A coordenadora de TI Carla decidiu implementar um duplo fato...

Gabarito: B - senha e código via SMS

Para entender por que a alternativa B é a correta, primeiro precisamos compreender o conceito de autenticação de dois fatores (2FA). A autenticação de dois fatores é um método de aumentar a segurança, pois requer dois elementos distintos para verificar a identidade de um usuário. Esses elementos são classificados em três categorias:

• Algo que você sabe (por exemplo, senhas ou PIN).
• Algo que você tem (por exemplo, um token físico ou um celular).
• Algo que você é (por exemplo, características biométricas como impressões digitais ou reconhecimento facial).

A alternativa B (senha e código via SMS) é a correta porque combina algo que você sabe (a senha) com algo que você tem (o celular para receber o código via SMS). Essas duas formas de autenticação são distintas e pertencem a categorias diferentes, atendendo aos requisitos de 2FA.

Agora, vamos analisar as alternativas incorretas:

A - escaneamento de íris e leitura de digital: Ambas as formas de autenticação pertencem à mesma categoria: algo que você é. Portanto, não configuram um verdadeiro duplo fator de autenticação, já que não utilizam dois tipos distintos de fatores.

C - tag NFC e aplicativo de TOTP: Embora pareça uma combinação viável, ambos podem ser classificados como algo que você tem. A tag NFC é um dispositivo físico, e o aplicativo de TOTP (Time-based One-Time Password) normalmente é acessado por meio de um dispositivo como um smartphone. Novamente, não atende ao critério de dois fatores distintos de autenticação.

D - PIN e resposta de pergunta secreta: Ambas as opções se enquadram na categoria algo que você sabe. O PIN é uma senha numérica, e a resposta de pergunta secreta é uma informação que o usuário conhece. Não há distinção de categorias aqui.

E - token USB e notificação push: Essa é uma combinação interessante, mas enquanto o token USB é algo que você tem, a notificação push também é recebida em um dispositivo que o usuário possui (geralmente um smartphone). Ambos caem na mesma categoria de algo que você tem.

Portanto, a alternativa correta B (senha e código via SMS) é a única que satisfaz plenamente os critérios de autenticação de dois fatores ao utilizar dois elementos de categorias distintas.

Espero que essa explicação tenha ajudado a entender melhor o conceito de autenticação de dois fatores e o motivo pelo qual a alternativa B é a correta. Se tiver mais dúvidas, estou à disposição para ajudar!

.

B

Os mecanismos de autenticação são procedimentos, rotinas, ferramentas ou soluções que implementam, de fato, o princípio de autenticação com o devido controle de acesso. Estes podem ser subdivididos em três grandes grupos, quais sejam:

1.    Algo que você sabe

Nesta categoria, busca-se determinar a autenticidade dos usuários baseado em alguma informação que seja de conhecimento único daquele usuário. Podemos utilizar, como exemplo clássico, a nossa senha de acesso à rede corporativa do local onde trabalhamos. Ora, assume-se que a informação de senha seja de conhecimento apenas do dono da conta.

2.    Algo que você tem

Quando se vincula a autenticação à alguma coisa que esteja sob a posse exclusiva do usuário, temos a aplicação desta categoria. Temos diversos exemplo, entre eles, a utilização de um token, crachá, smart card.

3.    Algo que você é

Temos aqui, em regra, o mecanismo mais robusto na garantia do princípio da autenticidade. Aqui, uma característica específica e exclusiva dos usuários é utilizada como parâmetro. Os exemplos clássicos que se aplicam aqui é a utilização da biometria.

Um detalhe importante a se mencionar é que a biometria não se restringe à impressão digital. Pode-se utilizar a informação da Íris, padrão de voz, imagem da face, entre outros.

Avançando a nossa discussão, temos ainda que o serviço de autenticação traz agregado consigo outras funções e recursos muito importantes, como a autorização e a auditabilidade. O primeiro corresponde ao fato de que determinado usuário ou serviço dependerá da devida validação de suas credenciais para verificar se este pode ou não acessar determinado recurso. Ou seja, agora, não basta simplesmente ser um usuário válido no sentido de autenticação, mas deve-se ter autorização para tal recurso.

Como exemplo, podemos citar o fato de se ter permissão para ler informações de um diretório, porém, não há permissão para modificar ou criar informações em um diretório.

Conforme mencionamos, temos ainda o aspecto da auditabilidade que permite o registro das ações dos usuários de tal forma que permita o rastreamento para identificação de falhas ou atos indevidos com seus respectivos responsáveis.

NO 2 FA DEVE-SE ESCOLHER 2 PROCEDIMENTOS DIFERENTES. ESTE FOI O SEGREDO DA QUESTÃO

Nesse sentido surge o conceito de autenticação forte ou de dois fatores (duas etapas) ou ainda, duplo faltor de autenticação (2FA). Como o próprio nome sugere, nada mais é do que dividir a fase de autenticação em duas etapas. Destaca-se que esse processo deve, necessariamente, envolver a combinação de ALGO QUE VOCÊ SABE, ALGO QUE VOCÊ TEM ou ALGO QUE VOCÊ É.

escaneamento de íris e leitura de digital; (Algo que você é nas duas)

senha e código via SMS; (Algo que você sabe + algo que você tem)

tag NFC e aplicativo de TOTP; (Algo que você tem nas duas);

PIN e resposta de pergunta secreta; (Algo que você sabe nas duas);

token USB e notificação push. (Algo que você tem nas duas).

Só a B envolve a combinação de mais de um tipo.

A questão é capciosa quando diz  "acesso à sala de servidores da DPE/RS. ", quem libera acesso a uma sala por SMS e senha? Leitura digital e irís é a que me parece mais adequada. Mas, de fato, não são métodos distintos.