www.cesce.pt
 


Com o advento da Internet, o aumento dos negócios electrónicos na forma de produtos e serviços disponibilizados pelas Empresas no mundo virtual, bem como o desaparecimento lógico das fronteiras empresariais onde colaboradores têm um papel cada vez mais nómada dentro das organizações, aumentou substancialmente o risco de roubo ou de perda de informação pessoal, potenciando a fraude de identidade. Esta nova forma de fazer negócios em tempo real despoletou a necessidade de informação sempre disponível, a qualquer hora e em qualquer lugar, balanceada com a necessidade e pressão sobre as Organizações para estarem em conformidade com normas e politicas nacionais e internacionais (PCI - Payment Card Industry Data Security Standard; Basel e Basel II; ou por exemplo a Directiva da União Europeia sobre Protecção de Dados).

Para responder a estas necessidades, a Autenticação Multi-factor (AMF) é um sistema de segurança em que mais do que uma forma de autenticação é implementada, sendo os factores de autenticação formas independentes de provar a identidade e dar os respectivos privilégios ao utilizador final. Estes factores, com um papel determinante na ajuda de identificação da identidade real do utilizador, possuem métodos de autenticação que podem envolver até três tipos de factores:

• Conhecimento – Informação detida pelo utilizador, como passwords, PIN´s, etc.
• Posse – Algo que o utilizador possua, como o Cartão Débito/Crédito, Smart Card, Token, etc.
• Atributo – Algo que seja atributo pessoal do utilizador, como a utilização de impressão digital, Scan da retina ou identificação por voz.

A miríade de métodos de autenticação que existem hoje à disposição das Organizações torna a vida dos atacantes bastante mais difícil, sendo que a combinação de vários métodos provoca, de facto, a mitigação do risco de brechas de segurança para níveis próximos do zero. Os métodos de autenticação mais conhecidos e geralmente utilizados por grandes Corporações são tokens físicos com One Time Password (OTP); Cartões com display, ou com event time; cartões matriz; tokens por software incluindo PKI (Public Key Infrastructure); Smart Cards; Factores Biométricos e novos métodos, muitos deles sem custo para o utilizador final, como autenticação da máquina que se utiliza (Desktop, Portátil ou Telemóvel/PDA), autenticação por prévio conhecimento com pergunta / resposta, envio de credenciais para meios externos como telemóveis, PDA´s ou mesmo telefones físicos e Geo-localização do utilizador final por IP.

Com o elevado conjunto de métodos de autenticação existentes, escolher os apropriados pode ser uma tarefa herculeana. No entanto, soluções com administração e gestão centralizada de múltiplos factores de autenticação providenciam uma forma simples, flexível e ajustável, ao perfil de risco dos utilizadores alvo.

Como critério de selecção deve-se ter em consideração o custo inicial da solução e custo operacional da mesma calculando assim o TCO (Total Cost Of Ownership) da solução durante um determinado período de tempo. A “usabilidade” da solução, os utilizadores não deverão ter impacto no modo como estão habituados a interagir com os sistemas sendo este um dos pontos-chave para o sucesso deste tipo de soluções, uma escolha sábia, dos factores de autenticação cujo impacto na vida quotidiana do utilizador seja praticamente nulo tem mais hipóteses de ter sucesso e aceite pelos mesmos. A flexibilidade da plataforma deve ajustar-se ao perfil de risco dos utilizadores, e ser flexível para que possa mudar e acrescentar métodos de autenticação durante a vida útil da mesma e finalmente a integração com terceiras partes.

Neste âmbito, têm surgido inúmeras soluções de autenticação muito flexíveis, disponibilizando um conjunto de métodos de autenticação com custos reduzidos e, considerando que muitas das opções de autenticação não necessitam da compra de hardware, a plataforma corre em praticamente qualquer servidor e o utilizador não tem uma significativa alteração no modo como interage com as aplicações.

Face ao papel cada vez mais preponderante da Internet na forma como as empresas fazem negócio e contactam com os seus públicos, não há dúvida que a resposta do mercado tem vindo a aguçar a necessidade da utilização deste tipo de soluções disponibilizando uma plataforma aberta, versátil e que permite às Organizações incrementar de forma dramática a segurança, mitigando o risco de ocorrerem potenciais ataques.

Alexandre Costa
Gestor de Conta
CESCE SI

dci@cesce.pt