Tipos de autenticação

Segundo Halunen et al. (2017), something you know, something you have, something you are ou something else, são os quatro tipos de autenticação que existem.

Serão analisados os quatro tipos de autenticação, mas deve haver um esforço acrescido na compreensão do tipo something you know, sendo este o mais comum e mais utilizado no contexto em que a investigação se insere.

Em something you know os fatores que estão baseados em algo que se conhece, são mantidos como segredo de forma a confirmar a identidade do utilizador. Existem quatro formas de autenticação por conhecimento, sendo estas a password escrita ou desenhada, password falada, password utilizada uma só vez e performed password.

Considera-se password escrita toda aquela que é escrita com o objetivo de ter acesso a um serviço prestado pela plataforma onde estão a tentar autenticar-se. Este tipo de password deve ser complexa de forma a não haver sucesso nos ataques feitos por terceiros que queiram ter acesso

às passwords de outros utilizadores. Estas são fáceis de aprender, usadas eficientemente, não é frequente haver erros e facilmente se recuperam em caso de perda.

Uma password falada requer que o dispositivo utilizado para proceder à autenticação tenha um sistema de microfone ou algo semelhante, sendo que à semelhança da password escrita, este tipo de password também é fácil de aprender, usada eficientemente, não é frequente haver erros e facilmente recupera em caso de perda.

As passwords que são utilizadas uma só vez, tal como as passwords escritas e desenhadas e as passwords faladas são fáceis de aprender, usadas eficientemente e não é frequente haver erro. Mas ao contrário destas duas, as passwords utilizadas uma só vez não são fáceis de recuperar em situações de perda, sendo que deverá ser necessário criar uma nova lista de one time passwords.

Por fim, as performed passwords são aquelas que, por exemplo, são feitas através de gestos corporais. Estes gestos podem ser vistos por qualquer pessoa mas não é propriamente fácil fazer passar-se pelo utilizador proprietário da password. Considera-se que este tipo de password é usado eficientemente, mas a existência de erros depende muito do método utilizado na execução do gesto escolhido. É fácil recuperar a password em caso de perda porque o utilizador pode alterar o gesto escolhido.

Considera-se autenticação something you have quando se utilizar algo que se tem na posse física para proceder a uma autenticação. São exemplo disto os tokens.

“Os objetos, conhecidos como tokens, são utilizados para gerar OTPs (onetime passwords), isto é, senhas utilizadas uma única vez e então descartadas. Desta forma, a cada autenticação, não basta para um atacante obter apenas a senha, mas também é preciso conhecer a OTP que será escolhida para a sessão”. (Yamasaki et al., 2007, p. 1).

Neste tipo de autenticação, por vezes, é necessário haver um sistema que suporte a utilização do token. Um exemplo simples a apontar é a identificação dos médicos nos hospitais, sendo que estes usam um cartão de identificação para se fazer todo o seu controlo e para isso necessitam de um leitor de cartões. Para este tipo de autenticação, o maior problema de segurança é a possibilidade de haver um roubo, tornando possível que um desconhecido tenha acesso aos dados

do utilizador e até se faça passar por ele. Sendo então importante não usar um token para várias funcionalidades, tentando assim preservar os dados do utilizador.

As autenticações feitas através de sistemas de controlo de acesso por verificação biométrica (something you are) têm vindo a ser cada vez mais comuns e consideram-se bastante seguras, sendo este acesso muito difícil de roubar.

A autenticação por impressão digital, é a mais conhecida da lista das várias autenticações biométricas sendo que agora é um sistema muito utilizado nos smartphone.

À semelhança da impressão digital através da deteção da face do utilizador também é possível proceder à sua autenticação, sendo este processo também muito comum e possível de utilizar num simples smartphone, com a utilização da câmara fotográfica.

A utilização das mãos para se autenticar é algo bastante aceite pela sociedade, sendo um método bastante utilizado maioritariamente para o registo de horário de funcionários em inúmeros estabelecimentos.

É possível proceder a uma autenticação utilizando a iris do olho, tendo uma câmara como leitor. Este processo acaba por ser bastante normal porque qualquer pessoa o pode utilizar e, ao mesmo tempo, é algo que a sociedade tem vindo a aceitar com bastante facilidade, sendo que olhar para uma câmara não é algo que as pessoas estranhem. É possível que através de uma foto alguém tente aceder aos dados da outra pessoa, mas é quase certo que não terá sucesso devido aos mecanismos de defesa que este sistema apresenta.

Parecido ao processo da iris existe também a possibilidade de se autenticar pela retina do olho, que passa pela identificação das veias sanguíneas presentes na retina.

Tal como os dois processos anteriores, é possível proceder a uma autenticação através da vasculatura branca do olho para validar a autenticação de um utilizador.

Um utilizador pode proceder a uma autenticação dando uso à sua voz, sendo que apenas uma minoria da população não o conseguirá fazer. Para este tipo de autenticação biométrica é necessário ter um microfone para ser possível detetar a voz do utilizador. Não se considera fácil o roubo de identidade, já que é muito difícil conseguir imitar a voz de outra pessoa na perfeição.

A identificação do ADN tem sido muito utilizada nas investigações criminais. Este método poderia vir a ser mais implementado nos processos de autenticação, sendo ele eficaz e muito aceite pela sociedade.

O odor corporal também é apontado como uma possível identificação de um utilizador. Este método implica que para proceder à autenticação se tenha um sistema sofisticado de deteção do odor.

É possível autenticar-se com a simples deteção da orelha do utilizador. Este processo não é dos processos mais comuns e ao mesmo tempo é considerado bastante seguro, porque é muito difícil proceder à autenticação de outro utilizador, mesmo com uma imagem da sua orelha, pois este processo tem bastantes mecanismos de defesa.

Através das características físicas do cérebro, é possível proceder a um processo de autenticação. Este método é acessível a qualquer utilizador, mas requer um equipamento mais sofisticado para a medição do cérebro.

A forma de andar do utilizador tem vindo a ser proposto como uma forma de autenticação, podendo utilizar uma simples câmara de um smartphone para se autenticar.

Por último, em something else estão presentes os métodos que não se enquadram em nenhuma das categorias anteriores.

Através do perfil do utilizador é possível registar as ações e informações do mesmo para que este se autentique.

O utilizador pode ser testado através de uma tarefa mental num simples smartphone para se autenticar.

O contexto social pode ser utilizado de várias formas para se proceder a uma autenticação, sendo este automático, utilizando, por exemplo, o Bluetooth ou então por verificação humana.

O contexto físico poderá ser utilizado num processo de autenticação, por exemplo, com o acesso às coordenadas do utilizador, podendo utilizar um smartphone para o processo. Neste processo é fácil haver roubo de identidade, sendo que basta ter conhecimento da localização da autenticação para proceder ao roubo.

A autenticação temporal também começa a ser utilizada, como por exemplo, nos cofres, e é algo simples, visto que qualquer utilizador tem acesso ao tempo e não precisa de mecanismos de leitura sofisticados.