segunda-feira, 15 de janeiro de 2018

Hardcore Devel #71 - Autenticação

Fala meu povo e minha pova de computação e TI. Vocês porventura são vocês mesmos?


Não importa pra mim. Eu não to fazendo autenticação nesse site mesmo. hu3
Mas aí vem a coisa, existem dois pilares no mundo da segurança da informação: Autenticação e Autorização. Hoje eu vou falar de autenticação como vocês já puderam ler no título.

Autenticação é aquela coisa chata que consiste em demonstrar que você é você. Eu não sei se você nunca parou para pensar nisso por alguns instantes, mas se você não o fez, pense por um instante. Como você faz para provar que você é você? Obviamente suas feições já dizem bastante coisa sobre você mas quando estamos na internet, não tem essa facilidade(ainda). Ninguém ta vendo a sua cara o que os computadores veêm são no máximo o cabeçalho do pacote que você está enviando a ele.

E cá entre nós. Esse cabeçalho não tem informação confiável nenhuma né?

O mundo até tenta, e pra uma grande parcela da população que é usuária final dos sistemas, é o suficiente. Faixas de IP associadas a localizações geograficas fazem excelentes filtros de busca para a maioria das situações, mas aqui nós não estamos pensando na maioria das situações e sim de um atacante particularmente inteligente que vai tentar atacar o método de autenticação de todas as formas possíveis.

Acredito que enquanto isso você pensou em formas de você provar que você é você mesmo, correto? Também imagino que a primeira coisa que você pensou foi a carteira de identidade onde se lê - "Fé pública em todo o território nacional". - Em outras palavras qualquer pessoa ou autoridade pode confiar naquele documento. Obviamente as pessoas vão fazer a verificação básica da foto e acredito que aí a gente já imagina que as coisas começam a se perder.

Isso quer dizer que se eu tiver uma identidade com a minha foto dizendo que meu nome é Zé das Couves. Todas as pessoas e autoridades podem ter certeza de que eu sou de fato o Zé das Couves. Não tem questionamento nenhum nem mesmo se o próprio Zé das Couves aparecer.

E antes que você se pergunte, essa situação só é contornável se a polícia já tiver um regustro de perda do documento.

O segundo problema é que as feições mudam, então você pode ficar irreconhecível para a sua própria identidade, o que seria um infortunio muito grande.

Essa seria uma forma de autenticação que eu chamo de "Objeto exclusivo". Não sei se existe uma nomenclatura específica para esse método mas consiste na pessoa apresentar um objeto que seria único para si e com isso se autenticaria. Existem dois ataques possíveis, o clone do objeto ou o roubo do mesmo, uma vez que o objeto só é útil com a posse o mesmo.

Então vamos para o clássico da informática, o username/password. Esse método consiste em uma base de dados que possui uma informação sua registrada. Isso é como um acordo. Você acorda um código e se responder correto, essa pessoa provavemente é você. Nesse caso você está pensando em usar uma autenticação baseada em algo que só você sabe.

A partir daí fica mais complicado porque todos os outros métodos são variantes disso limitados por tempo ou negociados no instante. A maioria das autenticações de dois fatores funciona assim. A validação de dados por telefone ou por e-mail são estratégias para mitigar possíveis falsidades ideológicas, mas ainda assim, são basicamente bits inclusos em computadores e isso sempre abrirá precedentes para falhas uma vez que qualquer informação pode ser reproduzida.

Daí fica a pergunta, será que existe alguma informação nas pessoas que não pode ser reproduzida por outra? Se isso existir então haverá o método de autenticação perfeito. Até lá, vamos ter que nos virar com os imperfeitos mesmo.


Imagens:

Nenhum comentário:

Postar um comentário