O controle de acesso \u00e9 um dos pilares da seguran\u00e7a. Se voc\u00ea n\u00e3o controla quem acessa o qu\u00ea, voc\u00ea n\u00e3o pode garantir a seguran\u00e7a de nada. Por conta disso, o controle de acesso permanece no foco principal de equipes de seguran\u00e7a e de malfeitores.<\/p>\n
Hoje, o simples uso de senhas, tokens, ou biometria n\u00e3o \u00e9 suficiente para prevenir o acesso n\u00e3o autorizado. A complexidade dos ataques e o valor dos ativos requerem mais, assim, as organiza\u00e7\u00f5es est\u00e3o se voltando para autentica\u00e7\u00e3o por m\u00faltiplos fatores, especialmente a autentica\u00e7\u00e3o por dois fatores.<\/p>\n
Mas, enquanto isto representa uma clara melhoria de seguran\u00e7a, como ela se encaixa nas estruturas de seguran\u00e7a j\u00e1 existentes? Este artigo apresentar\u00e1 quais controles da ISO 27001<\/a> podem se beneficiar da ado\u00e7\u00e3o de controles de acesso com autentica\u00e7\u00e3o por dois fatores.<\/p>\n Primeiro de tudo, deve ser entendido que um processo de controle de acesso robusto \u00e9 composto destes tr\u00eas conceitos (realizados exatamente nesta sequ\u00eancia):<\/p>\n Identifica\u00e7\u00e3o:<\/strong> m\u00e9todos para prover um sujeito (entidade que solicita acessos) com uma identidade reconhec\u00edvel (e.g., conta de usu\u00e1rio, VAT, n\u00famero de seguro social, passaporte, etc.).<\/p>\n Autentica\u00e7\u00e3o:<\/strong> m\u00e9todos para assegurar que um sujeito \u00e9 quem ele diz ser (e.g., senha, token, impress\u00e3o digital, etc.).<\/p>\n Autoriza\u00e7\u00e3o:<\/strong> m\u00e9todos para controlar quais a\u00e7\u00f5es um sujeito pode realizar em um objeto (entidade que est\u00e1 sendo acessada) (e.g., lista de permiss\u00f5es do sujeito e lista de permiss\u00f5es do objeto).<\/p>\n Com rela\u00e7\u00e3o aos m\u00e9todos de autentica\u00e7\u00e3o, os seguintes conceitos (ou fatores) podem ser usados, separadamente ou em combina\u00e7\u00e3o:<\/p>\n Assim, ao se falar de autentica\u00e7\u00e3o por dois fatores, queremos dizer usar quaisquer dois destes tr\u00eas conceitos em conjunto para assegurar que um sujeito \u00e9 quem ele diz ser.<\/p>\n \u00c9 importante notar que quando um dispositivo prove informa\u00e7\u00e3o que o usu\u00e1rio deve inserir por ele mesmo como parte do processo de autentica\u00e7\u00e3o (e.g., um token que d\u00e1 ao usu\u00e1rio um n\u00famero aleat\u00f3rio para ser usado como uma senha de uso \u00fanico), isto n\u00e3o \u00e9 considerado algo que voc\u00ea possui. Esta situa\u00e7\u00e3o \u00e9 considerada uma autentica\u00e7\u00e3o por conhecimento em duas etapas em nosso exemplo, a senha conhecida pelo usu\u00e1rio \u00e9 uma etapa e o n\u00famero aleat\u00f3rio provido pelo token ao usu\u00e1rio \u00e9 a outra). Para ser considerado algo que o usu\u00e1rio possui, o pr\u00f3prio dispositivo deve prover a informa\u00e7\u00e3o de autentica\u00e7\u00e3o durante a etapa de autentica\u00e7\u00e3o (e.g., o smart card deve estar inserido no leitor de cart\u00e3o do vendedor para fornecer seu c\u00f3digo de autentica\u00e7\u00e3o para validar uma transa\u00e7\u00e3o f\u00edsica).<\/p>\n Contar somente com um fator de autentica\u00e7\u00e3o deixa sua solu\u00e7\u00e3o com um ponto \u00fanico de falha, no sentido de que se o conhecimento, dispositivo, ou padr\u00e3o biom\u00e9trico \u00e9 comprometido, qualquer um que o tenha pode se passar pelo usu\u00e1rio. Pense sobre estas situa\u00e7\u00f5es:<\/p>\n Ao fazer uso de autentica\u00e7\u00e3o pode dois fatores, voc\u00ea cria uma camada adicional de prote\u00e7\u00e3o contra qualquer um buscando obter acesso n\u00e3o autorizado, porque mesmo que um criminoso comprometa a informa\u00e7\u00e3o de um fator, ela ser\u00e1 in\u00fatil sem a informa\u00e7\u00e3o do segundo fator de autentica\u00e7\u00e3o.<\/p>\n A sele\u00e7\u00e3o de um par apropriado de fatores de autentica\u00e7\u00e3o a serem usados depender\u00e1 dos resultados de avalia\u00e7\u00f5es de risco<\/a>, o n\u00edvel de seguran\u00e7a desejado, custos de implementa\u00e7\u00e3o, e recursos dispon\u00edveis. Os mais comumente usados s\u00e3o uma combina\u00e7\u00e3o do que voc\u00ea sabe e de alguma coisa que voc\u00ea possui (e.g., senhas e smart cards).<\/p>\n Embora os controles da ISO 27001 descritos no Anexo A basicamente se refiram a informa\u00e7\u00e3o secreta (i.e., senhas, ou c\u00f3digos de autentica\u00e7\u00e3o produzidos por smart cards) como um meio de autentica\u00e7\u00e3o, a ISO 27002<\/a>, que detalha as recomenda\u00e7\u00f5es para controles da ISO 27001, recomenda o uso de pr\u00e1ticas de autentica\u00e7\u00e3o em muitos outros controles, com objetivo de torna-los mais robustos e aumentar a efic\u00e1cia deles em proteger a informa\u00e7\u00e3o. Estes s\u00e3o aqueles que voc\u00ea pode fazer uso da autentica\u00e7\u00e3o por dois fatores:<\/p>\nO papel da autentica\u00e7\u00e3o no controle de acesso, e a defini\u00e7\u00e3o de autentica\u00e7\u00e3o por dois fatores<\/h2>\n
\n
Por que usar autentica\u00e7\u00e3o por dois fatores?<\/h2>\n
\n
Autentica\u00e7\u00e3o por dois fatores aplicada aos controles ISO 27001<\/h2>\n