1. **Senha (ou password):** Este é o tipo mais comum 2.

**Autenticação de dois fatores (2FA):** O 2FA requer

de sistema de autenticação. Os usuários fornecem que os usuários forneçam duas formas diferentes de
uma combinação de letras, números e símbolos como autenticação para acessar uma conta. Isso geralmente
uma senha para verificar sua identidade. Por exemplo, combina algo que o usuário sabe (senha) com algo que
ao fazer login em uma conta de e-mail, você fornece o usuário possui (como um código enviado por
uma senha para acessar sua caixa de entrada. mensagem de texto ou gerado por um aplicativo de
autenticação). Um exemplo prático é quando você
recebe um código em seu celular após inserir sua
senha ao fazer login em uma conta.

3. **Biometria:** Este método utiliza características 1. **Ataques de Força Bruta:** Implementar medidas
físicas ou comportamentais únicas dos usuários para de segurança, como bloqueio de contas após um
autenticá-los. Exemplos incluem a leitura de
impressões digitais, reconhecimento facial, número específico de tentativas de login malsucedidas,
reconhecimento de voz ou até mesmo o padrão de ajuda a proteger contra ataques de força bruta, nos
digitação do usuário. Por exemplo, muitos smartphones
modernos utilizam o reconhecimento facial para quais um atacante tenta adivinhar a senha através de
desbloquear o dispositivo. Esses sistemas de tentativas repetidas.
autenticação visam aumentar a segurança das contas
e sistemas, garantindo que apenas pessoas
autorizadas tenham acesso às informações ou

2. **Ataques de Phishing:** Educar os usuários sobre 3. **Ataques de Injeção de Credenciais:** Implementar

práticas seguras de autenticação e a importância de práticas seguras de codificação e validação de entrada
verificar a autenticidade de sites e e-mails pode reduzir ajuda a prevenir ataques de injeção de credenciais,
a vulnerabilidade a ataques de phishing, nos quais os nos quais um atacante insere código malicioso para
atacantes tentam enganar os usuários para divulgar obter acesso não autorizado. Além disso, a criptografia
suas informações de login. das senhas em repouso e em trânsito é fundamental
para proteger as informações de autenticação.

Ao combinar essas medidas de segurança em um 1. **Protocolo de Autenticação RADIUS (Remote

sistema de autenticação, é possível mitigar Authentication Dial-In User Service):**
significativamente os riscos associados a esses tipos - **Funcionalidade:** O RADIUS é amplamente
de ataques e garantir a integridade e a utilizado para autenticar usuários em redes,
confidencialidade das credenciais de autenticação dos especialmente em ambientes de acesso remoto, como
usuários. redes VPN e redes sem fio. Ele verifica as credenciais
Claro, aqui estão quatro protocolos de autenticação dos usuários em um servidor RADIUS centralizado.
com suas descrições e funcionalidades:

- **Descrição:** Quando um usuário tenta se conectar 2. **Protocolo de Autenticação Kerberos:**

à rede, o servidor RADIUS verifica as credenciais, - **Funcionalidade:** O Kerberos é usado
como nome de usuário e senha, e autoriza ou nega o principalmente em ambientes de rede corporativos
acesso com base nas informações armazenadas no para autenticar usuários e fornecer serviços de
servidor. É usado em ambientes como ISPs autenticação forte.
(Provedores de Serviços de Internet) e redes - **Descrição:** O Kerberos fornece autenticação de
três vias, o que significa que o cliente, o servidor e o
corporativas.
serviço de autenticação (chamado TGS - Ticket
Granting Server) participam do processo de
autenticação. Isso ajuda a evitar ataques de
retransmissão e garante uma segurança robusta.
3. **OAuth (Open Authorization):** 4. **SAML (Security Assertion Markup Language):**
- **Funcionalidade:** O OAuth é amplamente usado - **Funcionalidade:** O SAML é um padrão de
para autorização e autenticação em aplicativos da web autenticação e autorização usado para integração
e serviços online. entre sistemas de autenticação em diferentes
- **Descrição:** Embora seja mais focado em domínios.
autorização, o OAuth é frequentemente usado para - **Descrição:** O SAML permite a troca de
permitir que um aplicativo acesse os recursos de um informações de autenticação e autorização entre
usuário em seu nome, sem compartilhar a senha do provedores de identidade e provedores de serviços.
usuário. Ele fornece tokens de acesso temporários Isso é comumente usado em ambientes de federação
para aplicativos e permite que os usuários concedam de identidade, como Single Sign-On (SSO), onde os
permissões a terceiros sem compartilhar senhas. usuários podem acessar vários serviços com uma
única autenticação.

Esses são apenas alguns exemplos de protocolos de . Abuso de configuração

autenticação com diversas funcionalidades. A escolha Um atacante pode abusar de uma configuração
do protocolo depende dos requisitos de segurança e incorreta do sistema para obter acesso não autorizado.
Isso pode ser feito, por exemplo, deixando um sistema
dos cenários específicos de uso. Exploração de
desprotegido contra vírus ou deixando uma porta
vulnerabilidade. Um atacante pode explorar uma aberta na rede Influência externa - Um atacante pode
vulnerabilidade no sistema para obter acesso não causar danos ao sistema por meio de uma influência
autorizado. Isso pode ser feito por meio de um ataque externa. Isso pode ser feito, por exemplo, por meio de
de phishing, no qual o atacante envia um e-mail ou um ataque de negação de serviço (DDoS), no qual o
mensagem de texto que contém um link ou anexo sistema é inundado com tráfego de rede para torná-lo
malicioso. Quando o destinatário clica no link ou abre o inacessível. Também pode ser feito por meio de um
desastre natural, como um incêndio ou uma inundação.
anexo, o sistema é infectado com malware. O malware
pode então ser usado para roubar dados ou assumir o
controle do sistema.

Mecanismos de segurança e políticas de segurança **Exemplo Prático de Mecanismo de Segurança:*

são elementos fundamentais na proteção de sistemas **Criptografia:** Suponhamos que uma organização
e dados, mas desempenham papéis distintos. Vou tenha uma política de segurança que exija que todos
diferenciá-los e fornecer exemplos práticos para ilustrar
os dados confidenciais armazenados em seu banco de
a diferença: **Mecanismos de Segurança:**
Os mecanismos de segurança são as ferramentas, dados sejam protegidos. Neste caso, o mecanismo de
técnicas e tecnologias usadas para implementar as segurança é a criptografia, que é usada para
políticas de segurança. Eles são as "como" da criptografar os dados antes de serem armazenados.
segurança, ou seja, como as políticas são aplicadas na Isso garante que mesmo se um atacante conseguir
prática. - Os mecanismos visam garantir a integridade, acessar o banco de dados, os dados permanecerão
confidencialidade e disponibilidade dos dados e ininteligíveis sem a chave de descriptografia.
recursos.
- Exemplos de mecanismos de segurança incluem
criptografia, firewalls, antivírus, sistemas de detecção
de intrusão, autenticação multifatorial, assinaturas
digitais, entre outros.

Ataque Dedução de senhas

Verificação da identidade - A verificação da
identidade baseia-se no pressuposto que a entidade é Força bruta  todas as combinações têm a mesma
a única capaz de enviar uma dada informação, a qual é probabilidade (exaustivo, o mais demorado)
o resultado de algo que a entidade
Ataque baseado em dicionários  testa primeiro
Sabe, Senha (= palavra chave = palavra passe =
password) combinações mais prováveis (derivadas de palavras de
tem,Testemunhos (Tokens) ex: cartão multibanco, dicionários)
S/Key, SecurID, SmartCard Engenharia social  nome da esposa, data de
Biometria nascimento, matrícula do carro…
 ex: íris, impressão digital, timbre vocal

Ethernet (PPPoE) “Point-to-Point Protocol over

PAP, CHAP, EAP - PPP – (Point-to-Point Protocol) Ethernet” (“Protocolo Ponto-a-Ponto via Ethernet”) e é
Ligação (lógica) ponto-a-ponto. uma forma de conexão muito comum, usada para
Permite a abstracção dos protocolos inferiores perante conectar com servidores distantes. A tecnologia é uma
extensão do PPP, o protocolo usado para conexões
os protocolos de rede dial-up antes do advento da banda larga.
Suporta diversos protocolos de rede (IP, IPX…) Point-to-Point Protocol over ATM (PPPoA) é um
Adapta-se a diferentes protocolos da camada inferior protocolo de enlace de dados da camada 2
normalmente utilizado para conectar modens
domésticos de banda larga à ISPs por meio de linhas
telefônicas. É usado principalmente com as operadoras
DOCSIS e DSL, encapsulando quadros PPP em AAL5
PAP (PPP Authentication Protocol)
CHAP (CHallenge-response Authentication
 Descrição do protocolo (convenção: Utilizador,
Protocol)
Autenticador)
Descrição do protocolo
o U  A: UID, password
o U  A : authID, challenge
o U  A: OK/notOK
o U  A: MD5(AuthID, password, challenge)
Senha passa em claro
o U  A : OK/notOK
Challenge = desafio: número que deve ser usado
apenas uma vez (prevenção de ataques de repetição –
replay attack)

EAP - PPP foi confrontado com um problema: diversos

implementadores  diversos protocolos de
autenticação
Necessidade de um protocolo intermédio que suporte
diversos protocolos de autenticação sem ter de alterar
a norma PPP EAP não é um protocolo de autenticação,
é um suporte a outros protocolos de autenticação. Ex.:
EAP-MD5
EAP-TLS
PEAP