{"id":22540,"date":"2015-10-22T18:53:40","date_gmt":"2015-10-22T18:53:40","guid":{"rendered":"http:\/\/obegef.pt\/wordpress\/?p=22540"},"modified":"2015-12-04T19:11:32","modified_gmt":"2015-12-04T19:11:32","slug":"a-password-morreu-viva-a-password","status":"publish","type":"post","link":"https:\/\/obegef.pt\/wordpress\/?p=22540","title":{"rendered":"A password morreu. Viva a password!"},"content":{"rendered":"<p style=\"text-align: left;\"><span style=\"color: #d8070f;\"><strong>Edgar Pimenta, Vis\u00e3o on line<\/strong><\/span>,<\/p>\n<p style=\"text-align: left;\"><a href=\"http:\/\/visao.sapo.pt\/blogues\/silencio-da-fraude\/2015-10-21-A-password-morreu.-Viva-a-password\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-19 alignleft\" title=\"Liga\u00e7\u00e3o \u00e0 Publica\u00e7\u00e3o\" src=\"http:\/\/obegef.pt\/wordpress\/wp-content\/uploads\/2009\/01\/go2.png\" alt=\"\" width=\"16\" height=\"16\" \/>\u00a0<\/a><a href=\"http:\/\/obegef.pt\/wordpress\/wp-content\/uploads\/2015\/10\/VisaoE353.pdf\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-2032\" title=\"Ficheiro PDF\" src=\"http:\/\/obegef.pt\/wordpress\/wp-content\/uploads\/2013\/05\/pdf_button.png\" alt=\"\" width=\"14\" height=\"14\" \/><\/a><\/p>\n<div>\n<p>A <em>password<\/em> apresenta diversos problemas como sistema de autentica\u00e7\u00e3o. Mas\u2026<\/p>\n<p>...<\/p>\n<\/div>\n<div>\n<p><span style=\"font-size: 0.75rem; line-height: 1.25rem;\"><!--more--><\/span><\/p>\n<p>A autentica\u00e7\u00e3o atrav\u00e9s de <em>password<\/em> \u00e9, provavelmente, o m\u00e9todo de autentica\u00e7\u00e3o (processo no qual provamos que somos mesmo n\u00f3s) generalizado mais antigo que se conhece e j\u00e1 tem uns bons anos. No entanto, ser\u00e1 que o fim est\u00e1 pr\u00f3ximo?<\/p>\n<p>Sen\u00e3o, vejamos.<\/p>\n<p>Considera-se que a autentica\u00e7\u00e3o junto de um qualquer sistema pode ser feita segundo tr\u00eas m\u00e9todos: Algo que se sabe, algo que se tem ou algo que se \u00e9.<\/p>\n<ul>\n<li>Algo que se sabe - \u00e9 o m\u00e9todo onde se enquadra a <em>password<\/em> e \u00e9 considerado, em termos de seguran\u00e7a, o mais fraco dos tr\u00eas.<\/li>\n<li>Algo que se tem - quando a autentica\u00e7\u00e3o se baseia em algo que s\u00f3 o utilizador possui e que, tipicamente, \u00e9 algo f\u00edsico.<\/li>\n<li>Algo que se \u00e9 - m\u00e9todo onde entra a biometria; \u00e9 quando a autentica\u00e7\u00e3o \u00e9 efetuada com base em caracter\u00edsticas da pessoa, n\u00e3o sendo por isso facilmente falsific\u00e1vel ou reproduz\u00edvel (\u00edris, impress\u00e3o digital, etc..). Este \u00e9 considerado o m\u00e9todo mais seguro dos tr\u00eas.<\/li>\n<\/ul>\n<p>Para tornar o processo de autentica\u00e7\u00e3o ainda mais robusto, o ideal \u00e9 juntar a autentica\u00e7\u00e3o usando dois destes fatores (ou mesmo tr\u00eas). \u00c9 a vulgarmente designada como <em>two-factor authentication<\/em>.<\/p>\n<p>Um exemplo simples, e que anda na carteira de muitos de n\u00f3s, \u00e9 o vulgar cart\u00e3o multibanco. Para se levantar dinheiro, \u00e9 preciso algo que se tem (o cart\u00e3o) e algo que se sabe (o PIN ou c\u00f3digo). Um outro exemplo s\u00e3o as valida\u00e7\u00f5es de transfer\u00eancias banc\u00e1rias: ap\u00f3s autentica\u00e7\u00e3o no site do banco, temos que confirmar o movimento com base em algo que temos (pode ser um cart\u00e3o matriz, um <em>token<\/em> ou um telem\u00f3vel \u2013 envio de sms).<\/p>\n<p>Consequentemente, a autentica\u00e7\u00e3o por <em>password <\/em>\u00e9 sem d\u00favida o sistema mais utilizado, nomeadamente pela facilidade de implementa\u00e7\u00e3o (o ser f\u00e1cil n\u00e3o implica que seja bem feito) e pela facilidade de utiliza\u00e7\u00e3o \u2013 \u00e9 algo j\u00e1 habitual no nosso dia a dia. Contudo, por outro lado, \u00e9 um sistema com diversas fragilidades. A primeira est\u00e1 entre o teclado e a cadeira (sim, estou a falar de si). Tendemos a escolher <em>passwords<\/em> simples, f\u00e1ceis de decorar (\u201c123456\u201d e \u201cpassword\u201d est\u00e3o entre os c\u00f3digos mais comuns). E para melhor tudo isto, ainda usamos a mesma <em>password<\/em> em diversos s\u00edtios \u2013 aumentando o risco <em>KOKA \u2013 Know One, Know All<\/em>. \u00c9 a natureza humana. Mas n\u00e3o \u00e9 s\u00f3 aqui que a natureza humana falha!<\/p>\n<p>Quando colocamos a <em>password<\/em> num qualquer sitio para nos autenticarmos, ela \u00e9 comparada com a arquivada (escolhida previamente). \u00c9 s\u00f3 atrav\u00e9s dessa compara\u00e7\u00e3o que \u00e9 poss\u00edvel verificar se a <em>password<\/em> introduzida \u00e9 a correta. Esse arquivo pode (mas n\u00e3o deve!!) ser feito sem qualquer tipo de prote\u00e7\u00e3o ou com um n\u00edvel de prote\u00e7\u00e3o mais elevado (usando umas fun\u00e7\u00f5es matem\u00e1ticas que permitem gerar um c\u00f3digo cifrado que n\u00e3o \u00e9 revers\u00edvel \u2013 fun\u00e7\u00f5es <em>hash<\/em>). No entanto, quando nos registamos num qualquer site, n\u00e3o sabemos se a entidade que arquivou o password para nossa futura utiliza\u00e7\u00e3o resolveu usar um sistema de arquivo suficiente robusto ou n\u00e3o (a forma como \u00e9 usada a tal fun\u00e7\u00e3o <em>hash <\/em>\u00e9 decisiva \u2013 se n\u00e3o for feito da forma correta, o n\u00edvel de prote\u00e7\u00e3o pode ser insuficiente).<\/p>\n<p>E quando um dia sabemos que a nossa <em>password<\/em> foi comprometida, mudamos. J\u00e1 agora, \u00e9 boa pr\u00e1tica n\u00e3o usar a mesma <em>password<\/em> em todos os sistemas e alter\u00e1-la periodicamente.<\/p>\n<p>\u00c9 por estas e por outras raz\u00f5es que a <em>password<\/em> come\u00e7a a ter a sua morte anunciada. E os sistemas biom\u00e9tricos come\u00e7am a ganhar alguma relev\u00e2ncia, at\u00e9 porque a tecnologia tem vindo a ficar mais barata, facilitando a sua massifica\u00e7\u00e3o.<\/p>\n<p>A impress\u00e3o digital \u00e9, dos v\u00e1rios sistemas biom\u00e9tricos, o que tem vindo a ganhar mais espa\u00e7o. Alguns <em>smartphones<\/em> incluem j\u00e1 o desbloqueio por este sistema. Agora sim, seguran\u00e7a robusta!!<\/p>\n<p>Mas ser\u00e1?<\/p>\n<p>Quando passamos o dedo num leitor de impress\u00e3o digital para autentica\u00e7\u00e3o, essa informa\u00e7\u00e3o ter\u00e1 de ser passada para um qualquer formato que permita a compara\u00e7\u00e3o com uma c\u00f3pia guardada no sistema, certo? E como est\u00e1 guardada essa c\u00f3pia? Estar\u00e1 guardada de forma segura e que n\u00e3o permita a reprodu\u00e7\u00e3o da impress\u00e3o digital? Mais, supondo que essa informa\u00e7\u00e3o \u00e9 divulgada? Como mudamos a impress\u00e3o digital? Se n\u00e3o devemos divulgar as nossas <em>passwords<\/em>, como fazemos para n\u00e3o divulgar a nossa impress\u00e3o digital?<\/p>\n<p>Quando perder o seu telem\u00f3vel com desbloqueio por impress\u00e3o digital, pode ficar descansado que essa mesma impress\u00e3o digital n\u00e3o est\u00e1 em mais lado nenhum do equipamento? Utiliza-o sempre com luvas!<\/p>\n<p>De facto, a <em>password<\/em> apresenta diversos problemas como sistema de autentica\u00e7\u00e3o. Mas a aplica\u00e7\u00e3o pr\u00e1tica de alguns m\u00e9todos tidos como mais seguros tamb\u00e9m n\u00e3o est\u00e3o isentos de problemas. O que leva a uma m\u00e1xima sempre verdadeira da seguran\u00e7a: n\u00e3o existem sistemas perfeitos! Com quais imperfei\u00e7\u00f5es somos mais capazes de viver?<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Edgar Pimenta, Vis\u00e3o on line, \u00a0 A password apresenta diversos problemas como sistema de autentica\u00e7\u00e3o. Mas\u2026 &#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_bbp_topic_count":0,"_bbp_reply_count":0,"_bbp_total_topic_count":0,"_bbp_total_reply_count":0,"_bbp_voice_count":0,"_bbp_anonymous_reply_count":0,"_bbp_topic_count_hidden":0,"_bbp_reply_count_hidden":0,"_bbp_forum_subforum_count":0,"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[72,123],"tags":[],"class_list":["post-22540","post","type-post","status-publish","format-standard","hentry","category-cronicas","category-visao-online"],"_links":{"self":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/22540","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22540"}],"version-history":[{"count":3,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/22540\/revisions"}],"predecessor-version":[{"id":22897,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/22540\/revisions\/22897"}],"wp:attachment":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22540"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22540"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22540"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}