Últimas notícias

Fique informado

Destaques Notícias

Chave Privada, Chave Pública, PIN, PUK, Identificação, Autenticação e Assinatura Eletrônica

12 de fevereiro de 2016

Evandro Oliveira | Colunista do CryptoID

Por Evandro Oliveira

Ali Babá teria mil senhas

Em uma coluna anterior, das primeiras minhas aqui no CryptoID, abordei a questão de Chave Pública e Chave Privada e a relação que é feita entre Chave Privada e senha.

Ao final daquela coluna eu indicava a necessidade de se determinar claramente o que é, o que significam os termos Chave Privada, Chave Pública, PIN |do Inglês, Personal Identification Number, PUK | do inglês PIN Unlock Key, Identificação, Autenticação, Assinatura Eletrônica. Adicionalmente, é importante definir o que venha a ser Senha, Senha Forte, Senha Fraca ou Óbvia.

No Glossário da ICP-Brasil que está na versão 1.4 de Maio de 2010, e em processo de revisão, podemos obter os significados mais apropriados para a lógica a ser desenvolvida.

Chave Privada – Uma das chaves de um par de chaves criptográficas (a outra é uma chave pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pública correspondente.

Chave Pública Uma das chaves de um par de chaves criptográficas (a outra é uma chave privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam, então, ser decifrados com a chave privada correspondente.

PIN – Número de Identificação Pessoal (PIN, sigla oriunda do original em inglês Personal Identification Number) É uma sequência de números e/ou letras (senha) usadas para liberar o acesso à chave privada, ou outros dados armazenados na mídia, somente para pessoas autorizadas.

PUK (Personal Identification Number Unlock Key) – É uma chave para desbloqueio do número de identificação pessoal (PIN), o qual normalmente fica bloqueado após várias tentativas inválidas. Como o PIN, a senha PUK deve ser guardada de forma segura, pois ambas permitem, em dispositivos como tokens e smart cards, o acesso à chave privada de um titular de certificado.

Senha – Um conjunto de caracteres, conhecidos apenas pelo usuário, que fornecem acesso ao arquivo, computador ou programa. Senhas são geralmente usadas em conjunto com o nome do usuário que o autentica e o garante autorização ao acesso.

Senha Forte – Inverso de Senha Fraca ou Óbvia

Senha Fraca ou Óbvia – É aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequena, tal como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras com significado, dentre outras.

Passphrase -É uma versão mais longa de uma contrassenha, e teoricamente, mais seguro. Tipicamente composto de palavras múltiplas, uma passphrase é, na prática, maisseguro e permite maior proteção contra “ataques de dicionário”.

Assim acertados, podemos ver PIN e PUK como algum tipo de passphrase, onde não existe nenhuma regra de formação pois a mesma provocará uma codificação criptografada e protegida de certa maneira como nenhuma senha, fraca, forte, óbvia etc é protegida. Desde que respeitadas as regras de geração de certificados da ICP-Brasil.

Seria inteligente supor então que o uso de certificados digitais, e seus atributos especiais, seria uma forma natural de substituir as senhas ligadas a logins tradicionais. Se esta fosse uma conversa numa rede social, eu diria #SQN.

A dissertação de mestrado que defendi quase 16 anos atrás falava exatamente da importância da formação da senha, hoje reconhecida como PIN e outras denominações. Pouca coisa mudou, os administradores de rede continuam com suas regrinhas malditas em que as senhas “vencem” com prazo determinado, regrinhas em que somos obrigados a escrever a senha a cada mudança para não esquecer, regrinhas que proíbem começar com número ou que proíbem a senha ter duas letras maiúsculas iguais.

O pessoal que faz estas regras deveria “voltar 6 casas” e começar de novo. Deveria entender que deve-se ensinar às pessoas que utilizam recursos computacionais a importância de proteger a informação pessoal e a informação das empresas e organizações. A cada regra estúpida que vejo, assusto-me com a quantidade de pessoas que passam a ter regras para mudar as regrinhas. Um atraso fenomenal.

Numa identificação e autenticação de três fatores, um deles será PIN, PUK ou a famosa senha. Vejo que nos últimos 16 anos (desde que defendi minha dissertação), a cada seis meses são publicadas listas e mais listas de piores senhas e um blá-blá-blá danado. A construção de regrinhas tem sido pior (e as piadas já estão se tornando repetitivas … uma que publiquei na dissertação circula Até hoje e tem profissional de TI que acha engraçadinho).

Tenho em mente que o bom gerenciador de ambientes de identificação e autenticação dá liberdade e Transmite conhecimento para que o usuário não seja responsável pela estúpida tarefa de guardar na cabeça ou ficar anotando suas senhas. Existem soluções no mercado para esta dificuldade que porventura muitos usuários terão. Mas, para a maioria dos usuários seria mais fácil mostrar como criar uma senha forte e inteligente.

Imaginem a situação de um cidadão perdendo seu smartcard com a sua chave privada e um adesivo pregado com o PIN. Aliás, numa visita recente que fiz a um escritório que utilizava certificados digitais A3, vi todos espetados no computador e o PIN de cada um escrito num papel ao lado. Aliás, o PIN era igual para todos os certificados. Bem protegido né?

Será que alguém sabe responder a uma dúvida?

Em caso de mal uso de algum destes certificados, e o mesmo não tenha sido revogado em tempo hábil da constatação do problema, de quem é a responsabilidade civil pelo uso deste certificado?

Sobre Evandro Oliveira

Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.

Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.

Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.

Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.

Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)

Palestrante e Conferencista.

Colunista do Portal CryptoID.

Leia outros artigos do colunista Evandro Oliveira aqui!

Dúvidas e sugestões sobre conhecimento básico, terminologia, e esclarecimentos podem ser feitas nos comentários abaixo ou no e-mail evandro.oliveira@bhzlabs.com.br.

Últimas notícias

Cloud Destaques IA Notícias

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

28out(out 28)09:0029nov(nov 29)19:00Cyber Security Summit 2024A conferência de cibersegurança mais importante da américa latina(outubro 28) 09:00 - (novembro 29) 19:00 Grand Hyatt Hotel

Mais

Detalhes do evento

O Cyber Security Summit é o pioneiro encontro internacional em cibersegurança no país, unindo anualmente líderes seniores (CEOs, CIOs, CISOs, CTOs, CROs), profissionais governamentais, diretores, gerentes e analistas de TI, além de especialistas em segurança e tecnologia organizado pelo Grupo 4CyberSec.

Seu objetivo é enfrentar os desafios urgentes da cibersegurança, fortalecer a confiança pública e ampliar nosso conhecimento coletivo. Como a principal conferência no Brasil, o Cyber Security Summit Brasil mergulha nas ameaças enfrentadas por empresas de todos os portes, destacando os perigos que tanto grandes corporações quanto negócios emergentes enfrentam no ciberespaço.

Cyber Security Summit Brasil 2024 em São Paulo

O evento exclusivo, marcado para os dias 28 e 29 de outubro no Grand Hyatt, reúne os principais especialistas em cibersegurança para discutir e enfrentar as ameaças cibernéticas em constante evolução. Ao longo de dois dias intensivos, os participantes terão acesso a insights valiosos e soluções inovadoras para os desafios da cibersegurança.

Durante o evento, mergulha-se em uma variedade de tópicos essenciais, desde a ameaça global contínua do ransomware até a dinâmica em evolução entre CISOs e CIOs nas empresas.

Explora-se o impacto da inteligência artificial na cibersegurança, a ascensão do malware ‘Info Stealer’ e as implicações das regulamentações em constante mudança. Este é um ambiente rico em conhecimento e oportunidades de networking, destinado a equipar os participantes com as ferramentas e os insights necessários para proteger suas organizações contra as ameaças do ciberespaço.

Não se perde esta oportunidade única de se manter à frente das ameaças cibernéticas em constante evolução. Junta-se a nós no Cyber Security Summit 2024 e fortalece suas defesas no mundo digital em constante mudança. Reserva-se a participação hoje mesmo!

Ingressos: https://lnkd.in/ecVsdkvz

Sobre o Grupo 4CyberSec

Estamos focados em criar uma rede de comunicação capaz de fortalecer todas as partes nessa luta diária. Nossos encontros se adaptam às necessidades de nossos clientes e os capacitam através de informações exclusivas com as soluções que as maiores potências do mundo estão utilizando para se proteger das ameaças digitais.

Hora

Outubro 28 (Segunda) 09:00 - Novembro 29 (Sexta) 19:00

Localização

Grand Hyatt Hotel

Organizador

4CYBERSEC

Grand Hyatt HotelAv. das Nações Unidas, 13301 - Itaim Bibi, São Paulo - SP, 04578-000

Calendário GoogleCal

Cadastre-se em nossa newsletter

Últimas notícias