RSA SecureID

RSA SecurID, por vezes referido como SecurID, é uma tecnologia de autenticação de encriptação de chave pública com dois fatores, utilizada para proteger recursos de rede.

Desenvolvido pela RSA Data Security, o SecureID é construído em torno da dificuldade de fatorar números muito grandes. Devido a este design, o algoritmo utiliza a fatoração de números primos como um método infalível para impedir ataques de força bruta. Resolver a encriptação requer uma quantidade massiva de tempo e poder de processamento, desencorajando assim ataques diretos ao sistema de segurança. É o método de encriptação padrão para dados importantes, especialmente quando a informação é enviada através da internet.

Este sistema de autenticação é construído em torno de duas proteções principais — uma palavra-passe ou PIN conhecido pelo utilizador (algo conhecido), e (tipicamente) uma USB, cartão inteligente ou chaveiro, também chamados tokens de hardware (algo que tem consigo). Estes dois pontos de autenticação são então utilizados em conjunto com o Software Authentication Manager da RSA, que verifica os pedidos de autenticação.

Quando um utilizador acede a um recurso protegido, como uma base de dados de acompanhamento financeiro ou a interface de back-end de um banco, é-lhe solicitado o seu código de acesso. O código de acesso baseia-se tanto no PIN fornecido pelo sistema SecurID aquando da configuração, como no código gerado para esse login pelo token de autenticação do utilizador. Neste exemplo, o utilizador clica no seu dispositivo RSA SecurID, que gera um código específico da sessão. Depois, ambos os códigos são recebidos pelo RSA Authentication Agent e traduzidos para o software RSA Authentication Manager, que verifica e aprova os códigos. O sistema RSA SecurID calcula que número o token deve estar a mostrar naquele momento, verifica-o em relação ao que o utilizador introduziu e decide permitir ou negar o acesso.

Ao contrário de muitos outros serviços de segurança, o SecureID utiliza autenticação por hardware. Isto fornece um nível de proteção contra ciberataques baseados em software. Segue-se uma comparação entre o SecurID e outros serviços de segurança comuns.

 

Embora os tokens RSA SecurID possam proteger contra ataques de repetição de senha ao gerar senhas únicas para cada sessão, eles não fornecem qualquer funcionalidade para proteger contra ataques de homem no meio.

• Se o atacante conseguir bloquear o utilizador autorizado de se autenticar no servidor até que o próximo código de token seja válido, ele/ela será capaz de iniciar sessão no servidor. O servidor de autenticação SecurID tenta impedir a interceção de passwords e o login simultâneo ao recusar ambos os pedidos de autenticação, se duas credenciais válidas forem apresentadas dentro de um determinado período de tempo. Neste tipo de ataque, a segurança pode ser assistida com um mecanismo de autenticação adicional, como o SSL.
• Se o atacante remover do utilizador a capacidade de autenticar o seu token, o servidor SecurID assumirá que é o utilizador quem está efetivamente a autenticar e, portanto, permitirá a autenticação do atacante.
• Ataques de engenharia social através de phishing também podem ser usados para ajudar a quebrar a segurança do RSA SecurID. Phishing é um exemplo de técnicas de engenharia social usadas para enganar os utilizadores e explora a fraca usabilidade das tecnologias de segurança na web. Normalmente, é realizado através de e-mail spoofing ou mensagens instantâneas, e frequentemente direciona os utilizadores a inserir detalhes num site falso que parece quase idêntico ao legítimo.
• Caso o atacante consiga obter as credenciais inseridas pelo utilizador em texto simples, podem ser rapidamente utilizadas por um atacante como se fosse o utilizador legítimo antes de o token expirar (tipicamente dentro de um minuto).
• Tokens físicos podem ser roubados (ou adquiridos através de engenharia social) de utilizadores finais. O pequeno fator de forma torna o roubo de tokens físicos muito mais viável do que a digitalização de portáteis/desktop.

A vulnerabilidade mais simples com qualquer e todos os contêineres de senha é perder o dispositivo de chave especial ou o smartphone ativado com funcionalidade integrada. Esta vulnerabilidade não pode ser resolvida com qualquer dispositivo de contêiner de token único durante o período de bloqueio rigoroso de acesso disponível usando a chave roubada ou perdida. Um utilizador normalmente espera mais de um dia antes de relatar o dispositivo como desaparecido, dando ao atacante bastante tempo para invadir o sistema não protegido. No entanto, isso só poderia ocorrer se o ID do Utilizador e o PIN dos utilizadores também forem conhecidos.

Na era cliente-servidor, a conformidade era a principal razão pela qual as organizações adotavam soluções de segurança como a autenticação de dois fatores, pois precisavam cumprir regulamentos para proteger dados financeiros, de saúde, de cartões de clientes, etc. Mas atualmente, a segurança e a gestão de riscos são as principais razões pelas quais as empresas querem implementar a autenticação de dois fatores. As violações de dados são reais e afetam milhões de utilizadores, e têm consequências reais em grande escala. Enquanto apenas algumas aplicações precisavam de ser protegidas, o ambiente de segurança atual requer que o acesso a dezenas ou centenas de aplicações seja seguro.

Uma solução de dois fatores precisa ser escalável para que possa ser implementada em todas as aplicações e colaboradores com informações sensíveis distribuídas horizontalmente entre utilizadores com todos os níveis de poder e acesso. À medida que o número de aplicações e utilizadores aumenta, e à medida que o cibercrime se expande, serão necessários tempos de implementação mais curtos para garantir a segurança.

Em 2011, atacantes violaram a RSA e roubaram as sementes internas usadas pela RSA para verificar os seus dispositivos de hardware, e usaram a informação para atacar a Lockheed Martin, um cliente da RSA, entre outros contratantes de defesa não identificados. Estas sementes internas compreendem uma chave secreta codificada diretamente no token, e são o equivalente digital de uma combinação de cadeado. Esta vulnerabilidade demonstrou as vulnerabilidades de qualquer sistema de hardware de alto custo.