Controle de Acesso por Senhas

Por: Max Gorissen

Para prevenir ou restringir acessos não autorizados aos sistemas operacionais, a maneira mais simples é através da digitação de um login e uma senha.

Apenas para ilustrar rapidamente o processo, após a digitação do login e da senha, essas informações são enviadas para um servidor onde são comparadas com as que estão em uma tabela de usuários. Se todas as informações forem corretas e “baterem” com as da tabela, a pessoa ganha o direito de acesso ao programa, utilitário, aplicativo, site/ página, etc.

Infelizmente, apesar de parecer seguro, este sistema tem várias vulnerabilidades que permitem o roubo de senhas ou acesso indevido ao conteúdo.

Não vou discutir as vulnerabilidades, mas sim focar em algumas recomendações a respeito do Controle de Acesso.

Basicamente devemos tomar o cuidado para que o procedimento de entrada divulgue o mínimo de informações sobre o sistema de forma a evitar o fornecimento de informações desnecessárias a um usuário não autorizado.

Convém ter com base no desenvolvimento de um bom procedimento de entrada no sistema (log-on) o seguinte:

  1. Não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com sucesso;
  2. Mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados;
  3. Não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuário não autorizado;
  4. Valide informações de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado de entrada está correta ou incorreta;
  5. Limite o número permitido de tentativas de entrada no sistema (log-on) sem sucesso, por exemplo, três tentativas, e considere:
    5.1) Registro das tentativas com sucesso ou com falha;
    5.2) Imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior de acesso sem autorização específica;
    5.3)Encerramento das conexões por data link;
    5.4) Envio de uma mensagem de alerta parar o console do sistema, se o número máximo de tentativas de entrada no sistema (log-on) for alcançado;
    5.5) Configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o valor do sistema que está sendo protegido.
  6. Limite de tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convém que o sistema encerre o procedimento;
  7. Mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso:
    7.1) Data e hora da última entrada no sistema (log-on) com sucesso;
    7.2) Detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último acesso com sucesso;
  8. Não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por símbolos;
  9. Não transmita senhas em texto claro pela rede.

Convém que todos os usuários tenham um identificador (ID) para uso pessoal e que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário.

Para complementar, existem também os certificados de segurança, uma maneira considerada mais segura de proteção na transmissão de dados. Para resumir, já que não vou discutir esse assunto neste artigo, os certificado de segurança são como carteiras de identidade virtuais que certificam que o servidor está criptografando os dados pelo protocolo SSL (Securer Socket Layer) Assim não se corre o risco de que, por exemplo, números de cartão de crédito sejam interceptados.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s