SSI-04. FORMAS DE AUTENTICAÇÃO

1. 4.1. Conceito de Autenticação

1.1. 4.1.1. Autenticação é o processo de verificar a identidade de um usuário, sistema ou entidade.

1.2. 4.1.2. Visa garantir que quem tenta acessar um recurso é realmente quem diz ser.

1.3. 4.1.3. É um dos pilares da segurança da informação, ao lado da confidencialidade, integridade e disponibilidade.

1.4. 4.1.4. Atua como a primeira barreira de proteção contra acessos não autorizados.

1.5. 4.1.5. Deve ser robusta o suficiente para resistir a tentativas de engenharia social, força bruta e exploração de falhas.

2. 4.2. Categorias de Fatores de Autenticação

2.1. 4.2.1. Fator de conhecimento – algo que o usuário sabe (ex: senha, PIN).

2.2. 4.2.2. Fator de posse – algo que o usuário tem (ex: token, smartcard).

2.3. 4.2.3. Fator de inerência – algo que o usuário é (ex: biometria, reconhecimento facial).

2.4. 4.2.4. Fator de localização – onde o usuário está (ex: geolocalização confiável).

2.5. 4.2.5. Fator de tempo – quando o usuário acessa (ex: horário permitido para login).

3. 4.3. Autenticação de Fator Único (SFA)

3.1. 4.3.1. Utiliza apenas um fator de autenticação, geralmente uma senha.

3.2. 4.3.2. Simples de implementar, mas vulnerável a ataques como phishing e força bruta.

3.3. 4.3.3. Ainda amplamente utilizada, especialmente em sistemas legados.

3.4. 4.3.4. Requer complementação com outros mecanismos para ambientes críticos.

3.5. 4.3.5. Deve ser usada com políticas rigorosas de senhas e autenticação por sessão.

4. 4.4. Autenticação de Múltiplos Fatores (MFA)

4.1. 4.4.1. Combina dois ou mais fatores diferentes de autenticação.

4.2. 4.4.2. Exemplo clássico: senha + código enviado por SMS ou app autenticador.

4.3. 4.4.3. Aumenta significativamente a segurança de acesso.

4.4. 4.4.4. Pode utilizar biometria como fator adicional.

4.5. 4.4.5. Recomendado para sistemas sensíveis e de alto privilégio.

5. 4.5. Biometria e Autenticação Comportamental

5.1. 4.5.1. Biometria física – impressões digitais, íris, rosto, voz.

5.2. 4.5.2. Biometria comportamental – padrão de digitação, ritmo de uso, movimentação do mouse.

5.3. 4.5.3. Oferece praticidade e alta segurança, mas levanta preocupações com privacidade.

5.4. 4.5.4. Sistemas biométricos devem considerar falsos positivos/negativos.

5.5. 4.5.5. Combinada com outros fatores, torna o acesso quase intransponível.

6. 4.6. Protocolos e Padrões de Autenticação

6.1. 4.6.1. Kerberos – protocolo baseado em tickets para autenticação segura em redes.

6.2. 4.6.2. RADIUS e TACACS+ – usados em redes corporativas para autenticação centralizada.

6.3. 4.6.3. OAuth 2.0 e OpenID Connect – utilizados para autenticação e autorização em APIs e aplicações web.

6.4. 4.6.4. SAML – autenticação federada para aplicações web corporativas.

6.5. 4.6.5. FIDO2/WebAuthn – autenticação sem senhas, usando chaves criptográficas.

7. 4.7. Desafios e Boas Práticas

7.1. 4.7.1. Gestão segura de senhas – evitar reutilização, uso de gerenciadores confiáveis.

7.2. 4.7.2. Educação dos usuários – phishing ainda é um dos principais vetores de quebra de autenticação.

7.3. 4.7.3. Desconfiança zero (Zero Trust) – nunca confiar, sempre verificar, mesmo dentro da rede.

7.4. 4.7.4. Monitoramento e alertas – logins suspeitos devem disparar alertas em tempo real.

7.5. 4.7.5. Revisão periódica dos métodos de autenticação – acompanhar evolução tecnológica e ameaças.