regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

terça-feira, 6 de setembro de 2011

Autenticação é a palavra-chave


Jeremy Grant

"Estamos tentando nos livrar das senhas. É hora de algo melhor".








A declaração é de Jeremy Grant, conselheiro Executivo Sênior do Escritório Nacional de Programa dos Estados Unidos, da Estratégia Nacional para Identidades Confiáveis no Ciberespaço (NSTIC, na sigla em inglês), um programa da administração Obama para melhorar os métodos utilizados em autenticações online. Para ele, o governo norte-americano pode conduzir a indústria para novas tecnologias em larga escala. Mas, no Brasil, isso é uma iniciativa basicamente privada.

André Carraretto
Afinal, oferecer autenticações fortes para empresas é uma necessidade real no ambiente competitivo no qual o País se encontra em relação ao cenário internacional. Segundo André Carraretto, gerente de Engenharia de Sistemas da Symantec, há um interesse crescente nesses tipos de soluções, ainda mais com as tecnologias de computação na nuvem. "A preocupação das empresas de levar as informações e sistemas para o Cloud é garantir proteção ao acesso às informações", diz.


Faz sentido, já que a tecnologia trata justamente do armazenamento de dados e processos remotamente. Para ter acesso a isso sem a possibilidade de haver interceptações ou falsidade ideológica, um método de autenticação forte é extremamente necessário. Com senha compartilhada dentro de empresas, a chance de se escancarar a vulnerabilidade fica ainda maior. "Você perde a capacidade de fazer o rastreamento. É difícil saber quem daquele grupo está fazendo isso", afirma Carraretto.


Para ingressar com maior força no mercado de autenticação, a Symantec comprou em maio do ano passado por US$ 1,28 bilhão a VeriSign, empresa com atuação em 160 países e mais de 175 milhões de impressões diárias. O negócio incluiu as divisões Secure Sockets Layer, Public Key Infrastructure (PKI), VeriSign Trust Services e o serviço VeriSign Identity Protection (VIP), este último com validação de chave baseado na nuvem.


Sem esse tipo de tecnologia, se o usuário estiver utilizando uma rede pública e a máquina está infectada, o invasor consegue ter acesso às informações. "Se ele estiver utilizando uma solução de autenticação forte, o hacker teria de capturar tudo, inclusive o token, mas não daria tempo de utilizá-lo porque, uma vez usado, ele perde a validade. As informações capturadas são insuficientes para acesso, então há a proteção", diz o executivo.
Mobilidade

Apesar do promissor mercado, a própria empresa de segurança afirma que os ciberataques cresceram 93% por dia no último ano. Nesta corrida, por outro lado, o número de credenciais VIP chegou a 5,5 milhões, sendo 3,5 milhões em plataformas móveis. "Em vez de carregar vários tokens físicos, é possível ter um rodando no celular, já que você está sempre carregando o aparelho", diz Carraretto. O aplicativo, que é gratuito, também pode ser utilizado para autenticação em sites de forma opcional para adicionar uma camada a mais de proteção, como no site de pagamentos virtuais PayPal ou no de leilões e classificados eBay.

É preciso, no entanto, deixar claro que existe uma diferença entre a versão móvel e a física do mecanismo. “O token no celular não deixa de ser um software. Neste caso, mesmo que utilizemos as melhores técnicas de anticlonagem e ofuscation das sementes, na comparação a um token hardware, o software acaba sendo, de alguma forma, menos seguro. O token hardware está completamente isolado do mundo, numa caixinha inviolável e sem nenhum tipo de comunicação", esclarece o gerente de Engenharia de Sistemas da Symantec.

Isso não impede que 65% dos usuários de tokens tenham migrado para o celular, segundo informações da empresa. "Qualquer solução de proteção (autenticação) considera a balança Segurança X Comodidade. E o mesmo acontece na comparação Token X Celular”, diz. Ou seja, o risco existe, mas não deve ser levado ao nível de paranoia. “O mais importante é estar com uma autenticação forte. E tem questões de segurança do próprio celular que podem ajudar”, ameniza, citando exemplos de aplicativos de proteção em caso de extravio. “A tendência é de haver cada vez mais necessidade de autenticação”.


Fonte: Risk REPORT

Nenhum comentário:

Postar um comentário

Agradecemos sua participação.