Controlar credencias de acesso nas organizações é tão difícil quanto memorizar todas as senhas que utilizamos em nosso dia dia
Você já parou para pensar quantas vezes nós precisamos nos identificar para estabelecer a confiança para então nos conectar a um sistema? A autenticação precisa ser simples e forte para evitar que as corporações sofram invasões e sejam penalizadas com pesadas multas por negligenciar dados sensíveis.
Por Susana Taboas
Estamos cada vez mais conectados em busca de agilidade, mobilidade e a identificação digital é necessária para que a outra ponta confie em quem somos e então uma porta seja aberta e a conexão seja estabelecida.
A identificação digital vale para as conexões M2M – máquina a máquina, P2P – pessoa a pessoa, M2P – máquina a pessoa e P2M pessoa a máquina. Esse universo é imenso, é impossível administrar os acessos com nome e senha porque as pessoas tendem a criar senhas fracas e a repetir a mesma senha em vários locais.
Com isso, as pessoas acabam comprometendo suas senhas de serviços com informações sensíveis como seus dados de saúde ou suas senhas de acesso a sistemas financeiros.
As empresas para resolver essa fragilidade então lançaram mão de exigir duplo fator de autenticação e depois passaram a exigir múltiplos fatores de autenticação.
O duplo fator de autenticação, muitas vezes, é uma combinação de segredos, mesmo quando se usa a biometria, porque ela está armazenada em um banco de dados.
Autenticação forte: Matemática, computação, chaves criptográficas e biometria
Certificados ICP-Brasil
Quando se utiliza recursos matemáticos associados a validação de credenciais baseada em uso de alta tecnologia e procedimentos de um ecossistema para a emissão de credenciais fortes, como é o caso dos certificados digitais emitidos por Autoridade Certificadora de uma PKI – Public Key Infrastructure em português, Infraestrutura de Chaves Públicas, no caso brasileiro a ICP-Brasil, temos uma autenticação forte e com garantias reais inclusive.
Os Certificados Digitais ICP-Brasil são as credenciais mais fortes disponíveis por reunir evidências como autoria, integridade, autenticidade, qualificação, confidencialidade, temporalidade e, por isso, o que se faz com essa credencial é conduzido ao não-repúdio. Essa é a credencial de maior valor no universo eletrônico no Brasil assim como em muitos países em ecossistemas semelhantes a ICP-Brasil que são as PKI – Public Key Infrastructure em português, Infraestrutura de Chaves Públicas.
Esses certificados podem ser utilizados para autenticação como funcionalidade adicional porque são mais apropriados para assinaturas de documentos eletrônicos com valor legal, e segundo a Lei brasileira 14.063/2020, que trata da comunicação entre os entes públicos, a assinatura eletrônica produzida pelo certificado digital ICP-Brasil é classificada como AQ – Assinatura Qualificada.
O certificado digital ICP-Brasil poderia carregar os atributos do titular?
Sim poderia, porém isso não seria nada prático. Os Certificados Digitais possuem campos com informações específicas para identificação inequívoca de seus titulares, porém, como possuem validade de até 5 anos[i] –– não é conveniente incluir campos com informações que qualificam os titulares passiveis de alteração em um período de tempo inferior a validade do certificado digital. Se isso acontecesse, o certificado digital seria revogado e uma nova emissão precisaria se feita. O que deve ser considerado é que existe uma variação muito grande entre os custos/preços de emissão dos certificados digitais ICP-Brasil e dos certificados de atributos.
Certificados digitais fora da hierarquia ICP-Brasil
Os certificados digitais emitidos por Autoridade Certificadora Privadas. Aqui, o termo “AC Privada” não está relacionado a “não ser pública” e sim que é uma Autoridade Certificadora fora de um ecossistema de PKI.
Também são certificados x-509[ii], mas tem funcionalidades restritas ao ambiente controlado pela organização responsável pela AC Privada.
Assim como o certificado digital emitido em um ecossistema de PKI, esse certificado também possui um par de chaves pública e privada, mas sua interoperabilidade pode ser restrita dependendo das regras de negócios estabelecida na DPC da AC Privada. Para efeitos legais no Brasil é exigido que haja um acordo entre as partes para o uso dessa credencial como reconhecimento de manifestação de vontade no meio eletrônico. Segundo a Lei brasileira 14.063/2020, a assinatura eletrônica produzida por pelo certificado digital ICP-Brasil é classificada como AA – Assinatura Avançada.
Esse tipo de certificado digital pode ser utilizado para assinar documentos eletrônicos e por ser totalmente controlado por empresas, é muito prático para ser utilizado para autenticação de acesso físico, acesso a sistemas e máquinas, como assinatura de ponto dos funcionários, entre outras utilizações.
A AC Privada também possui uma – AR – Autoridade de Registro – vinculada a ela, que serve para validação das informações dos titulares.
A AR de uma AC Privada pode ser administrada por mais de um administrador, por exemplo, pode ser administrada pelo setor de Recursos Humanos que detém as informações de todos os colaboradores, ou por uma área de segurança e/ou de relacionamento com clientes.
Certificados de Atributos
O certificado de atributo é outro excelente recurso para ser utilizado em autenticações, e ao contrário dos certificados digitais são emitidos por uma EEA – Entidade Emissora de Atributos – que necessita de uma infraestrutura infinitamente mais simples para gerar, armazenar, revogar e renovar os certificados. São certificados mais simples, mesmo sendo um X-509, porque são certificados que utilizam apenas uma chave privada, diferente dos certificados digitais que funcionam com um par de chaves – pública e privada.
O certificado de atributo não está em um ecossistema com a PKI, a raiz do certificado é a própria EEA – Entidade Emissora de Atributos que assina cada certificado de atributo emitido com seu certificado digital ICP-Brasil. Esse é o fator de confiabilidade e segurança do certificado de atributo.
Por ter apenas sua chave privada para a autenticação, o certificado de atributo pode servir para autenticação na internet ou em terminais particulares fora da internet.
Mas, mesmo fora da rede, os terminais de leitura dos certificados de atributos ou de aproximação por RFID – Radio Frequency Identification e em português Identificação por Radio Frequência, por exemplo, precisam ter criptografia – Certificado TLS – Transport Layer Security, o protocolo que substituiu o SSL – Secure Sockets Layer -, para que o sistema não seja invadido e a regra de negócios que segue a política de segurança da empresa seja comprometida.
Existe outras credenciais de acesso?
Sim, muitas outras formas de autenticação em sistemas eletrônicos, mas nesse momento, vamos falar apenas sobre as mais utilizadas.
Biometria
A validação biométrica confirma a identidade das pessoas mediante aplicação de comparação estatístico de medição biológica das características físicas de um indivíduo com o objetivo de identifica-lo unicamente com alto grau de segurança.
A biometria avança muito como fator de autenticação, seja a biometria fingerprint, reconhecimento facial, biometria por voz, biometria manuscrita comportamental ou qualquer outra forma de biometria.
Validação Biográfica
É a confirmação da identidade da pessoa natural mediante comparação de fatos da vida das pessoas como: nome civil, nome social, nome da mãe, cidade onde nasceu, um dos endereços onde morou, vínculo profissional, escola em que estudou, com o objetivo de identificação unicamente.
Um bom e recente exemplo desse tipo da validação é o utilizado para a geração do aplicativo e-Título do TSE – Tribunal Superior Eleitoral.
Cartão RFID
O uso da tecnologia RFID – Identificação por Radiofrequência é comumente usado para controle de acesso, sensor de presença, sistemas de segurança e outras aplicações e funciona com cartão de aproximação.
Código de barras e QR Code
Credenciais mais simples com o uso de código de barras ou QR Code, muito utilizados para acessos rápidos como em eventos ou visitas a locais que exigem controle, mas com criticidade baixa.
Simplifique!
As pessoas não conseguem mais memorizar senhas de acesso, portanto é necessário estudar as alternativas disponíveis.
A confiança digital é alcançada identificando, verificando e autenticando adequadamente indivíduos, organizações e dispositivos antes de conceder acesso à ativos valiosos. Controle feito em planilhas ou o uso de diversas soluções de fornecedores diferentes é um trabalho insano e de altíssimo risco para as organizações.
10 pontos que podemos concluir com esse artigo
- O mundo está conectado e para cada conexão que fazemos precisamos nos autenticar;
- O controle de acesso com recursos de tecnologia nunca foi tão necessário para as corporações como nesse momento de mobilidade ao extremo;
- As pessoas não conseguem memorizar senhas fortes e únicas por sistema e isso coloca os usuários em risco;
- As combinações de desafios para múltiplos fatores de autenticação é um grande inibidor de fraudes e ainda pouco utilizado;
- Impossível controlar tantas variáveis de credenciais emitidas por diferentes fornecedores com sistemas frágeis;
- Qualquer credencial utilizada para autenticação ou assinatura eletrônica precisa ter controle de expiração;
- No mundo em que vivemos rodeados por equipamentos com o uso de tecnologia IA – Inteligência Artificial e IoT – Internet das Coisas não há como negligenciar a identificação digital entre M2M – máquina a máquina, P2P – pessoa a pessoa, M2P – máquina a pessoa e P2M pessoa a máquina;
- Todos os terminais em que pessoas ou máquinas se identificam precisam ter seus acessos protegidos com o protocolo de segurança TLS caso contrário, os hackers terão e darão acesso livre para quem e o que eles quiserem;
- As corporações precisam de um sistema único de gestão com capacidade para emitir, armazenar, controlar o ciclo de vida das credenciais com sinalização de expiração;
- As plataformas de gestão de eIDs – Identidades Digitais precisam ter interoperabilidade com vários tipos de credenciais com funções administrativas para diferentes gestores de cada tipo de credencial.
[i] Referência ao certificado digital ICP-Brasil.
[ii] X.509 é um formato padrão para certificados de chave pública, documentos digitais que associam com segurança pares de chaves criptográficas a identidades como sites, indivíduos ou organizações.
Se tiver outras sugestões em relação a autenticação escreva para nosssa redação.
Susana Taboas
Susana Taboas | COO – Chief Operating Officer – CryptoID. Formada em Economia pela PUC Rio, com MBA em Finanças pelo IBMEC e diversos cursos de extensão na FGV RJ, Harvard University (EUA) e INSEAD (França). Atuou em empresas como Vale do Rio Doce, NEC do Brasil, Cheminova, Nortel, Cableway Argentina, Certisign, Cast Informatica e Supportcomm. Durante sua carreira acumulou ampla experiência na definição e implementação de projetos estratégicos de médio e longo prazos nas áreas de Governança Corporativa, Recursos Humanos, Planejamento Estratégico e Financeiro, Tesouraria, Operações Financeiras Estruturadas no Brasil e no Exterior, Contabilidade, Fiscal, Logística e TI.
Leia outros artigos escritos por Susana Taboas