mais da pessoa. Lembrando que o mecanismo de contingência não pode ser uma forma de burlar a autenticação de dois fatores!

Assista ao vídeo:

http://videolog.tv/video.php?id=925740

***

Este artigo foi publicado originalmente na Revista iMasters. Acesse e leia todo o conteúdo.