 |
No mês passado, pesquisadores japoneses provaram que é possível hackear contas recriando digitais dos usuários a partir de fotos de alta resolução publicada na internet e que mostrem a vítima fazendo sinal da paz (mais detalhes em Flash the Peace Sign, Get Your Phone Hacked?, fonte: PC PCMag.com).
Aliado à isso, também na mesma época ganhou destaque no noticiário do Brasil a informação de que o governo federal acidentalmente compartilhou uma planilha contendo o login e senha para acessar diversas contas do próprio governo em redes sociais tais como Facebook e Twitter:
Em acontecimentos como estes, talvez você pense algo como:
Infelizmente não há nada o que fazer caso alguém consiga roubar minhas impressões digitais ou se alguém conseguir descobrir minhas senhas.
Se estiver pensando isso, estou aqui para te contar que isto seria um equívoco :-)
Sabe por quê?
Bom, tem a resposta curta e a resposta longa :-)
A resposta curta é que muitos sites e sistemas, Facebook e Gmail, por exemplo, oferecem uma opção chamada Verificação de 2 Passos, que adiciona uma camada adicional de proteção além do seu login / senha. Assim, mesmo que alguém consiga descobrir sua senha (ou mesmo clonar a sua impressão digital), seria necessário informar um conjunto de números (normalmente 4 ou 6) que muda a todo minuto e que pode ser enviado pelo site via SMS para o seu celular ou ser gerado por um aplicativo que pode ser instalado no seu smartphone.
A resposta longa é que quando falamos de segurança, estamos nos referindo de maneira genérica à 2 processos distintos porém relacionados: Autenticação e Autorização.
Mas o que seria isso afinal a diferença de um para o outro? Estas duas palavras até rimam. Vai ver devem ser sinônimos. Na verdade:
- Autenticação é um processo de identificação no qual você prova a alguém que você é quem você diz ser.
e - Autorização é o processo de verificar os acessos (ou permissões) que você tem uma vez que você foi identificado (Autenticado).
Ficou muito abstrato?
Então usemos um exemplo bem prático:
- Se eu fizer uma visita pessoal ou de trabalho a alguém que reside ou mora em um prédio, normalmente o segurança me solicitará uma identificação (o nosso RG, por exemplo). Uma vez que ele vê que o RG é legítimo e que eu sou dono daquele documento, ele saberá que eu sou o Marcos Farias (ou seja, estou Autenticado). Isto foi um processo de Autenticação.
- Em seguida, o segurança interfona para a pessoa que desejo visitar e pergunta se ela está me aguardando. Em caso positivo, eu terei meu acesso liberado e estarei Autorizado a acessar o interior do edifício. Isto foi um processo de Autorização.
No nosso caso, cumpre observar que qualquer site ou aplicativo que solicite um Login e Senha de seus usuários está fazendo um processo de autenticação e neste momento é interessante compartilhar que em termos de processos de Autenticação, é interessante saber que eles podem ser de 3 tipos:
- CONHECIMENTO ÚNICO
Usuário informa algo que se supõe que apenas ele sabe.
Um exemplo bastante comum é o uso de Login e Senha. Este é o tipo mais comum de processo de autenticação em sistemas e sites. - PROPRIEDADE ÚNICA
Usuário apresenta algo que se supõe que apenas ele possui.
Um exemplo é o uso de um token (certificado) a ser "espetado" no computador. - BIOMETRIA ÚNICA
Baseado em algo que se supõe apenas ele é.
Um exemplo é o uso de um leitor de digital
Com isto posto, talvez esteja evidente agora que caso alguém consiga obter as senhas ou as digitais de um usuário, estamos lidando com um problema de Autenticação.
E a solução que indiquei na resposta curta consiste em nada mais do que combinar 2 destes tipos de processo para adicionar uma camada extra de proteção para nós usuários.
Isto é inclusive uma proteção contra Phishing.
Para saber mais:
- Flash the Peace Sign, Get Your Phone Hacked?
Fonte: PC PCMag.com - Planalto publica senhas de redes sociais do governo por engano e gera memes
Fonte: Último Segundo - iG
