a necessidade de autenticação...
TRANSCRIPT
![Page 1: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/1.jpg)
A necessidade de autenticacao multi-fator
Emerson Ribeiro de Mello
Instituto Federal de Santa Catarinacampus Sao [email protected]
GTER 45 | GTS 31Florianopolis
23 de maio de 2018
1/21
![Page 2: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/2.jpg)
Decada de 80Computadores pessoais, sejam bem vindos!
Voltados para usuariosresidenciais
Sistemas operacionais maispopulares eram monousuario
2/21
![Page 3: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/3.jpg)
Decada de 90Aplicacoes e interacao na web
Popularizacao da Internetcomercial
Servicos de e-mail gratuitos
Interacao entre usuarios naspaginas web
3/21
![Page 4: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/4.jpg)
PresenteSoftware como Servico
Aplicacoes, tradicionalmentedentro das redes locais, passamagora para a nuvem
4/21
![Page 5: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/5.jpg)
PresenteDispositivos moveis
“Computacao do seculo 21 sera movel e onipresente” – Mark Weiser, 1991
Telefones inteligentes levaram acomputacao para o dia-a-dia dosusuarios
Atingiu pessoas que sequerusaram um computador
5/21
![Page 6: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/6.jpg)
Internet das Coisas
6/21
![Page 7: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/7.jpg)
Analise sobre o cenario atualDentro do contexto de gestao de identidade
Grande parte das aplicacoes sao acessadas remotamente
Pessoas que nunca usaram um computador, agora interagemdiariamente com sistemas de informacao
Dispositivos domesticos conectados a nuvem
O par username/password ainda e a principal forma de autenticarusuarios
Cenario perfeito para ataques de personificacao e contra privacidade dosusuarios
7/21
![Page 8: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/8.jpg)
Analise sobre o cenario atualDentro do contexto de gestao de identidade
Grande parte das aplicacoes sao acessadas remotamente
Pessoas que nunca usaram um computador, agora interagemdiariamente com sistemas de informacao
Dispositivos domesticos conectados a nuvem
O par username/password ainda e a principal forma de autenticarusuarios
Cenario perfeito para ataques de personificacao e contra privacidade dosusuarios
7/21
![Page 9: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/9.jpg)
Como o usuario pode se identificar para usar um sistema?Senha, aquilo que voce sabe!
Qual abordagem seria maisinteressante?
1 Usar a mesma senha emdiferentes servicos
2 Usar um gerenciador de senhas
3 Usufruir do modelo federadoCAFe, Google, Facebook
Como se proteger de senhas fracas ou interceptacao?
“Senhas acabaram se tornando um pesadelo” – Fernando Corbato, 2014
8/21
![Page 10: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/10.jpg)
Como o usuario pode se identificar para usar um sistema?Senha, aquilo que voce sabe!
Qual abordagem seria maisinteressante?
1 Usar a mesma senha emdiferentes servicos
2 Usar um gerenciador de senhas
3 Usufruir do modelo federadoCAFe, Google, Facebook
Como se proteger de senhas fracas ou interceptacao?
“Senhas acabaram se tornando um pesadelo” – Fernando Corbato, 2014
8/21
![Page 11: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/11.jpg)
Outras formas de autenticacaoFatores de autenticacao
O que voce sabeusername/password, PIN
O que voce possuichave privada, dispositivomovel, token criptografico
O que voce eImpressao digital, ıris, face evoz
9/21
![Page 12: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/12.jpg)
Aumentando a robustez do processo de autenticacao
Autenticacao multi-fator
Combinar dois ou mais fatores de diferentes categorias (sabe, possui ou e)
Parte-se do pressuposto que o grau de dificuldade aumenta muito paracomprometer mais de um fator
Aquilo que voce sabe poderia ser obtido por meio de um ataque dephishing – O atacante poderia estar em qualquer lugar no mundo
Para comprometer aquilo que voce possui o atacante precisaria teracesso fısico ao seu cartao, etc.
10/21
![Page 13: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/13.jpg)
Senhas descartaveis (One-Time Password – OTP)Usuario precisa abrir aplicativo no celular, olhar o numero e digitar
11/21
![Page 14: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/14.jpg)
Senhas descartaveis (One-Time Password – OTP)Usuario precisa abrir aplicativo no celular, olhar o numero e digitar
11/21
![Page 15: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/15.jpg)
Senhas descartaveis (One-Time Password – OTP)Usuario precisa abrir aplicativo no celular, olhar o numero e digitar
11/21
![Page 16: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/16.jpg)
O que seria um bom segundo fator?Usabilidade x robustez
Senhas descartaveis com App ou token com displayUsabilidade ruim
Senhas descartaveis por SMSUsabilidade ruimEm 2016 National Institute of Standards and Technology (NIST)considerou como inseguro
Certificados digitais / cripto de chave publicaUsabilidade ruim – leitor, instalacao de driver, plugin no navegadorMeio de armazenamento da chave privada (i.e. arquivo no computador dousuario) pode enfraquecer sua robustez
12/21
![Page 17: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/17.jpg)
Questoes de pesquisa
1 Como aumentar a robustez do processo de autenticacao sem queisso tenha um grande impacto na usabilidade?
2 Como as solucoes de autenticacao de usuario poderiam ser moldadaspara oferecer uma melhor experiencia de uso em dispositivosmoveis, como os telefones inteligentes?
13/21
![Page 18: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/18.jpg)
Dialogo de confirmacaoUsuario nao precisa abrir aplicativo, so precisar clicar em um botao para confirmar
14/21
![Page 19: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/19.jpg)
Dialogo de confirmacaoUsuario nao precisa abrir aplicativo, so precisar clicar em um botao para confirmar
14/21
![Page 20: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/20.jpg)
Dialogo de confirmacaoUsuario nao precisa abrir aplicativo, so precisar clicar em um botao para confirmar
14/21
![Page 21: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/21.jpg)
FIDO Alliance – Fevereiro 2013
Mudar a forma de autenticacao online
Lidar com a falta de interoperabilidade entre dispositivos de autenticacaorobustos, bem como o problema dos usuarios de criarem e manteremmultiplos nomes de usuarios e senhas
15/21
![Page 22: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/22.jpg)
FIDO Alliance, qual a novidade?Autenticacao alem de senhas ou mesmo OTP
Padroes abertos (sem royalties) para a industriaProtocolo criptografico onlineInterface modular nos clientes para metodos de autenticacao
Facilidade de usoDispositivos com leitores biometricos ou pendriveTransposicao da autenticacao local para servicos online
Seguranca e privacidadeCriptografia de chave publica – par de chaves por servicoRequer interacao do usuario para destravar chave privadaInformacoes trocadas nao permitem rastrear usuario, mesmo que servicoscolaborem
16/21
![Page 23: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/23.jpg)
Universal Authentication Framework – UAF
Experiencia sem senha
17/21
![Page 24: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/24.jpg)
Universal Second Factor - U2F
Experiencia com segundo fator
18/21
![Page 25: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/25.jpg)
Universal Second Factor - U2F
Experiencia com segundo fator
18/21
![Page 26: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/26.jpg)
Universal Second Factor - U2F
Experiencia com segundo fator
18/21
![Page 27: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/27.jpg)
Web Authentication (WebAuthn) - padrao W3CTambem conhecido como FIDO2
Define uma API web para ser usada pelos navegadoresEm marco de 2018 esta como W3C Candidate Recommendation
Firefox ja implementou e esta em vias de aparecer no Chrome e Edge
A autenticacao do usuario podera ser feita por pendrive ou telefonemovel e a comunicacao com seu dispositivo (computador ou telefone)podera se dar por USB, Bluetooth ou NFC
19/21
![Page 28: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/28.jpg)
Consolidando conceitos
1 O aumento do numero de servicos e uso de senhas faz com que usuariosadotem estrategias ruins
Ex: Poor man SSO, 123456, data nascimento, . . .
2 Autenticacao com multiplos fatores (senha, OTP, biometria) nao enovidade e e bem usada em aplicacoes moveis
Usabilidade e solucoes proprietarias sao pontos negativos
3 A adocao da WebAuthn pelos navegadores abrirao caminho para adocaode uma solucao robusta, interoperavel e amigavel para o usuario
20/21
![Page 29: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/29.jpg)
Consolidando conceitos
1 O aumento do numero de servicos e uso de senhas faz com que usuariosadotem estrategias ruins
Ex: Poor man SSO, 123456, data nascimento, . . .
2 Autenticacao com multiplos fatores (senha, OTP, biometria) nao enovidade e e bem usada em aplicacoes moveis
Usabilidade e solucoes proprietarias sao pontos negativos
3 A adocao da WebAuthn pelos navegadores abrirao caminho para adocaode uma solucao robusta, interoperavel e amigavel para o usuario
20/21
![Page 30: A necessidade de autenticação multi-fatorgtergts.nic.br/files/apresentacao/arquivo/228/08-autenticacao-2fa.pdf · A necessidade de autentica˘c~ao multi-fator Emerson Ribeiro de](https://reader031.vdocuments.pub/reader031/viewer/2022022711/5c02cdd209d3f278208b648d/html5/thumbnails/30.jpg)
Consolidando conceitos
1 O aumento do numero de servicos e uso de senhas faz com que usuariosadotem estrategias ruins
Ex: Poor man SSO, 123456, data nascimento, . . .
2 Autenticacao com multiplos fatores (senha, OTP, biometria) nao enovidade e e bem usada em aplicacoes moveis
Usabilidade e solucoes proprietarias sao pontos negativos
3 A adocao da WebAuthn pelos navegadores abrirao caminho para adocaode uma solucao robusta, interoperavel e amigavel para o usuario
20/21