Dicas Rápidas

Série Segurança de Senhas #02 – Senhas descartáveis ou OTP

A autenticação por senhas descartáveis ou One-time password tem ganhado maior adesão nos últimos tempos. Frequentemente, elas são utilizadas como segundo fator de autenticação, algo que você possui, principalmente combinado a uma senha. Uma das primeiras publicações sobre o tema foi de Leslie Lamport em 1981. Neste trabalho, é proposta a geração de senhas baseadas em uma função computacionalmente leve, aplicada a um segredo irreversível. Isso significa que não se deveria recuperar o segredo a partir do resultado da função com características iterativas. Curiosamente, o autor sugere a geração de 1000 senhas para cada usuário e uma fita cassete para armazenamento destes dados.

Os métodos de implementação mais comuns de senhas descartáveis (OTP)

  • Baseados em tempo. Assim, as senhas são geradas de acordo com um relógio sincronizado entre o dispositivo e o servidor de autenticação.
  • Baseados em iterações. As senhas são geradas a cada nova demanda por autenticação. Com isso, o dispositivo, ao ser acionado mostra a senha e o servidor armazena um contador de tentativas.
  • Cartões pré-gerados ou TAN cards. As senhas são pré-geradas e o servidor as mantém armazenadas ou a sua regra de geração. A cada necessidade de autenticação são informadas coordenadas sobre qual senha deve ser informada. ​
  • Desafio / Resposta. Dessa forma, as senhas são geradas mediante a uma informação indicada ao servidor. Não é possível afirmar a técnica utilizada no exemplo a seguir (SMS), mas este possui características compatíveis, como informar o número do celular correspondente a um usuário identificado.
Os métodos baseados em aplicativos de celular têm eliminado a barreira de investimento nos dispositivos. Inquestionavelmente, isso representava grande impacto em projetos com milhares de usuários. Dessa forma, no passado, a estratégia de cartões impressos viabilizou a adoção desta tecnologia.Todos os métodos acima indicados, dependem de uma informação secreta, tecnicamente chamada de semente (seed) para utilização nos algoritmos de geração. Nesse sentido, outro ponto interessante sobre os aplicativos é a sincronização de informações e vínculo com determinado usuário. Geralmente ela é feita utilizando a câmera do celular para ler um QR Code. Os dispositivos dedicados exigiam que a distribuição fosse realizada de forma segura.Na segurança da informação, a combinação de fatores de autenticação agrega maior segurança para o usuário, se comparado ao uso de fatores singulares. Entretanto, a escolha desses fatores deve respeitar adequadamente o projeto a ser implementado.A usabilidade, disponibilidade e complexidade são fatores que a E-VAL avalia ao desenvolver seus projetos.

E-VAL Saúde

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.