TRABALHO FINAL DE CURSO - INESC-ID
TRABALHO FINAL DE CURSO - INESC-ID
TRABALHO FINAL DE CURSO - INESC-ID
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
MobileREVS 15-10-2006<br />
opções, cada qual com as suas vantagens e desvantagens, e determinado um veredicto<br />
final acerca das mesmas.<br />
2.3.1. Considerações<br />
Nesta secção são apresentadas algumas considerações sobre aspectos de<br />
segurança ligados com o projecto MobileREVS.<br />
Autenticação utilizador/palavra-passe<br />
Hoje em dia, a forma mais comum de autenticação de um utilizador é através da<br />
utilização de uma palavra-passe. Mas, apesar de frequentemente utilizadas, as palavraspasse<br />
não são muito seguras. Esta fraca segurança que lhes é associada advém<br />
principalmente de factores humanos [MY01]:<br />
• Muitas das palavras-passe escolhidas pelos utilizadores são consideradas<br />
palavras-passe fracas, i.e. podem ser descobertas através de ataques por força<br />
bruta;<br />
• Os utilizadores necessitam de conhecer muitas palavras-passe para diferentes<br />
sistemas. O seu esquecimento é a consequência mais frequente,<br />
inviabilizando-os da utilização do sistema em causa. Ou então, para evitar<br />
isso, os utilizadores<br />
o apontam-nas (em papel ou em formato digital), ficando a sua<br />
segurança comprometida por quem conseguir acesso às mesmas;<br />
o utilizam sempre a mesma em vários sistemas, tornando-a assim mais<br />
fraca aos ataques.<br />
Nestas condições, as palavras-passe não oferecem nenhuma prova sobre quem<br />
de facto a está a utilizar. São muitas e problemáticas as fragilidades denotadas e que<br />
sujeitam a personificação por parte de outros utilizadores.<br />
Certificados digitais<br />
Por si só, a criptografia de chave pública não permite associar uma entidade com<br />
uma determinada chave pública. Teoricamente, um atacante poderia apresentar uma<br />
chave pública e reivindicar que a mesma pertence a outra entidade. Na falta de<br />
mecanismos para associar chaves com entidades qualquer outro participante da<br />
transacção não teria nenhuma garantia sobre a validade dessa associação. Por esta razão,<br />
é necessária uma forma segura de efectuar a associação das chaves públicas com as<br />
entidades respectivas. Para combater este problema são introduzidos os certificados<br />
digitais e uma terceira entidade: a Autoridade de Certificação. A Autoridade de<br />
Certificação é uma entidade de confiança que verifica a identidade do dono do<br />
certificado antes de o emitir.<br />
O certificado digital contém a chave pública de uma entidade juntamente com<br />
outra informação de identificação, incluindo o nome da entidade, um número de série e<br />
uma data de expiração (altura a partir da qual será revogado, tendo que ser renovado).<br />
Adicionalmente, o certificado digital contém o nome e a assinatura digital da<br />
Autoridade de Certificação que emitiu o certificado. Assim, os certificados digitais são<br />
Luis Costa, Nuno Santos 25