Autenticação e criptografia

Positivamente com apenas determinar quem está a fazer o negócio, escreve Tim Pickard da RSA Security. Relatórios de hackers acessando sites populares de e-business e ostentando números de clientes de cartão de crédito são bem conhecidos e cada vez mais comum, a ponto que eles se tornaram cada e-negócio pior pesadelo de relações públicas e jurídicas. Com business-to-consumer (B2C) e-commerce deverá atingir E.U. 108 bilião dólares até 2003, e business-to-business (B2B) e-commerce deverá aumentar para E.U. $ 1 trilhão em igual período, a necessidade de segurança eletrônica nunca foi mais evidente. A chave para isso é a autenticação de segurança, isto é, positivamente determinar com quem está a fazer negócio.

Pressão de E-business '

As chaves para garantir o seu e-businessBusiness Secure e-pode ser dividido em quatro áreas:

1. Autenticação - Garantir que o remetente eo destinatário são quem dizem que são;

2. A privacidade dos dados - Garantir a confidencialidade das informações que se move em torno do acesso à Internet;

3. A integridade dos dados - Garantir que os usuários autenticados em uma transação não são capazes de negar as ações tomadas;

4. Autorização - Negando o acesso de usuários não-autorizado a informações que não deveriam ver.

AutenticaçãoEsta é a pedra angular da segurança de e-Business, e é definido como positivamente identificar e comprovar a autenticidade das pessoas com quem está a fazer negócio. Sem autenticação outras medidas de segurança que você colocar no lugar pode ser ineficaz. Senhas não é hoje suficiente, necessitando de um nome de usuário e senha é a técnica mais comum para autenticar um usuário. Na superfície, este factor único (algo que um usuário sabe) pode parecer uma solução adequada. Afinal, existem cerca de 2,8 trillion possibilidades para uma senha de oito caracteres composta de caracteres alfanuméricos aleatórios. Mas porque todos nós tendem a escolher senhas que são curtos e fáceis de lembrar - como datas importantes ou nomes de membros da família - nossas senhas tendem a ser relativamente fácil para os outros a adivinhar, roubar ou crack. A engenharia social também contribui para a falta de fiabilidade das senhas. Outro problema é que seu nome de usuário ea senha não podem ser protegidos enquanto viajam através da Internet. Por exemplo, o sistema de um servidor Web típico autenticação básica HTTP, utilizado em muitos sites, não criptografar o nome de usuário ou senha. E senhas não criptografados são extremamente sensíveis à intercepção por hackers que são "sniffing" para eles. A linha inferior é que você precisa de autenticação mais forte para criar e manter um ambiente confiável para e-business.

Níveis de autenticaçãoOs diferentes níveis de força de autenticação existem, e sua escolha será baseada no valor ou a sensibilidade da informação que você está protegendo, equilibrado contra outras considerações como a usabilidade, implantação e orçamento.Senhas são os mais fracos, embora mais amplamente utilizado, forma de autenticação. Eles ajudam a identificar os usuários, exigindo um único factor de identificação: o seu código secreto. Este método de autenticação é percebido para ser fácil de implementar e de baixo custo. Entretanto, a história provou que estes códigos são fáceis de serem adivinhadas, roubadas ou não comprometido e não são tão fáceis e baratas de manter como se poderia pensar. Surpreendentemente, as senhas são uma das formas mais ineficazes de autenticação. O uso de certificados digitais como uma forma de autenticação é cada vez mais difundido com o crescimento das transações na Internet. Sozinho ou protegido com uma senha, certificados ajudam a identificar os usuários, exigindo acesso a credenciais digitais que só deve ser utilizado pelo proprietário. No entanto, a força relativa dos certificados digitais como uma solução de autenticação depende de como eles são protegidos de forma segura. Por exemplo, os certificados digitais armazenados de forma insegura em um disco rígido pode ser comparada a sua carteira deixada em aberto em sua mesa. Certificados digitais ganham força quando são acompanhados por um controlados senhapolítica.

Aqui, um de confiança "certificados de autoridade de certificação" questões que verificam a identidade digital das chaves dos usuários particulares. Adicionando uma infra-estrutura de chave pública com uma declaração de certificado centralmente gerenciados política que estabelece requisitos de senha (ou seja, cada senha tem que ser nove caracteres alfanuméricos de comprimento) pode melhorar a força dos certificados como forma de autenticação do usuário. Autenticação de dois fatores é muito mais forte do que a segurança de senhas ou certificados desprotegido porque ele requer que os usuários apresentam duas formas de identificação antes de obter acesso a recursos protegidos. Semelhante ao uso de um caixa eletrônico do banco, os usuários devem conhecer os seus códigos PIN e possuem o dispositivo de autenticação (token ou smart card). A associação revela que os usuários são quem dizem ser. Combinando autenticação de dois fatores e certificados digitais aumenta a força dos seus serviços de autenticação de forma dramática. Muitas vezes, os certificados digitais são armazenados sem segurança para que qualquer pessoa pode assumir a identidade de seus usuários. Ao exigir duas formas de identificação de credenciais de acesso, você é capaz de vincular a identidade dos usuários 'digital para suas identidades físicas, o que lhe permite estar mais confiante de que os usuários são quem dizem que são. Introducing smartcards para proteger certificados digitais é um dos maiores níveis de serviço de autenticação. Não é apenas o acesso ao Smartcard protegido com autenticação de dois fatores, mas certificados / pares de chaves também podem ser gerados e armazenados no cartão inteligente. Na verdade, a chave privada nunca sai do cartão, por isso nunca pode ser acessado por usuários não autorizados ou copiados para um servidor. Ao adicionar um terceiro fator - como a biometria - O exposto, é possível atingir o nível mais forte de autenticação disponíveis. A biometria se refere a uma característica que é única para um usuário. Esta medida pode ser alcançado através de impressões digitais, escaneamento de retina e voz-impressão. Este fator de autenticação de terceiros, quando combinada com certificados armazenados em um cartão inteligente que é impenetrável.

A privacidade dos dadosAs informações sensíveis devem ser protegidos enquanto ele está movendo-se de um ponto a outro através da Internet. Por exemplo, você não quer que os concorrentes para ser capaz de pegar uma cópia de uma proposta quando você enviar e-mail para um cliente potencial. E você provavelmente vai querer proteger nomes de usuários e senhas - e do curso de números de cartão de crédito - que acompanham as transmissões. A maioria dos browsers tem built-in 'Secure Sockets Layer "(SSL) de capacidades para assegurar a privacidade da informação que são transferidos entre um servidor Web e um navegador Web do usuário. Isto é feito através da encriptação ou cifragem, a informação antes de enviá-lo e depois decodificá-los no fim de recepção, o que torna praticamente impossível para a transação ser traduzidas, se interceptados. Isso significa que a transação é privado, o que é crucial no comércio electrónico.

A integridade dos dadosTambém é importante que nenhum partido é capaz de declarar que nunca a operação foi realizada ou que os dados recebidos foi de algum modo diferente da transmitida. Por exemplo, se você receber uma grande encomenda on-line de um de seus revendedores você pode realmente ter certeza de que é legítimo? O que acontece se você entregar a encomenda e eles alegam que a ordem em que colocou foi significativamente menor? Ou eles negam ter colocado ele em tudo? Para os não-repúdio você precisa ser capaz de provar que o remetente eo destinatário são quem dizem ser e que a transação não foi alterado. Isso pode ser feito usando client-side certificados digitais que autenticam uma transação - provando assim que a transação não foi alterado durante a transmissão. Convém notar, porém, que ainda precisa provar que os usuários são quem dizem que são - ou seja, os funcionários não descontentes ou emoção que procuram adolescentes - para torná-los responsáveis pela operação. Somente autenticação de dois fatores podem vincular definitivamente a identidade física do usuário para a sua identidade digital.

AutorizaçãoDiferentes usuários precisam ter acesso a diferentes tipos de informação, e é importante para evitar que usuários não autorizados de ver essa informação. Por exemplo, o pessoal do RH precisa ser capaz de ver e atualizar o banco de dados de funcionários, mas outros funcionários e empreiteiros não deve estar a olhar para o seu salário. O seu canal de vendas precisa ter acesso à informação mais recente produto, cronogramas de desenvolvimento e fixação de preços, mas que a informação interna não é geralmente algo que você quer concorrentes para ver. Autorização envolve restringir o acesso do usuário a máquinas, diretórios, arquivos e programas de aplicação. Há vários níveis de autorização. O primeiro envolve limitar o acesso a nível de URL para proteger máquinas e seus conteúdos. O segundo fornece acesso condicional aos diretórios e arquivos com base em listas de controle de acesso, eo terceiro envolve regra elaborado baseado em controle de acesso. Em qualquer de suas formas, a autorização ajuda a cumprir as regras de acesso a dados uma vez que um usuário acessar recursos protegidos.

A gestão de identidadeA autenticação é, portanto - entre essas outras medidas de segurança - fundamental para o sucesso de sua iniciativa de e-business. Outra ameaça considerável, porém, reside na proliferação escalonamento das identidades na internet. Centenas de milhões de pessoas ao redor do mundo já utilizam a internet diariamente em casa e no trabalho, encontrando inúmeras aplicações corporativas, interfaces e-business e web services. Muitas destas aplicações requerem um nome de usuário exclusivo e, como resultado, um indivíduo normalmente não possuem uma, mas várias identidades digitais. Além disso, não são perpétuos identidades digitais: eles são criados para os novos empregados, e quando os funcionários deixam a sua identidade digital expirar - ou deveria terminar - a partir de sua data de rescisão. Um funcionário que se deslocam de uma parte de uma organização para outra, ou de ser promovido para um nível superior de gestão, pode precisar de ter actualizado os direitos de acesso e outras informações associadas à sua identidade digital. Portanto as empresas precisam ser capazes de confiar as identidades dos usuários que buscam acesso aos seus recursos baseados na Internet. Além disso, eles precisam para gerenciar e controlar as identidades autorizado para garantir que eles são atuais e utilizadas de acordo com as políticas estabelecidas. Por esta razão, as organizações precisam avaliar suas próprias necessidades de gerenciamento de identidade, participar de discussões aprofundadas com os parceiros de negócios sobre suas necessidades e planos, e explorar em conjunto com um fornecedor confiável como implementar e integrar essa solução em seus ambientes de TI.

Um padrão aberto para gerenciamento de identidade - incluindo autenticação, single sign-on e capacidades de gerenciamento de acesso à web - vai ajudar as empresas a reduzir custos, acelerar as oportunidades comerciais e aumentar a produtividade do usuário e satisfação do cliente. Iniciativas como a Liberty Alliance demonstrar como as empresas estão já a trabalhar juntos para fazer e-business mais fácil sem comprometer detalhes credencial. Por exemplo, em breve será possível organizar as suas férias de logística completa - alugar uma casa, voos artigo e alugar um carro - em uma transação em linha única, autenticando uma vez e então se mover livremente entre sites afiliados, sem ter que repetidamente re-introduzir os seus dados. Uma abordagem federada trará benefícios substanciais para os usuários e empresas transações. online são muitas vezes abandonados, e os usuários têm identificado a necessidade de completar e formas, muitas vezes re-completo como sendo a única maior razão para isso, este é claramente um dos principais obstáculos ao comércio electrónico. Dentro de um sistema de gerenciamento de identidade, os usuários irão apreciar: a conveniência de uma única identidade e autenticação para uma ampla gama de recursos, aplicações e sites, a capacidade de especificar as condições em que certas peças de informações pode e não pode ser compartilhada, e as políticas e normas no armazenamento de dados, uso e compartilhamento destinadas a proteger a sua privacidade e prevenir a fraude e roubo de identidade. Por sua vez, as empresas beneficiarão por ser capaz de: confiança da identidade dos funcionários, parceiros e clientes; receber pré-usuários autenticados de sites de parceiros de negócios " e introduzir novos serviços e identificar novas oportunidades de negócio.

ConclusãoNada disso é possível sem a fundação do núcleo de e-segurança: autenticação forte. Uma vez que este está em vigor, o resto - mitigado o risco de segurança de rede, redução de custos, as receitas aumentaram, protegido de investimentos e de respeito - se seguirão, e as empresas ser posicionado para lidar de forma segura, conveniente e rentável através da Internet. Tim Pickard é EMEA Strategic Marketing Director da RSA Security. RSA Security é o nome mais confiável em e-segurança, ajudando as organizações a construir segura, confiável bases de e-business através da sua autenticação de dois fatores, a gestão de acesso web, criptografia e sistemas públicos de gestão de chaves. Uma empresa verdadeiramente global com mais de 8.000 clientes, a RSA Security é reconhecida por fornecer tecnologias que ajudam as organizações a conduta do comércio electrónico com confiança. Para mais informações contactar: RSA Reino Unido, Irlanda e Vendas EMEA, RSA House, Western Road, Bracknell, Berks RG12 1RT. Tel: +44 (0) 1344 781000, Fax: + 44 (0) 1344 781010.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "autenticação e criptografia" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---