NW_20010328_pt_ZDNetAsia, 3-28-01__ “Tokens_ Um nível adicional de acesso seguro”

28 de Março de 2001

Identificação e autenticação são duas palavras mágicas quando se trata de segurança. Permitir a entrada de um usuário autorizado, mantendo as pessoas não autorizadas fora, parece mais fácil do que é. Se eu te encontrasse na rua, seria capaz de vê-lo, negociar com você e, se já tivéssemos negociado antes, provavelmente o reconheceria - pelo rosto, pela voz ou por algum tipo de maneirismo físico ou linguagem corporal.

Os negócios eletrônicos de hoje estão sendo negociados em mídias cabeadas e sem fio, onde os rostos ficam borrados em bytes e, na maioria das vezes, identificação é uma senha inserida em um campo de texto.

Uma das primeiras e mais importantes etapas que se encontra ao usar um sistema remoto seguro, é o processo de identificação e autenticação: Quem é você e pode provar?

Identificação / autenticação faz duas coisas (e é melhor fazê-las bem): Permite a entrada do usuário certo; e mantém todo mundo fora. Ou pelo menos essa é a ideia. Fazer qualquer um dos dois é fácil - deixe todo mundo entrar ou mantenha todo mundo fora. Fazer as duas coisas bem é mais difícil.

Tradicionalmente, a identificação se resume a uma das três coisas: algo que você sabe, algo que você é ou algo que você tem. Tecnologicamente falando, eles se traduzem em:
· Senhas
· Biometria
· Tokens

As senhas são comumente conhecidas e usadas na maioria dos problemas do dia a dia. Biometria refere-se ao uso de dados biológicos de um indivíduo para autenticar. Impressões digitais, digitalizações de retina e reconhecimento de impressões de voz são alguns dos métodos mais comuns empregados como verificação de identidade.

As senhas e a biometria têm deficiências que estão rapidamente se tornando aparentes. Ter uma senha significa ter que se lembrar dela, e geralmente eles são comprometidos porque são difíceis de lembrar e, como resultado, anotados. A biometria fica mais cara à medida que é mais precisa, embora esteja rapidamente se tornando mais popular.

Os tokens de acesso se enquadram no terceiro método de autenticação e autenticam com base no que está em sua posse. Os tokens podem ser usados para fornecer um código de retorno para acessar um sistema que emite um código de desafio. Os tokens em si não são infalíveis, mas fornecem uma camada extra de segurança. Um token de segurança que caísse nas mãos de outra pessoa ainda funcionaria como estava programado. O melhor emprego da autenticação seria usar uma combinação de duas ou mais das três verificações.

Um exemplo seria o token de segurança Digipass da VASCO. A empresa recentemente se associou ao OCBC Bank em Cingapura para trabalhar suas soluções de autenticação e assinatura digital no sistema de transações eletrônicas existente no banco.

O Digipass se parece com uma pequena calculadora de bolso que calcula senhas dinâmicas, também chamadas senhas de uso único (OTP). Após a inserção de um número de identificação pessoal (PIN) para o Digipass, o token pode calcular um OTP para uso no sistema remoto que está sendo acessado.

Os cálculos são baseados no algoritmo Data Encryption Standard (DES), que aplica uma chave de 56 bits escolhida aleatoriamente a cada bloco de dados de 64 bits. Isso significa que os usuários devem não apenas conhecer os detalhes da conta e o número do PIN, mas também possuir o Digipass, pois os sistemas emissor e receptor devem conhecer a chave de criptografia para se autenticar.

Usando o digipass, também é possível calcular assinaturas digitais, também conhecidas como assinaturas eletrônicas, para autenticar transações eletrônicas e garantir a integridade da mensagem, garantindo que ela não tenha sido violada. Esse tipo de segurança pode parecer excessivo para alguns, mas é realmente a combinação de algumas medidas implementadas em um sistema que permite que os usuários transportem um dispositivo leve, permitindo autenticação e identificação seguras.

Os cálculos criptográficos são manipulados pelo dispositivo, deixando o usuário com um mínimo de barulho e fornecendo segurança adequada para grandes transações eletrônicas. Paga-se o pequeno preço de transportar um dispositivo do tamanho de uma calculadora de bolso, para poder realizar transações eletrônicas seguras.

Mesmo que a unidade Digipass caia nas mãos de outra pessoa, ainda é necessário um número PIN para acessá-lo e ativá-lo. Se um usuário deixar a senha de autenticação anotada ou deixada no cache de um terminal após uma transação, isso não será útil para mais ninguém, pois é válida apenas uma vez.

Do ponto de vista da empresa, o Digipass implementa segurança no que tradicionalmente tem sido o elo mais fraco - o cliente. O cliente realmente quer apenas fazer negócios com segurança e realmente não se importa com criptografia ou qualquer outro sistema de back-end.

Um token de segurança portátil como o Digipass adiciona outra camada de segurança que não é apenas escalável para a empresa ou banco, mas conveniente para o cliente.

A VASCO lançou recentemente um novo modelo (Digipass 800) para a família Digipass, permitindo o uso de cartões inteligentes em conjunto com o token, para fornecer ainda mais funcionalidade com transações bancárias eletrônicas ou transações seguras de comércio eletrônico.