Questões de Concurso Sobre autenticação em segurança da informação

Atualmente, as organizações são dependentes da tecnologia e dos sistemas computacionais. Logo, a perda de equipamentos e informações podem impactar a gestão da continuidade do negócio, causando perdas financeiras e, até mesmo, dependendo da gravidade das ameaças, provocando sua dissolução.
Nesse contexto, a instrução que faz parte do controle da gestão da continuidade de negócio é: 

De acordo com as definições de Laudon (2014), a autenticação biométrica é o(a): 

Métodos de autenticação desempenham um papel crucial na segurança de sistemas e redes. Qual das seguintes alternativas descreve CORRETAMENTE o método de autenticação “token” ?

Assinale a alternativa que preencha corretamente a lacuna.
______ é um método que permite aos usuários acessarem várias aplicações ou sistemas com uma única autenticação, simplificando o processo de login e proporcionando uma experiência de usuário mais eficiente. 

Contas de redes sociais são valiosas para atacantes, que tentam invadi-las e usá-las para espalhar malware e aplicar golpes na rede de contatos. Uma estratégia que vem sendo aplicada por grandes corporações é a verificação em duas etapas. São exemplos de softwares e dispositivos para autenticação com segundo fator: Authy, Google Authenticator e Yubikey.

Com relação à demanda de cuidados no uso da tecnologia de verificação em duas etapas, assinale V para a afirmativa verdadeira e F para a falsa.

( ) Os dados usados na verificação da identidade devem ser atualizados frequentemente, em especial o número principal do telefone celular para recebimento de códigos de verificação e os cadastros alternativos, como e-mails e números de telefone adicionais.
( ) Em caso de extravio de dispositivo cadastrado como confiável é contraindicada a imediata exclusão do equipamento nos serviços em que estiver configurado, devendo ser reportado a perda dos mecanismos de autenticação ao portal administrador do sistema, aguardando a apuração para efetivar a exclusão do equipamento nos serviços.
( ) Em caso de perda da chave de segurança física ela deve ser revogada e o serviço onde ela é usada deve ser notificado imediatamente, e em caso de perda ou desconfiança de acesso não autorizado, devem ser gerados novamente os códigos de backup.


As afirmativas são, respectivamente,

Com relação ao protocolo OAuth e segurança de código, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) A parte de “auth” da “OAuth” se refere a autorização, não a autenticação.

( ) Dentre as práticas recomendadas para criar um aplicativo OAuth, podem ser citadas: usar escopos mínimos, criptografar os tokens de acesso do usuário e proteger as credenciais do aplicativo.

( ) Dentre os riscos de segurança mais comuns associados às Application Programming Interfaces (APIs, ou Interfaces de Programação de Aplicação) listados no API Security Top 10 da Open Worldwide Application Security Project (OWASP) consta como vulnerabilidade a implementação incorreta de mecanismos de autenticação, que é responsável pela exposição do fluxo de negócios por comprometer o sistema de identificar dos equipamentos de origem do incidente de segurança.

As afirmativas são, respectivamente,

O OAuth2 é um protocolo de autorização amplamente utilizado em seviços da web. Neste protocolo, a autorização é expressa na forma de uma concessão de autorização (authorization grant), que a aplicação cliente utiliza para solicitar o token de acesso.
São tipos de concessão de autorização definidos no OAuth2:

Ana é um MEI (microempreendedor individual) e, com o crescimento de sua empresa, está buscando aumentar a segurança das informações do seu negócio. Ela fez uma busca por soluções de mercado e concluiu que fará uso das ferramentas de segurança do pacote Microsoft 365. Porém, a ferramenta de segurança deverá manter as informações confidenciais sem prejudicar seu acesso de qualquer local. Outro critério é que exista uma verificação de identidade para que haja liberação de acesso às informações, além de possuir bloqueio automático em caso de um breve período de inatividade.

Para atender aos critérios citados, Ana deve escolher a ferramenta:

Se tratando-se de proteção e segurança de dados, um item importantíssimo é a Criptografia. Segundo a Cartilha de Segurança para Internet do Comitê Gestor da Internet no Brasil, Criptografia é a “Ciência e arte de escrever mensagens em forma cifrada ou em código. E parte de um campo de estudos que trata das comunicações secretas. É usada, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar transações bancárias; proteger a integridade de transferências eletrônicas de fundos, e proteger o sigilo de comunicações pessoais e comerciais.” Ela pode ser de chave única ou de chave pública e privada. No que se refere a chave pública e privada, assinale a alternativa CORRETA.

Em se tratando de segurança da informação, hoje há vários mecanismos para garantir a segurança dos dados. Sobre esse tema, analise as assertivas abaixo, assinalando V, se verdadeiras, ou F, se falsas.

( ) A auditoria é o processo de estabelecer a validade de uma identidade reivindicada.

( ) A autenticação é o emprego de técnicas matemáticas relacionadas com a segurança da informação, tais como a autenticação das entidades e a autenticação da origem para esconder informações sigilosas.

( ) Uma assinatura digital é um mecanismo criptográfico que tem função similar a uma assinatura escrita à mão.

( ) Um certificado é um tipo especial de assinatura digital, ele é um documento que contém a chave pública de um determinado usuário e outras informações adicionais.

A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

Uma empresa possui duas filiais localizadas em diferentes cidades e precisa estabelecer uma comunicação segura entre elas para transmitir informações confidenciais. Está sendo considerado a adoção de uma solução que envolva uma chave pública e privada entre o remetente e o destinatário. Assinale a opção que mostre uma solução que NÃO utiliza chave pública e privada.