O uso crescente da Internet para transações e trocas de todo o tipo (bancárias, contratuais, de informações confidenciais, etc) criou uma necessidade pelo meio eletrônico cada vez mais robustos de autenticação
Se nas nossas interações offline do dia a dia autenticamos a identidade de alguém olhando para o rosto da pessoa com quem conversamos, o mundo eletrônico nem sempre tem essa facilidade.
Login e senha, códigos enviados por SMS, reconhecimento facial ou o nome do seu primeiro dog: as nossas comunicações eletrônicas estão repletas de infindáveis momentos em que provamos por a mais b que realmente somos quem dizemos ser.
Fatores e tipos de autenticação eletrônica
Autenticação eletrônica nada mais é do que provar, no meio eletrônico (um app, um site, um contrato digital), que alguém é quem diz ser.
Como fazê-lo? Ao longo das últimas décadas se desenvolveram inúmeras tecnologias que respondem essa pergunta; algumas nativas digitais e outras emprestadas do mundo offline .
Explicamos essa história: um processo de autenticação pode se dar por um ou mais dos fatores que exploraremos a seguir e para cada um deles temos alguns tipos distintos de autenticação.
Conhecimento
Uma autenticação eletrônica por conhecimento é quando se procura autenticar a autoria de algo por meio daquilo que se sabe, algo que outra pessoa não poderia ou deveria saber.
Como você já deve ter imaginado, o tipo mais comum de autenticação eletrônica por fator de conhecimento são as senhas, presentes nos acessos que realizamos online. Muito comumente passamos por esse tipo de autenticação por meio da dupla login e senha.
Em serviços de telecomunicação e certificados digitais é comum trabalhar-se com dois tipos de autenticações por fator de conhecimento: um PIN (Personal Identificator Number), utilizado como senha de acesso, e um PUK (Personal Unblock Key), como senha de desbloqueio, mas que são únicos e relacionados apenas ao portador.
Outro tipo comum de autenticação por fator de conhecimento são as famosas perguntas de segurança, que você provavelmente já teve contato pela internet. “Qual o nome do seu primeiro animal de estimação?” ou “qual o nome de solteiro da sua mãe?” são dois clássicos desse tipo de autenticação, embora existam muitas críticas a seu uso.
Posse
Um segundo fator de autenticação se dá por aquilo que se tem, algo que um impostor não teria.
Exemplos? Seu celular, um token ou cartão criptográfico. É esse tipo de fator que se usa quando um site envia um código de acesso por SMS para o seu celular — e aqui entramos em autenticações multifatoriais, já que você passa a ter algo (o código) por meio de algo que só você tem (seu celular), mas explicaremos essa história melhor logo mais.
Processo parecido acontece com os token criptográficos, que contêm uma informação exclusiva sua (uma chave criptográfica privada) em algo que apenas você tem, que para certificações digitais, no Brasil, por exemplo, pode ser um cartão com chip ou um token próprio (que é fisicamente parecido a um pendrive).
Autenticação por biometria
Se uma senha é aquilo que você sabe, e um token aquilo que você tem, a autenticação biométrica busca aquilo que você é. E se você pensou em impressão digital: acertou, mas não são só elas!
Os padrões únicos dos nossos dedos podem até ter virado sinônimo de biometria, mas a lista de tipos de biometria é bastante extensa, e é provável que você já tenha usado algum outro:
•reconhecimento facial;
•veias;
•retina;
•íris;
•voz;
•escrita à mão/assinatura;
•correspondência do DNA.
Repare que os vários tipos de autenticação por fator biométrico têm viabilidade, custo e demora muito diferentes, o que faz com que o uso seja diverso.
A autenticação por DNA, por exemplo, super confiável, é também bastante cara e morosa, o que faz com que seja usada apenas em situações um tanto extremas.
Autenticação multifatorial
Pense em um desses filmes de ficção científica em que um impostor tenta se passar por alguém — ele é um clone, talvez! — e outra personagem faz uma pergunta que apenas a pessoa legítima poderia saber.
Pois é, no mundo do sci-fi eis um exemplo de autenticação multifatorial: não satisfeito com o fator biométrico, a imagem da pessoa, busca-se um fator de conhecimento, uma pergunta de segurança.
Voltando para o eletrônico e para a realidade, é mais ou menos isso que acontece em inúmeros processos de autenticação; buscando maior segurança, usa-se dois, ou até os três, fatores de autenticação.
Exemplos não faltam. Se o app do seu banco pede uma senha e a impressão digital pelo aparelho, você já tem aí uma identificação em três fatores: seu celular (posse), senha (conhecimento) e impressão digital (biometria).
Certificado Digital
Outro exemplo de autenticação eletrônica multifatorial é ela, a certificação digital.
Antes da compra você tem senhas para logar e se identificar. Após a compra, ainda antes da emissão do certificado, você passa por uma etapa de validação presencial, uma autenticação no offline, a fim de gerar autenticidade no online. Durante o processo entra a biometria.
Com o certificado emitido, você tem a sua chave privada ou no software instalado no seu aparelho (computador ou smartphone), uma autenticação por posse, ou em uma mídia criptográfica, que pode ser o cartão ou o token próprio.
Por fim, você emite a sua assinatura digital por meio de um PIN, uma autenticação por conhecimento que só você tem acesso e é diferente de uma senha.
O certificado digital, criou, assim, uma assinatura digital que tem, legalmente, equivalência àquela manuscrita, desde que emitido seguindo o padrão da ICP-Brasil, órgão regulador da área.
O Procurador-Geral do ITI, Dr. Alexandre Munia, explicou em conversa com este blog que “para fins do direito, o padrão ICP-Brasil é o único que é equiparado [à assinatura manuscrita]. A presunção de veracidade e a equivalência funcional entre a assinatura manuscrita e o meio eletrônico depende do Certificado ICP-Brasil”.
Ou seja, para fins legais e contratos formais, no Brasil, a única forma de autenticação equiparada à famosa assinatura com firma reconhecida em cartório, é a assinatura digital emitida por um certificado no padrão da ICP-Brasil.
O certificado possibilitou, afinal, que o documento eletrônico, a validade jurídica e autenticidade se encontrassem em uma só conversa. E se você ainda não tem o seu certificado digital no padrão ICP-Brasil, a Valid tem uma linha completa de certificações.
Bônus: autenticando o tempo
Ok, até aqui falamos, simplificando, sobre provar, no meio eletrônico, que fulano realmente é fulano. Mas como podemos provar não só que alguém é quem diz ser, mas também que aquilo aconteceu no momento em que fulano diz que aconteceu?
Desatando esse nó: os relógios dos computadores não são confiáveis — pelo contrário, são facilmente manipuláveis. Criou-se, assim, a necessidade de autenticar não só pessoas, mas também o tempo, a temporalidade e tempestividade de algo.
Por meio das Autoridades Certificadoras do Tempo (ACT), um documento recebe uma sequência de caracteres que indica que aquela versão é exatamente como ele se apresentava em uma data e horário exato. Esse é o Carimbo de Tempo, processo inserido em uma intrincada cadeia de órgãos regulamentadores, que sincronizam relógios e se auditam.
Dessa forma, após assinar digitalmente um documento, você solicita um carimbo do tempo a uma ACT, que emite uma sequência de caracteres indicando o dia, hora, minuto e segundo que aquele fato ocorreu. Assim, você se blinda, juridicamente, de qualquer questão quanto à tempestividade do documento ou da assinatura.
Fonte: Blog Pode Contar por Valid Certificadora
Segurança digital: o que é preciso saber sobre a autenticação multifator
Valid aplica soluções inéditas em RG digital para a polícia civil do Estado de São Paulo – Ouça
A assinatura digital confere sigilo ao documento eletrônico?