SóProvas

Questões de Autenticação

ID
17935
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Qual opção apresenta um conjunto de métodos que caracteriza uma autenticação forte?

Alternativas
Comentários
  • O que é autenticação forte?

    A autenticação forte é um conjunto de métodos que permite que tenhamos um grau de certeza substancialmente maior de que a pessoa que está se identificando realmente é quem diz ser. Os processos de autenticação podem basear-se em algo que você conhece (ex.: nome/senha), algo que você possui (ex.: um cartão de banco para acessar o caixa eletrônico) ou algo que você é (ex.: reconhecimento de impressão digital). A autenticação forte está baseada na utilização de mais de um desses fatores para autenticar a pessoa. O exemplo mais comum de uma autenticação forte é o do acesso aos caixas eletrônicos, onde é necessário a posse do cartão magnético e o conhecimento da senha.
    Para isso podemos utilizar diversos tipos de autenticação forte, tais como cartões magnéticos, certificados digitais, tokens, leitor de impressões digitais, leitor de íris, reconhecimento de face, entre outros. O problema é que nos equipamentos que utilizamos hoje (o computador de casa, o notebook, etc.) não possuímos leitores para estes tipos de dispositivo e o custo para sua aquisição impede que seja, na atualidade, difundido em massa. Além do custo, a operação desses dispositivos (instalação, manutenção) ainda está longe de ser tratada como algo simples.
  • O que faz da 'B' não ser forte o bastante. Ou a 'd'. Questão mal formulada.
  • Alex, a B não está correta porque ela coleta os dois itens sendo de BIOMETRIA.
    Para ser considerado a autenticação forte devemos ter no mímino um par destes itens: O que você é (Biometria), O que você tem (Smart Card, Cartões, Chave), O que você sabe(Senha).
    a) Utilização de senha (O que você sabe), dados pessoais aleatórios (O que você sabe) e PIN (O que você sabe).
    b) Reconhecimento de retina (O que você é) e impressão digital (O que você é).
    c) Uso de crachá magnético (O que você tem), chave física (O que você tem) e crachá com código de barras (O que você tem).
    d) Reconhecimento facial (O que você é) e de íris (O que você é).
    e) Reconhecimento de padrão de voz (O que você é)  e utilização de senha (O que você sabe)

  • E. Reconhecimento de padrão de voz e utilização de senha. (fatores diferentes = + forte)

ID
28993
Banca
CESGRANRIO
Órgão
CAPES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Uma autenticação é caracterizada como forte quando estão presentes 2 ou mais itens dos seguintes fatores:

Alternativas
Comentários
  • Algo que você sabe: senha;
    Algo que você possui: token;
    Algo que você é: biometria.
  • O canal Internet passou a ser cada vez mais, alvo de ataques inescrupulosos, e a mera autenticação por “nome/senha” passou a ser ineficiente. Precisamos utilizar um novo método de autenticação denominado “autenticação forte”, tais como tokens (o que você tem), assinaturas eletrônicas (o que você sabe), sistemas de biometria (o que você é).

    fonte: http://www.s4n.com.br/Autenticacao.aspx


  • Segundo Nakamura(2010,p.364),"

    Com base no que o usuário sabesenha, chave criptográfica ou Personal Identification Number(PIN).

    Com base no que o usuário possuitoken,cartão ou smart card.

    Com base nas características do usuário: biometria, ou seja reconhecimento de voz,impressão digital,geometria das maos, reconhecimento da retina,reconhecimento da íris,reconhecimento digital de assinaturas etc."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


ID
41698
Banca
FCC
Órgão
TRE-PI
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Obter confiança sobre a identidade de agentes ou integridade de dados em comunicação, baseando-se na posse de informação sigilosa (senha), dispositivos (smartcard), dado biométrico (impressão digital, retinal, etc) ou nas combinações destes elementos, trata-se do conceito de

Alternativas
Comentários
  • Item correto Letra B

    Criptografia é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade. Assinatura Digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Certificado Digital é um documento eletrônico que contém o nome, um número público exclusivo denominado chave pública e muitos outros dados que mostram quem somos para as pessoas e para os sistemas de informação. A chave pública serve para validar uma assinatura realizada em documentos eletrônicos. Função Hash é uma equação matemática que utiliza texto (tal como uma mensagem de e-mail) para criar um código chamado message digest (resumo de mensagem). Alguns exemplos conhecidos de funções hash: MD4 (MD significa message digest), MD5 e SHS. A capacidade de descobrir uma mensagem que dê um hash a um dado valor possibilita a um agressor substituir uma mensagem falsa por uma mensagem real que foi assinada. Permite ainda que alguém rejeite de forma desleal uma mensagem, alegando que, na realidade, ele ou ela assinou uma mensagem diferente, dando um hash ao mesmo valor e violando assim a propriedade de não-repúdio das assinaturas digitais.

  • Gabarito letra B.

    Em segurança da informação, a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema, normalmente, no momento em que ele requisita um log in (acesso) em um programa ou computador. A autenticação normalmente depende de um ou mais "fatores de autenticação".

    O termo "autorização" é muitas vezes confundido com o termo autenticação, mas apesar de serem relacionados, o significado de ambos é muito diferente. A autenticação é o processo que verifica a identidade de uma pessoa, por sua vez, a autorização verifica se esta pessoa possui permissão para executar determinadas operações. Por este motivo, a autenticação sempre precede a autorização.

    Fonte: https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o

ID
126910
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Analise o texto a seguir. Ato de averiguar a identidade de uma entidade do sistema (por exemplo, usuário, sistema, ponto de rede) e a elegibilidade da entidade para acessar a informação disponível em computadores. Designado para proteção contra atividades fraudulentas no logon, esse ato também pode se referir à verificação da correção de um dado. O texto acima trata do conceito de

Alternativas
Comentários

  • O que isso tem haver com autenticação:

    "esse ato também pode se referir à verificação da correção de um dado."???

  • O primeiro período da afirmação se refere a autenticação de usuário, enquando o segundo período é relativo a autenticação de mensagens, no qual se verifica a integridade das mensagens (se o conteúdo foi alterado por um terceiro durante o processo de comunicação).
  • Esta questão foi retirada do COBIT 4.1

    Autenticação (Authentication): Ato de averiguar a identidade de uma entidade do sistema (por exemplo, usuário, sistema, ponto de rede) e a elegibilidade da entidade para acessar a informação disponível em computadores. Designada para proteção contra atividades fraudulentas no logon, a autenticação também pode se referir à verificação da correção de um dado.

    Autenticação e Autorização, segundo Tanembaum:  A autenticação lida com a questão de determinar se você está ou não se comunicando com um processo específico. A autorização se preocupa com o que esse processo tem permissão para fazer. Por exemplo, um processo cliente entra em contato com um servidor de arquivos e afirma: "Sou o processo do Scott e quero excluir o arquivo cookbook.old". Do ponto de vista do servidor de arquivos, as seguintes
    perguntas devem ser respondidas:  1. Esse processo é realmente de Scott (autenticação)?  2. Scott tem permissão para excluir cookbook.old (autorização)? 

  • GABARITO A

    A autenticidade: É a propriedade que trata da garantia de que o emissor de uma mensagem é de fato quem alega ser.

ID
135502
Banca
CESPE / CEBRASPE
Órgão
EMBASA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com referência aos fundamentos de segurança relacionados a
criptografia, firewalls, certificados e autenticação, julgue os itens a
seguir.

O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Além disso, todo processo ou usuário autêntico está automaticamente autorizado para uso dos sistemas.

Alternativas
Comentários

  • O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Correto

    Todo processo ou usuário autêntico está automaticamente autorizado para uso dos sistemas. Errado

  • Acho que o termo IDENTIFICADO também está errado. O processo de autenticação é a validação de que a pessoa é quem ela realmente diz ser. Ou seja, não é necessário identificar, pois ela já diz quem é e, por meio de métodos de autenticação, é comprovada como sendo quem ela diz ser.
  • A autorização depende do nível de acesso que ele possui. Autenticação é o processo de provar que você é quem diz ser. Autorização é o processo de
    determinar o que é permitido que você faça depois que você foi autenticado.
  • O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. (corretamente identificado refere-se a provar quem diz ser) Correta
    Além disso, todo processo ou usuário autêntico está automaticamente autorizado para uso dos sistemas aos quais estiver autorizado. Errada
  • A autenticação é um processo que busca verificar a identidade digital do usuário de um sistema;
    Autorização decide se uma pessoa, programa ou dispositivo X tem permissão para acessar determinado dado, programa de computador ou serviço;
    um não implica no outro;

  • Cuidado aqui! A segunda parte da afirmação está incorreta. Um usuário ou processo (programa) autenticado não está automaticamente apto para uso dos sistemas. Isto dependerá do nível de acesso que ele possuir. É possível, por exemplo, que um usuário tenha permissão apenas para visualizar a caixa de mensagens dele ou, ainda, para ler os arquivos de sua pasta particular.
    Gabarito: item errado.

     

    Fonte: Patrícia Lima Quintão, Ponto dos Concursos

ID
148480
Banca
FCC
Órgão
MPU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Os tokens de autenticação que se apresentam nos formatos de contato, sem contato e inteligentes podem ser, respectivamente, exemplificados por

Alternativas
Comentários
  • Java Card é uma tecnologia que permite que pequenos aplicativos (applets) baseados em plataforma Java sejam executados com segurança em smart cards e dispositivos similares com limitações de processamento e armazenamento,
ID
195490
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

O uso de PIN assegura que não ocorrerão ataques de personificação, isto é, um indivíduo votando por outro.

Alternativas
Comentários

  • ERRADO. Se alguém descobrir o PIN de outra pessoa, poderá votar por ela. Portanto, ataques de personificação não são evitados por meio do uso de PINs. Estes ataques poderiam ser evitados por meio de testes biométricos, como impressão digital.

  • O uso de PIN poderia até mitigar, mas não assegura (100% de certeza). O erro estaria na palavra assegura.

  • Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar.

  • GABARITO: ERRADO.

ID
226288
Banca
CESGRANRIO
Órgão
EPE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa deseja disponibilizar, de forma segura, sua Extranet aos seus parceiros. Para tanto, ela decidiu permitir o acesso somente por meio de certificados digitais ICP-Brasil. Com base nessa situação, analise as afirmativas a seguir.

I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.
II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro.
III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

Está correto o que se afirma em

Alternativas
Comentários
  • http://yross.wordpress.com/2010/09/16/certificacao-digital-lado-do-servidor/
  • O certifcado digital é utilizado para distribuição de chaves públicas, logo ele deve ser público! Resposta que marcaria: letra a.
  • I - O certificado ICP-Brasil de pessoa física pode identificar, em uma conexão HTTPS, o titular do certificado, via Client Authentication.

    OK. Pela chave privada, há garantia de autenticidade;

     
    II - É necessário, para autenticar o usuário, que a empresa armazene, seguramente, a senha associada ao certificado digital de cada parceiro. 

    Errado. Uma das bases para um sistema PKIX é que exista uma AC ou RA que tenha a confiança dos envolvidos na transação, que garanta a autenticidade  do certificado usado.

    III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

    OK. O CD revogado é publicado em uma CRL (normalmente na AC) e, via de regra, emite-se um novo CD.
  • Faltou recurso nessa questão. A alternativa III está totalmente absurda!

    III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação.

    Um certificado contém uma CHAVE *PÚBLICA*. Não existe "perder certificado". O certificado É PÚBLICO e, inclusive, está disponível no diretório do CA que o emitiu. O usuário deve solicitar a revogação caso perca A CHAVE PRIVADA, e não o certificado!
  • Concordo com o amigo acima, faltou recurso nessa questão, o gabarito certo é a letra (A)

    Certificado digital é público e so será revogado caso haja suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.

    Sem mais!
  • Tbm concordo com os argumentos sobre o item III
    Será que o gabarito oficial é esse mesmo?
  • III - Caso um usuário perca seu certificado, ele deve, por segurança, solicitar sua revogação

    Galera um certificado é formada pela chave privado que fica com o proprietario, e a chave publica para a identificação.
    No caso a perca do certificado, está relacionado com a chave privada do usuario, no qual, se alguem deseja mandar um mensagem para ela, basta criptografar com a chave publica do certificado dele, e este descriptogra com a sua chave particular, que deve ser mantida em segurança, e, no caso de perca, de ve solicitar sua revogação. 
  • Nossa, o cidadão Daniel Rocha Gualberto precisa estudar um pouco mais sobre Seg. Inf. Explicaçao completamente sem nexo.
    A assertiva III está incorreta!
  • Pessoal, alguma notícia sobre o posicionamento da Cesgranrio para o tópico III???
  • Discordo dos colegas....

    Um certificado digital (emitido por uma CA)  além da chave publica possui uma série de dados (nr. série, identificação do dono, assinatura da AC emissora etc...) e representa a assinatura digital de seu proprietário, valida inclusive para fins jurídicos.

    Resumindo, em caso de perda (certificados tipo token, cartão...) ou exclusão ( certificados tipo A1) , os mesmos devem ser revogados imediatamente.

    Abaixo algumas referências sobre isso das principais AC's do Brasil.

    https://wwws.prodemge.gov.br/certificacaodigital/atendimento-ao-cliente/contato/sub-duvidas-frequentes/189-o-que-fazer-em-caso-de-perda-do-meu-certificado-digital

    http://www.certisign.com.br/atendimento-suporte/certificado-digital/revogacao

    http://serasa.certificadodigital.com.br/ajuda/revogacao/

  • Certificado digital para mim é como se fosse um documento seu, caso perca, precisa ser cancelado e emitir um outro. Porquê se alguém passar por você e cometer algum tipo de crime com o seu certificado digital e que não seja comunicado as autoridades, você será o responsável. É assim que eu penso.

  • Segundo Stalings "...pode-se desejar, na ocasião, revogar um certificado antes que ele expire, por um dos seguintes motivos:

    1) A chave privada do usuário foi comprometida

    2) O uso não é mais certificado pela CA

    3) O certificado da CA foi considerado comprometido

    Portanto a banca entendeu que a perda do certificado que fala o item III seria correto o pedido de revogação.

  • Cara...eu ate acertei, mas tenho que admitir que esse "perder o certificado" me deixou em duvida se era ou nao casca de banana da banca

    Usuario nao pode perder um Certificado, mas sim sua CHAVE PRIVADA

ID
236014
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do controle de acesso a redes e aplicações, assinale, dentre as alternativas a seguir, a única que contém a ordem correta dos procedimentos lógicos atravessados por um usuário para acessar um recurso:

Alternativas
Comentários
  • Basta pensar numa situação do dia-a-dia.

    Você liga para a central do cartão de crédito e se identifica: "Sou o Fulano de Tal".

    A identificação foi feita, mas ela poderia ser falsa, o que caracterizaria falsidade ideológica.

    Para evitar isso, o atendente solicita diversas informações pessoais para fazer a Validação da sua identificação.

    Em sistemas computacionais, a Validação pode ser feita por meio de senha de uso pessoal, ou por biometria (leitura das digitais, por exemplo).

    Após a validação, você está Autorizado a fazer solicitações ou obter informações do cartão informado.

    Por fim, resta a Auditoria do chamado feito.
ID
236017
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O processo de autenticação consiste em:

Alternativas
Comentários
  • Nakamura, pg 364
    A identificação é a função em que o usuário declara uma determinada identidade para um sistema, enquanto a autenticação é a função responsável pela validação dessa declaração de identidade do usuário.
  • Basta pensar numa situação do dia-a-dia.

    Você liga para a central do cartão de crédito e se identifica: "Sou o Fulano de Tal".

    A identificação foi feita, mas ela poderia ser falsa, o que caracterizaria falsidade ideológica.

    Para evitar isso, o atendente solicita diversas informações pessoais para fazer a Validação da sua identificação.

    Em sistemas computacionais, a Validação pode ser feita por meio de senha de uso pessoal, ou por biometria (leitura das digitais, por exemplo).

    A Autenticação envolve, portanto, a validação de uma identificação fornecida.
ID
236050
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as implementações de autenticação descritas nas alternativas a seguir, assinale a única que emprega diretamente um serviço de concessão de tíquetes.

Alternativas
Comentários
ID
275083
Banca
COMPERVE
Órgão
UFRN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O protocolo Diffie-Hellman é um protocolo que define a autenticação de duas entidades através da troca de uma chave simétrica. O método de ataque que explora uma vulnerabilidade desse protocolo é conhecido como:

Alternativas
ID
320458
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos métodos de autenticação de usuários, assinale a opção correta.

Alternativas
Comentários

  • Erro da letra A: o método "o que voce é" é por exemplo: biométrico, reconhecimento facial, retina... Nesse caso, o mais correto seria "o que voce tem" já que se refere ao pendrive.

    LETRA D.

  • Gabarito: letra D

    O que voce é: --> meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.

    O que você tem --> objetos, tais como cartões de identificação, smart cards, tokens USB. Também está sendo muito utilizado o próprio telefone do usuário, com o envio de um SMS, para que ele confirme o código que chegou no telefone. 

    O que você sabe -->senha, dados pessoais, frases secretas. Senha certamente é a forma de autenticação mais comum e utilizada.

ID
348436
Banca
FUNCAB
Órgão
SEMARH-GO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre termos e definições de Segurança da Informação é correto afirmar que:

Alternativas
Comentários

  • Gabarito: Letra D.

    Autenticação é o processo de validação das credenciais de uma pessoa, processo computacional ou dispositivo e requer que a pessoa, o processo ou o dispositivo que fez a solicitação forneça uma representação de credenciais que comprove sua identidade.

ID
458971
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

A autenticação descreve métodos usados para garantir que o sujeito é a entidade que ele afirma ser. A identificação pode ser fornecida com a utilização de um nome de usuário ou número de conta. Para ser propriamente autenticado, o sujeito é normalmente solicitado a fornecer uma senha, uma frase em código, uma chave criptográfica, um número pessoal de identificação — personal identification number (PIN) —, um atributo anatômico ou um token.

Alternativas
Comentários
  • A autenticação descreve métodos usados para garantir que o sujeito é a entidade que ele afirma ser. A identificação pode ser fornecida com a utilização de um nome de usuário ou número de conta. Para ser propriamente autenticado, o sujeito é normalmente solicitado a fornecer uma senha, uma frase em código, uma chave criptográfica, um número pessoal de identificação — personal identification number (PIN) —, um atributo anatômico ou um token.

    Ninguém deve fornercer a chave criptográfica no momento da auntenticação.

  • Teresa, explica isso melhor...confundiu tudo!

ID
611293
Banca
CONSULPLAN
Órgão
Prefeitura de Natal - RN
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Autenticação, Assinatura Digital, Criptografia e Firewall são instrumentos/mecanismos:

Alternativas
Comentários

  • Gabarito D

    Que barbada cara...

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Essa nao cai nas minhas provas

ID
622156
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da classificação e do controle de ativos de informação, julgue o próximo item.

Autenticações por senha ou por biometria são exemplos de controles de acesso lógicos, e o uso de catracas e circuito fechado de televisão, exemplos de controles de acesso físico.

Alternativas
Comentários

  • Quem quiser confirmar que a questão está correta é só ler o item "6.2.1 Identificação dos riscos relacionados com partes externas" da 27002.

  • Quando estudei pelo curso da TI Exames aprendi que Autenticação biométrica é um método físico.

    Por isso que é bom resolver questões das bancas. Cada uma tem a sua "jurisprudência". =/
  • Acho que a lógica do CESPE está correta, a biometria é controle lógico, pois seria como digitar uma senha, mas com características do individuo que são irrefutáveis (já que a iris e a digital são únicos).
  • Discordo do colega acima. Senha qualquer um pode digitar, biométrica somente a própria pessoa.
  • Discordo do colega acima, pois ele não sabe nem o que ele está discordando!
  • Fiquei em dúvida em relação co circuito interno de TV. Em minha opinão,  este mecanismo é classificado como monitoramento, não como  controle de acesso, e muito menos como controle de acesso fisico!!!
    Se alguém tiver alguma referencia na norma 27001 que fale sobre circuito de TV, agradeceria a ajuda.
  • CIRCUITO DE TV... TAMBÉM NÃO ENCONTREI REFERÊNCIA SOBRE ESTE RECURSO.
  • Se alguém está invadindo um espaço não autorizado, é através do circuito de TV que os vigias irão visualizar a invazão, que é ACESSO FÍSICO, pois a pessoas está fisicamente com o seu corpo no local.
  • Justamente Eduardo, é através do circuito de TV que vão MONITORAR se há alguma invasão. Uma câmera sozinha não vai impedir o acesso físico. Quantas vezes já não se viu lojas sendo roubadas pelos circuitos de TV? O circuito impediu o acesso físico? Não! mas serve para monitorar e alertar.
    Não concordo de forma alguma que circuito de TV é um controle fisico . É sim um monitoramento.

  • Certa resposta

    O controle de acesso lógico usa a tecnologia para permitir acesso a locais ou sistemas. Ele faz a verificação da identidade dos usuários que solicitam entrada em recursos computacionais, como smartphones, notebooks, bases de dados e outros itens de software e hardware.

ID
726952
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os mecanismos de autenticação é incorreto afirmar:

Alternativas
Comentários
  • crachas e tokens estão na relação de modo ou fator de segurança "algo que a pessoa tem". Caracteristicas é um fator "algo que a pessoa é" biometria como citado acima.

  • Baseado no que vc tem...

ID
774202
Banca
IADES
Órgão
CFA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema de autenticação para garantir a segurança de informação em uma rede, tipicamente, é composto de userid,

Alternativas
Comentários

  • Questão polêmica.

    Em qualquer sistema web (em rede) que se preze, a autenticação é feita via HTTPS (SSL/TLS), utilizando-se um certificado no servidor.

    Defina "tipicamente". Mas vamos adiante :)

  • Questão passível de anulação pois servidores como o OpenVPN, podem ser utilizados certificados para os usuários serem autenticados, ou seja, para garantir a segurança de informação nos quesitos de autenticidade, integridade, confidencialidade, é necessário senha, criptografia e um certificado digital.

ID
815359
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O Terminal Access Controller Access-Control System (TACACS) é

Alternativas
Comentários

  • https://pt.wikipedia.org/wiki/TACACS

  •  Radius/Tacacs
    Protocolos que provêm serviço AAA
     Sistemas que provêm recursos de Autenticação, Autorização e Accouting (Contabilização/Auditoria) remota (em um servidor)
    Uso de modelo Cliente-Servidor
    Possuem versões abertas e gratuitas e versões/implementações proprietárias/pagas
    Possibilitam autenticação de contas de usuários (ou equipamentos) locais (criados no próprio servidor) e de usuários registrados em um serviço de diretório (ex: AD, LDAP etc)
    Serviços podem ser usados para controle de:
     Acesso à redes cabeadas
     Acesso à redes sem fio
     Acesso VPN ou dial-up (discado)
     Acesso à equipamentos (switches, roteadores, servidores, etc)
     Acesso à sistemas e recursos que suportem autenticação remota com estes
    protocolos
     

  • Gabarito A

    Terminal Access Controller Access-Control System (TACACS) é um protocolo de autenticação remota usado para comunicação com servidores de autenticação, comumente em redes UNIX. TACACS permite que um servidor de acesso remoto se comunique com um servidor de autenticação para verificar se o usuário tem acesso à rede.

    Um cliente coleta o nome de usuário e a senha e então envia uma consulta a um servidor de autenticação TACACS, as vezes chamado de TACACS daemon ou simplesmente TACACSD. Baseado na resposta desta consulta, o acesso ao usuário e liberado ou não.

    Outra versão do TACACS lançada em 1990 foi batizada de XTACACS (extended TACACS). Entretanto, estas duas versões vem sendo substituídas pelo TACACS+ e pelo RADIUS em redes mais novas. Apesar do nome, TACACS+ é um protocolo completamente novo e não é compatível com TACACS ou XTACACS.

    TACACS é definido pela RFC 1492, usando tanto TCP como UDP e por padrão a porta 49.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
815416
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Basicamente, o processo de autenticação mútua, com senha unidirecional criptografada em que: I) o autenticador envia o desafio ao cliente de acesso remoto; II) o cliente de acesso remoto envia uma resposta; III) o autenticador verifica a resposta do cliente e a envia de volta; e IV) o cliente de acesso remoto verifica a resposta de autenticação e, caso esteja correta, estabelece a conexão. São características do protocolo

Alternativas
Comentários

  • Letra B.

     

    MS-CHAP v2. MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versão 2) é um protocolo de autenticação mútua de desafio-resposta e baseado em senha que usa criptografia MD4 e DES. Usado com PEAP (PEAP-MS-CHAP v2) para proteger comunicações sem fio.

     

    https://technet.microsoft.com/pt-br/Library/cc875845.aspx

  • Que chute certeiro

ID
820060
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O processo de autenticação de usuários é um método eficaz para proteger o acesso indevido de pessoas a computadores, sistemas operacionais, softwares, redes e ambientes físicos. Um sistema que utiliza um processo de forte autenticação deve verificar algo que o usuário sabe, algo que ele possui e algo que ele é.

Para acessar o sistema, nessa ordem de verificação, um usuário legítimo deve fornecer os seguintes itens pessoais:

Alternativas
Comentários
  • Acertei a questão mas não entendi direito. Se fosse "senha pessoal, token com a chave privada e certificado digital" ficaria mais bonito...

  • O token é um hardware capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais. Uma vez geradas estas chaves estarão totalmente protegidas, pois não será possível exportá-las ou retirá-las do token (seu hardware criptográfico), além de protegê-las de riscos como roubo ou violação. 

    Fonte: http://www.ar.arisp.com.br/conteudo/faq_cnpj.htm

  • LETRA C.

    Eu também errei esta questão, mas depois de reler ela entendi que quando se diz "digital" na alternativa c, a questão quer dizer "impressão digital" da biometria, o que consiste no fator "algo que ele é".


    Segundo Nakamura(2010,p.364),"

    Com base no que o usuário sabe: senha, chave criptográfica ou Personal Identification Number(PIN).


    Com base no que o usuário possui: token,cartão ou smart card.


    Com base nas características do usuário: biometria, ou seja reconhecimento de voz,impressão digital,geometria das maos, reconhecimento da retina,reconhecimento da íris,reconhecimento digital de assinaturas etc."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


ID
820096
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O Hash Message Authentication Code (HMAC) pode ser utilizado para autenticar mensagens.

Esse esquema de autenticação combina o algoritmo de resumo de mensagem com a(o)

Alternativas
Comentários

  • Em criptografia, HMAC (Hash-based Message Authentication Code) é uma construção específica para calcular o código de autenticação de mensagem (MAC) envolvendo uma função hash criptográfica em combinação com uma chave secreta.

  • Gabarito letra C.

    Em criptografia, HMAC (Hash-based Message Authentication Code) é uma construção específica para calcular o código de autenticação de mensagem (MAC) envolvendo uma função hash criptográfica em combinação com uma chave secreta. Da mesma forma que em qualquer MAC, este pode ser usado para simultaneamente verificar tanto a integridade como a autenticidade de uma mensagem. Qualquer função hash criptográfica, tal como MD5 ou SHA-1, pode ser usada no cálculo do HMAC; o algoritmo MAC resultante é denominado HMAC-MD5 ou HMAC-SHA1 em conformidade. A força criptográfica do HMAC depende da força da criptográfica da função hash subjacente, do tamanho do hash produzido como saída em bits, e do tamanho e da qualidade da chave criptográfica.

    Uma função hash iterativa quebra uma mensagem em blocos de tamanho fixo e realiza uma iteração sobre eles com uma função de compressão. Por exemplo, MD5 e SHA-1 operam em blocos de 512 bits. O tamanho da saída do HMAC é o mesmo que o da função hash subjacente (128 ou 160 bits no caso do MD5 ou SHA-1, respectivamente), embora este possa ser truncado se desejado.

    A definição e análise da construção HMAC foi publicada inicialmente em 1996 por Mihir Bellare, Ran Canetti, e Hugo Krawczyk,[1] que também escreveu a RFC 2104. Este paper também definiu uma variante chamada NMAC que é raramente usada. FIPS PUB 198 generaliza e normatiza o uso de HMACs. HMAC-SHA1 e HMAC-MD5 são usados dentro dos protocolos IPSec e TLS.

    Fonte:https://pt.wikipedia.org/wiki/HMAC

  • Não entendo! Quando gero um digest, para garantir a autenticidade devo criptografar este digest com a minha chave privada!
  • Existem duas assinaturas digitais: assinatura simétrica e a assinatura assimétrica! Na assinatura simétrica, utilizando-se do pressuposto de que as duas entidades envolvidas na comunicação conhecem a achava simétrica, é enviado anexado à mensagem em claro o hash gerado apartir da concatenação da mensagem com a chave de sessão. H(M+Ks) = digest. M+digest é enviado. No destino H(M+Ks) = digest’. Se digest’ == digest, então mensagem autenticada e integra.

  • Essa foi viajada ein...

  • chave secreta não é o mesmo que chave privada?

  • c-

    O HMAC (Hash Message Authentication Code) pode ser considerado um suplemento do MD5, visto que se trata de um código de autenticação de mensagem criado com base em um valor-chave que é incluído no hash, de maneira que os dados originais e o MAC sofram hash na mesma resenha.

ID
927496
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao controle de acesso, julgue os itens seguintes.

Considere que, ao acessar a intranet da sua empresa, um usuário informe o nome e a senha, para efetuar autenticação. Considere, ainda, que, após acessar o conteúdo da intranet, esse usuário acesse o sistema de recursos humanos da empresa, informando o nome e a senha, a fim de visualizar e imprimir seu contracheque. Nessa situação, foi utilizado single sign-on.

Alternativas
Comentários
  • Single Sign-On é um controle de acesso de múltiplos relacionamentos independentes de software de sistemas. Um usuário faz login uma vez e ganha acesso a todos os sistemas integrados sem a necessidade de efetuar login novamente.

  • ERRADO. Na questão acima foram realizadas duas autenticações, e com SSO(Single Sign-On) só é necessário uma autenticação.


    Segundo Nakamura(2010,p.377),"O SSO surgiu como um método de identificação e autorização que permite uma administração consistente, de maneira que os usuários podem acessar vários sistemas diferentes, de um modo transparente e unificado, por meio de uma única autenticação."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010

  • Gabarito Errado

    Single Sign-on é definido como um único ponto de entrada, ou seja, você necessita se autenticar uma única vez. Isso permite acesso automaticamente a diversos canais do portal Terra, sem a necessidade de digitar seu login e senha em cada sistema, o que proporciona mais segurança aos seus dados de autenticação.

     

    Exemplo: Você autenticou no Terra Mail para verificar suas mensagens, aí decidiu acessar a Central do Assinante, por exemplo, então basta acessar a página da central e já estará autenticado, não havendo a necessidade de efetuar login novamente. 

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    No exemplo citado na questão, o usuário utiliza autenticação com login/senha 2x, e com "single sign-on (SSO)" basta digitar apenas uma senha quando faz o primeiro acesso sem necessidade de digitar novamente a senha.

    É uma solução tecnológica que permite que esses aplicativos usem a mesma senha para todos os acessos de forma segura e transparente.

    Exemplo: Ao utilizar o Youtube ou fazer cadastro em um e-commerce, é possível "logar" em ambos, apenas com sua CONTA GOOGLE.

ID
946888
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de controle de acesso e garantia de integridade, julgue os itens que se seguem.

Códigos de autenticação de mensagem em que são usadas funções de resumo criptográfico (hash) com chave oferecem garantias contra a forja de mensagens.

Alternativas
Comentários
  • O gabarito está incorreto! 

    Em primeiro lugar, o texto refere-se à questão de oferecer garantia, não quanto à ausência de da garantia, portanto, qualquer percentual de garantia já convalidaria a afirmação.

    Em segundo lugar, o HMAC (Hashed Message Authentication Code) ou Código de Autenticação de Mensagem  com Chave (ver: Tanenbaum, Redes de computadores, pag. 512) ,  é uma técnica usada no protoclo IPSEC para garantir que a informação trafegada entre dois pontos não seja adulterada, para isso, uma função de resumo, frequentemente a SHA-1 é aplicada sobre cabecalhos do pacote IP, velendo-se de uma chave (obviamente compartilhada somente entre os pontos envolvidos na comunicação) para garantir que estranhos não sejam capazes de modificar os campos e reproduzir o codigo hash que é anexada ao pacote. Portanto, isso garante sim a integridade dos dados enviados, isto é, impede a forja de dados. Se o algoritmo de resumo criptografico apresenta vulnerabilidades, isso é outra questão, até mesmo porque, a segurança oferecida por algoritmos de resumo ou de criptografia reduz-se à medida do aumento do poder da computação dos equipamentos.
  • Esse portugues confuso da CESPE deixa qualquer um maluco.
    Forjar uma mensagem é a mesma coisa que adulterar a mensagem, para garantir que a mensagem não foi forjada ou adulterada, usa-se o HASH da mensagem.
    Sendo assim esta CORRETO
  • Julio,

    Acredito que você esteja esquecendo o caso em que a pessoa troca a mensagem e gera um novo hash. Logo o hash não server para verificar se a mensagem foi adulterada. 

  • Eu acredito que o erro é dizer que códigos de autenticação de mensagem são funções hash com chave e na realidade são mensagens com funções hash criptografadas por uma chave de autenticação..

  • Atentem para  a pegadiha dizendo que é HASH com chave. HASH nao usa CHAVE.  o HMAC vai usar a chave secreta e uma função de HASH....

  • Acredito que o que invalida a questão é dizer que HMAC oferece garantias contra a forja de mensagens. Não existe medida de segurança 100% segura.


    "A  força criptográfica do HMAC depende do tamanho da chave secreta que é usada. O ataque mais comum contra HMACs é a força bruta para descobrir a chave secreta."


    Fonte: https://pt.wikipedia.org/wiki/HMAC

  • Gabarito Errado

    HASH nao usa CHAVE !

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • o comentario do ''Ibsen "Perito" ta na veia

  • ATENÇÃO!!

    Não caia nessa de "nada na informática é garantido".

    essa é a maior bullshit dos comentários de informática aqui do QC

  • Não chega ao extremo de dizer que "nada na informática é garantido", mas o erro na questão está sim em dizer que garante.

    Normalmente segurança que envolva senha não garante nada. Existem outras questões do Cespe em que o erro está em dizer que proteção que envolva senha garante segurança. Se a senha for comprometida, já era.

ID
951493
Banca
EXATUS
Órgão
DETRAN-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

AFIS (Sistema Automatizado de Identificação de Impressão Digital) é um software que usa o padrão de imagens WSQ (Wavelet Scalar Quantization) que foi desenvolvido pelo FBI:

Alternativas
Comentários

  • AFIS é usado para comparar uma impressão digital com impressões previamente arquivadas no banco de dados do sistema. Então, ela não compara imagem com imagem.

  • AFIS compara templates, que são alguns pontos específicos da impressão digital.

    Na etapa de comparação as informações na saída do detector de minúcias são comparadas com as informações do banco de dados. Daí a importância e a maior justificativa para o uso de templates, pois o volume de informações tratado é muito menor do que seria se fossem comparadas imagens diretamente. Uma imagem de impressão digital adquirida a 600 DPIs, por exemplo, resulta em cerca de 400 mil pontos enquanto as minúcias são, em geral, em número de 100. Existe também a justificativa de espaço de armazenamento necessário. Em um sistema nem sempre é necessário armazenar a imagem da impressão mas apenas os templates resultantes, o que possibilita o uso de um PC na realização da tarefa.

    fonte: http://www.papiloscopia.com.br/monografia.html

  • Empregando a lógica para responder essa questão, só existe duas possíveis respostas certas: ou a letra A ou a letra C.

  • QUESTÃO MAL FORMULADA...

ID
959566
Banca
COVEST-COPSET
Órgão
UFPE
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Qual das seguintes alternativas não representa maneiras de implementar single sign-on?

Alternativas
Comentários

  • Types of Common Single Sign-On
    =======================
      1. Kerberos based
      2. Smart card based
      3. OTP - One-time password Token
      4. Integrated Windows Authentication


    Fonte: http://www.nullskull.com/a/1000/everything-about-single-sign-on--kerberos-authentication.aspx

  • https://duvidas.terra.com.br/duvidas/3301/o-que-e-o-single-sign-on

ID
977713
Banca
FUNRIO
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em uma comunicação segura, que tipos de técnicas computacionais devem ser usadas para proteger do roubo de identidade?

Alternativas
Comentários
  • Letra d)

    Com a identidade inválida, o usuário não se autentica.

  • RESPOSTA D

    3# ##Identificação e autenticação são requisitos de segurança da informação que consistem em identificar usuários do sistema e verificar as suas identidades, como pré-requisito para permitir o acesso desses usuários ao sistema

    #SEFSAZ-AL

ID
1035427
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

Um digest de mensagens sem chaves é usado como um código de detecção de modificações (MDC), que garante sua integridade. Para se autenticar a origem dos dados, é necessário um código de autenticação de mensagens (MAC), que consistem em funções de hash com chaves que criam um digest compactado a partir da mensagem adicionada com uma chave.

Alternativas
Comentários

  • Gabarito Certo

    Em criptografia, um autenticador de mensagem (em inglês message authentication code - MAC) é um pequeno pedaço de informação usado para autenticar a mensagem.

    Um algoritmo MAC, algumas vezes chamado função de dispersão chaveada (criptografia), em inglês keyed hash function, recebe como entrada uma chave secreta e uma mensagem de tamanho arbitrário para ser autenticado, e dá como saída uma MAC (algumas vezes chamada de tag ou etiqueta). O valor do MAC protege tanto a integridade dos dados da mensagem, assim como a sua autenticidade, permitindo aos verificadores (que também possuem a chave secreta) detectar quaisquer mudanças no conteúdo na mensagem.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ex

    Message Digests são funções hash que geram código de tamanho fixo, em uma única direção, a partir de dados de tamanho arbitrário. Esses códigos hash são extremamente úteis para segurança de senhas. Como ele não pode ser descriptografado, o código hash precisa ser re-gerado e comparado com a seqüência disponível anteriormente. Se ambos se igualarem, o acesso é liberado.

     

    A API Java implementa dois algoritmos de Message Digest: o MD5 e o SHA-1.

     

    import java.security.MessageDigest;

    import java.security.NoSuchAlgorithmException;

      

    public class Criptografia {

      

        private static MessageDigest md = null;

      

        static {

            try {

                md = MessageDigest.getInstance("MD5");

            } catch (NoSuchAlgorithmException ex) {

                ex.printStackTrace();

            }

        }

      

      private static char[] hexCodes(byte[] text) {

            char[] hexOutput = new char[text.length * 2];

            String hexString;

      

            for (int i = 0; i < text.length; i++) {

                hexString = "00" + Integer.toHexString(text[i]);

                hexString.toUpperCase().getChars(hexString.length() - 2,

                                        hexString.length(), hexOutput, i * 2);

            }

            return hexOutput;

        }

      

    public static String criptografar(String pwd) {

            if (md != null) {

                return new String(hexCodes(md.digest(pwd.getBytes())));

            }

            return null;

        }

    }

     

    Tenso!! 

     

     

     

  • Achei q hash não usava chave...

    Q matéria tosca mano... impossível acertar qualquer coisa fora da decoreba

  • Q desgraçaaa... uma hora HASH não utiliza chave, agora ja usa. Ai fica dificil entender!

  • Misericórdiaaa kkkkkkkkk

  • Para assinar uma mensagem, uma função Message Digest (MD) é usada para processar o documento, produzindo um pequeno pedaço de dados, chamado de hash. Uma MD é uma função matemática que refina toda a informação de um arquivo em um único pedaço de dados de tamanho fixo.

     

     Na verdade, entra-se com os dados a serem "digeridos" e o algoritmo MD gera um hash de 128 ou 160 bits (dependendo do algoritmo, são exemplos: MD4, MD5 e Snefru). Uma vez computada uma message digest, criptografa-se o hash gerado com uma chave privada. O resultado de todo este procedimento é chamado de assinatura digital da informação. A assinatura digital é uma garantia que o documento é uma cópia verdadeira e correta do original.

  • Esse video me ajudou a entender um pouco como funciona o hash.

    https://www.youtube.com/watch?v=xsp--srKWKw

ID
1045330
Banca
CESPE / CEBRASPE
Órgão
UNIPAMPA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança de sistemas, julgue os itens que se seguem.

Para autenticar uma comunicação que utiliza assinaturas de chave pública, o emitente e o receptor devem ter a mesma chave.

Alternativas
Comentários

  • Segundo o livro Certificacao Digital Conceitos e Aplicacoes  Modelos Brasileiro e Australiano:

    A Criptografia de chave pública (também chamada de criptografia assimétrica) envolve o uso de duas chaves distintas, uma pública e uma privada. A chave privada é mantida em segredo e nunca deve ser divulgada. Por outro lado, a chave pública não é secreta e pode ser divulgada. Por outro lado, a chave pública não é secreta e pode ser livremente distribuída e compartilhada com qualquer pessoa.


    O erro da questão está em afirmar que ( assinaturas de chave pública, o emitente e o receptor devem ter a mesma chave.)

  • Ora, em assinaturas de chave pública existem duas chaves: a pública e a privada. A chave pública é conhecida pelo emitente e receptor. Enquanto a chave privada só é conhecido por aquele que enviou a mensagem. 

  • ERRADA

    Questão cobrada no ano de 2017 ajuda a responder essa, vejam:

    (2017/CEDPE/SEDF/Tecnologia da Informação) No contexto de uma infraestrutura de chaves públicas, um documento eletrônico assinado digitalmente com a chave pública do remetente falhará na verificação de integridade e autoria pelo destinatário, caso essa verificação seja realizada com a aplicação da mesma chave pública do remetente. CERTO

    obs.: A chave utilizada para encriptar não pode ser utilizada para desencripetar, justamente pelo conceito de chaves assimétricas.

  • ERRADO

    Chave pública ( também classificada como ASSIMÉTRICA) utiliza duas chaves ( uma pública, e outra privada). Por outro lado, a chave SIMÉTRICA utiliza apenas uma chave, a qual é usada tanto para encriptar como para decriptar a informação.

  • Analogia: O remetente encaminha um baú com um cadeado aberto. O destinatário o recebe, insere a informação, tranca o baú com o cadeado e o devolve. Somente o remetente possui a chave para destrancar o cadeado.

ID
1101349
Banca
UNIRIO
Órgão
UNIRIO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um dos principais mecanismos da segurança da informação, na transmissão de um dado em qualquer de suas formas (transações, voz, documentos eletrônicos ou quaisquer outras informações) é a autenticação, que garante a identidade de um usuário perante um sistema. No processo de autenticação, a que trata da forma mais segura é:

Alternativas
Comentários

  • O gabarito é A - e não E - porque o que está em jogo é assinatura digital? É isso?

     

    Eu marquei E por considerar criptografia - e não assinatura digital - em que a a chave pública é utilizada para cifrar o dado a ser transmitido.

  • Assinatura digital garante autenticidade da mensagem.

    Chave privada p/ cifrar.

    Chave publica(qualquer um que a tenha) p/ decifrar.

  • ===Letra A===

    a criptografia assimétrica, na qual a chave privada é utilizada para cifrar o dado a ser transmitido (CERTO)

    ===Letra B===

    a criptografia simétrica, na qual a chave simétrica é utilizada para cifrar o dado a ser transmitido. (ERRADO)

    A criptografia simétrica garante somente a confidencialidade, no qual é utilizado a mesma chave para criptografar e decriptografar a informação.

    ===Letra C===

    a criptografia simétrica, na qual a chave privada é utilizada para decifrar o dado a ser transmitido. (ERRADO)

    A criptografia simétrica garante somente a confidencialidade, no qual é utilizado a mesma chave para criptografar e decriptografar a informação. A criptografia simétrica não garante autenticidade

    ===Letra D===

    a criptografia assimétrica, na qual a chave privada é utilizada para decifrar o dado a ser transmitido. (ERRADO)

    A criptografia assimétrica, no qual a chave publica é utilizada para decifrar o dado a ser transmitido. Nesse caso a autenticidade é comprovada, pois se a informação foi criptografada com a chave privada somente o dono poderia ter feito isso.

    ===Letra E===

    a criptografia assimétrica, na qual a chave pública é utilizada para cifrar o dado a ser transmitido. (ERRADO)

    A criptografia assimétrica, na qual a chave privada é utilizada para cifrar o dado a ser transmitido.

ID
1101997
Banca
UNIRIO
Órgão
UNIRIO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No procedimento a ser usado para envio de email seguro, contemplando apenas integridade e autenticação,

Alternativas
Comentários

  • função hash concede integridade

    criptografia assimétrica com chave privada usada antes da pública fornece autenticação

  • E A TORTURA CASTIGO ?

  • E A TORTURA CASTIGO ?

  • E a tortura castigo?

  • E a tort castigo?

  • e a tortura omissão

  • E A TORTURA CASTIGO ?

  • kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk

ID
1115407
Banca
CESPE / CEBRASPE
Órgão
SUFRAMA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, julgue os itens subsequentes.

O controle de acesso refere-se à verificação da autenticidade de uma pessoa ou de dados. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

Alternativas
Comentários

  • Acho que controle de acesso tem mais a ver com autorização..


    Concordam?

  • Sim, acredito que seja isso mesmo.

  • Perfeito Raphael. Ao implementar um controle de acesso há 3 verificações, quanto à:
    - identificação (saber quem é o requisitante do acesso)
    - autenticação (saber se o requisitante é válido nos registros de controle)
    - autorização (prover o acesso ao usuário que o tenha direito)


  • O fato da questão estar incompleta, ou seja, não citar as 3 verificações: autenticidade, autorização e auditoria não invalida a questão.

    Acho que o erro está em "... verificação da autenticidade de uma pessoa ou de dados." No contexto de controle de acesso, não faz muito sentido um dado se autenticar (identificar-se para obter acesso).

    Uma pessoa se autentica (identifica) e o sistema de controle de acesso verifica o que ela pode acessar (autorização sobre dados).


    Já dentro do contexo de assinatura digital, faz sentido autenticar um dado (arquivo)

  • Fazer questões de informática desperta o que há de pior dentro de um ser humano. QUE MATÉRIA TOSCA!

  • Outra questão ajuda a responder

    Os benefícios providos pelos mecanismos de autenticação incluem a corroboração da identidade das partes e da origem da informação e o controle de acesso. (errado)

    Autenticação, por si só, não garante controle de acesso. Só consegue identificar se alguém é quem diz ser.

  • o controle de acesso subdivide-se em três processos:

    • autenticação (quem acessa o sistema);
    • autorização (o que um usuário autenticado pode fazer);
    • auditoria (diz o que o usuário fez).

    qual o erro da questão então? não sei :)

    fonte: wiki + strongsecurity

  • controle de acesso, na segurança da informação, é composto dos processos de autenticaçãoautorização e auditoria (accounting). Neste contexto o controle de acesso pode ser como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.

    Fonte Wikipedia

  • ERRADO

    O controle de acesso refere-se à verificação da autenticidade de uma pessoa ou de dados. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

    Corrigindo a assertiva: O controle de acesso refere-se à verificação da autenticidade de uma pessoa. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

  • Controle de acesso é para pessoas/usuários e não para dados

ID
1117474
Banca
CESGRANRIO
Órgão
FINEP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O acesso aos serviços bancários via Internet está sujeito a várias fases de controle. Um dos bancos que disponibiliza esses serviços solicita, inicialmente, o número da agência e o da conta corrente. Numa segunda etapa, exige uma senha. A partir daí, o cliente pode realizar apenas as transações às quais tem acesso. Os atributos de segurança que esse exemplo implementa, na sequência em que ocorrem são

Alternativas
Comentários

  • o número da agência e o da conta corrente: identificação

    Numa segunda etapa, exige uma senha: autenticação

    realizar apenas as transações às quais tem acesso: autorização

  • identificação, autenticação e autorização

  • Em primeiro momento, o serviço identifica o usuário do banco, solicitando que este forneça seus dados de número de agência e conta corrente.

    Em um segundo momento, o serviço autentica o usuário, confirmando que este é verdadeiramente o detentor da conta que foi identificada, sendo que para isso o serviço solicita a senha da conta.

    Em terceiro e último momento, o serviço autoriza o usuário, permitindo que este efetue as transações autorizadas pelo banco ao seu painel de usuário, de acordo com as características da sua conta no banco.

ID
1181986
Banca
COPEVE-UFAL
Órgão
UFAL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O PGP (Pretty Good Privacy) é o método mais utilizado para fornecer confidencialidade, autenticação de emissor e integridade da mensagem para o serviço de correio eletrônico da Internet. Assinale a alternativa que melhor descreve os passos para garantir os três serviços supracitados.

Alternativas
Comentários

  • PGP, do inglês Pretty Good Privacy (privacidade muito boa), é um programa de computador de encriptação e descriptografia de dados (Criptografia de chave pública) que fornece autenticação e privacidade criptográfica para comunicação de dados.[1] É frequentemente utilizado para assinatura, criptografia e descriptografia de textos, e-mails, arquivos, diretórios e partições inteiras de disco para incrementar a segurança de comunicações via e-mail. Foi desenvolvido por Phil Zimmermann em 1991.

    O PGP e produtos similares seguem o padrão OpenPGP (RFC 4880) para criptografar e descriptografar dados.

    https://pt.wikipedia.org/wiki/PGP

  • Que loucura!, prova com cargos marcados, só pode!

ID
1213936
Banca
IADES
Órgão
TRE-PA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de autenticação de usuários podem ser divididos em três grupos: autenticação baseada no conhecimento; autenticação baseada na propriedade; autenticação baseada em características. Assinale a alternativa que apresenta um exemplo de autenticação pertencente ao último grupo.

Alternativas
Comentários

  • Gabarito: E.

     

    A biometria refere-se a várias técnicas de autenticação, para distinguir um indivíduo do outro, baseando-se em características físicas e/ou comportamentais.

  • Reconhecimento biométrico , pois cada pessoa possui uma uma biometria diferente  da outra. Logo, é uma característica particular delas.

  • Questão podre essa hein?

     

    De que lugar o examinador tirou essa??

  • Gabarito E

    O reconhecimento biométrico é o recurso disponível na tecnologia da informação, que pode identificar pessoas, a partir das características genéticas. A palavra biometria origina-se de duas outras “Bio” (vida) e “metria” (medida). O reconhecimento é feito através de algoritmos e de sensores que comparam os Templates, modelos, que assimilam e fazem o credenciamento de acesso do indivíduo à máquina. Atualmente o reconhecimento biométrico é utilizado por grandes empresas, polícia civil e federal, instituições bancárias, entre outros. Este sistema é altamente confiável e tem precisão de 100% de acerto, servindo assim como forma de evitar fraudes, violação de senhas, etc.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Gabarito: E

    A - Uso de login e senha. autenticação baseada no conhecimento

    B - Uso de tokens. autenticação baseada na propriedade

    C - Certificado digital. autenticação baseada na propriedade

    D - Perguntas randômicas. autenticação baseada no conhecimento

    E - Reconhecimento biométrico. autenticação baseada em características

    Autenticação baseada no conhecimento “O que você sabe”

    Autenticação baseada na propriedade '‘O que você tem”

    Autenticação baseada na característica “O que você é”

ID
1214053
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

Os métodos de autenticação comumente empregados fundamentam-se na clássica divisão entre o que você sabe (senha ou número PIN); o que você tem (token ou um smart card); e o que você é (íris, retina e digitais).

Alternativas
Comentários

  • Achei um um pouco capciosa. A expressão "comumente empregados" no meu entendimento é o que pode ser usado no dia a dia. Eu pelo menos em 10 anos trabalhando e estudando TI nunca vi uma método de implementação usando a íris e a retina ao vivo.

  • se prepara ai pro novo iphone entao

  • Comumente ou raramente não foi o núcleo da questão. A afirmação diz basicamente que esse métodos existem, logo é verdadeiro.

    Delicado, mas...

  • A questão está correta. Vários serviços web já utilizam mecanismo de autenticação que combina 2 ou 3 desses fatores.


    Por exemplo: o Google suporta a autenticação de 2 fatores. Ao logar pode ser exigido a senha (o que você sabe) + um código SMS para celular (o que você tem).


    Fonte: https://nakedsecurity.sophos.com/pt/2013/10/10/security-essentials-what-is-two-factor-authentication/

  • 1, 2 e 3 - correto

    Resumindo:

    1º ponto de autenticação - O que você sabe ? Senha ou PIN.

    2º ponto de autenticação - O que você tem ? Token ou smart crachá.

    3º ponto de autenticação - O que você é ? Íris, retina ou biometria.

  • Gabarito: Correto.

    O que voce é: --> meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.

    O que você tem --> objetos, tais como cartões de identificação, smart cards, tokens USB. Também está sendo muito utilizado o próprio telefone do usuário, com o envio de um SMS, para que ele confirme o código que chegou no telefone. 

    O que você sabe -->senha, dados pessoais, frases secretas. Senha certamente é a forma de autenticação mais comum e utilizada.

    Os tokens são um híbrido entre o que se sabe e o que se tem.

ID
1214092
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos procedimentos de segurança da informação, julgue os seguintes itens.

Considere que uma empresa tenha introduzido sistema de autenticação biométrica como controle de acesso de seus funcionários às suas instalações físicas. Nessa situação, o uso desse tipo de controle é um procedimento de segurança da informação.

Alternativas
Comentários

  • GABARITO:CORRETO

     

    1.Politicas de segurança(Documento ou conjunto de documentos que definem os principios básicos da gestão de S.I..Servem tambem de guia para as normas e procedimentos de segurança da informação) = nivel Estratégico.

    2.Normas de segurança(Especificam normas que foram propostas no nível estratégico da politica de segurança que deverão ser implementadas no nível operacional) = nivel Tático.

    3.Procedimentos de segurança(É a aplicação das normas especificadas no nível tático) = nivel Operacional.

  • Exatamente! Vale ressaltar que em uma autenticação forte, baseada em mais de um fator, a leitura biométrica diz respeito a algo que você é.

ID
1223167
Banca
CESPE / CEBRASPE
Órgão
Câmara dos Deputados
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à segurança da gestão de áreas e instalações e à segurança das telecomunicações, julgue os próximos itens.

A autenticação assegura e valida a identidade do usuário, permitindo que toda informação contida no sistema da empresa seja autêntica e esteja disponível.

Alternativas
Comentários
  • Gab: errado
     autenticação é o processo que verifica a identidade de uma pessoa, por sua vez, a autorização verifica se esta pessoa possui permissão para executar determinadas operações. Por este motivo, a autenticação sempre precede a autorização.

  • Autenticação:

    É o processo de se identificar um indivíduo ou dispositivo baseado na combinação correta de nome de usuário e senha. A autenticação não determina o que um indivíduo pode acessar, mas apenas que ele é quem diz ser. A autorização define o que um indivíduo está autorizado a fazer supondo, é claro, que ele tenha sido autenticado!


    Gab: Errado

    Fonte: Stallings

  • A autenticação assegura e valida a identidade do usuário (CORRETO), permitindo que toda informação contida no sistema da empresa seja autêntica (autenticação não provê autenticidade de informação, mas do usuário) e esteja disponível (Disponibilidade não é garantida por ela, mas por servidores de replicação, espelhamento de discos, load balance, etc)

  • Autenticidade X Disponibilidade

    Nem tudo aquilo que é autêntico quer dizer que também esteja disponível.

  • Complementando que nem todas as informações podem ser conhecidas por todos dentro da empresa:

    NÍVEIS DE CLASSIFICAÇÃO DAS INFORMAÇÕES

     

    Confidencial: É o nível mais alto de segurança dentro deste padrão. As informações confidenciais são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. São protegidas, por exemplo, por criptografia.

     Restrita: É o nível médio de confidencialidade. São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo o acesso à uma pasta ou diretório da rede.

     Uso interno: Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.

    PúblicaSão dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade.

ID
1232500
Banca
FCC
Órgão
TRT - 5ª Região (BA)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Trata-se de um mecanismo que identifica o remetente de determinada mensagem eletrônica. No âmbito da ICP-Brasil, possui autenticidade, integridade, confiabilidade e o não-repúdio, o que implica que seu autor não poderá, por forças tecnológicas e legais, negar que seja o responsável por seu conteúdo. A técnica permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida o processo de autenticação.

O texto refere-se a

Alternativas
Comentários

  • Letra B. Assinatura digital, para pessoas físicas. Certificado digital para pessoas jurídicas.

  •  Assinatura digital é só para pessoas físicas ou jurídicas, já a Certificação Digital é todos e qualquer coisa do meio digital. ex: pessoa física, jurídica, máquina ou aplicação, este é o certo.


    Fonte: ITI - Instituto Nacional de Tecnologia a Informação

  • Por se tratar de um mecanismo, tudo indica ser uma assinatura digital, uma vez que o certificado não é um mecanismo, mas um documento.

  • Assinatura Digital: É  a forma que se tem de comprovação de determinados dados( Email, arquivo) enviado por alguém ,ou seja, a sua autoria ,haja vista que alguns principios estão alencados a assinatura digital: Auteticidade,integridade e não repúdio.

     

    Gab: B

  • https://suporte.clicksign.com/article/7-qual-e-a-diferenca-entre-assinatura-eletronica-assinatura-digital-e-certificado-digital

     

    Qual é a diferença entre assinatura eletrônica, assinatura digital e certificado digital?

     

    Certificado digital é um arquivo eletrônico contendo um conjunto de informações que identificam um agente.

     

    Assinatura eletrônica é o gênero referente a todos os métodos utilizados para assinar um documento eletrônico. É semelhante à assinatura no papel, porém no meio eletrônico. Para ter valor legal, a assinatura eletrônica é composta por três elementos essenciais: comprovação da integridade do documento assinado, identificação e autenticação do autor da assinatura e registro da assinatura.

     

    A Clicksign resguarda a integridade, autenticidade e não repúdio em contratações online. Foi desenvolvida para reforçar a validade de documentos e assinaturas eletrônicas e é compatível com as principais normas internacionais de assinatura eletrônica.

     

    Assinatura digital é uma espécie de assinatura eletrônica, resultante de uma operação matemática que utiliza criptografia e permite aferir a origem e a integridade do documento. A assinatura digital fica de tal modo vinculada ao documento eletrônico, que caso seja feita qualquer alteração, a assinatura se torna inválida.

  • Qc:

    Letra B. Assinatura digital, para pessoas físicas. Certificado digital para pessoas jurídicas.

  •  O certificado digital é um documento eletrônico assinado digitalmente por uma autoridade certificadora, e que contém diversos dados sobre o emissor e o seu titular. A função precípua do certificado digital é a de vincular uma pessoa ou uma entidade a uma chave pública.

     

    • A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica e permite aferir, com segurança, a origem e a integridade do documento.

     

     

    Fonte: https://www.trt4.jus.br/content-portlet/download/68/certificado_digital_ins.pdf

  • "Trata-se de um mecanismo que identifica o remetente de determinada mensagem eletrônica" por aqui já daria pra matar a questão. Tudo que se relaciona à "identificação do remetente" é assinatura digital. O que difere a ASSINATURA DIGITAL do CERTIFICADO DIGITAL é o seguinte:

    A ASSINATURA DIGITAL ela dá integridade e autenticidade a um determinado remetente. A assinatura digital permite comprovar que um arquivo não foi alterado.

    O CERTIFICADO DIGITAL é um documento digital que comprova que uma chave privada (chave criptografada) pertence à determinada pessoa. 

    EM UMA ASSINATURA DIGITAl USA-SE UM CERTIFICADO DIGITAL E UMA CHAVE PRIVADA CORRESPONDETEOu seja, o certificado digital está contido dentro de uma assinatura digital, com isso não se erra mais.

    ASSINATURA DIGITAL = CERTIFICADO DIGITAL + CHAVE PRIVADA. (A=CC)

ID
1272529
Banca
MPE-RS
Órgão
MPE-RS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em uma interação cliente-servidor segura, durante a etapa de autenticação, o cliente obteve o certificado digital do servidor. Para manter a confidencialidade (privacidade) da comunicação apenas entre os dois, o cliente deve cifrar a mensagem com

Alternativas
Comentários

  • Utilizando a chave pública do servidor a mensagem só poderá ser descriptografada com a chave privada do servidor. Desse modo, garante-se o sigilo. Se fosse o contrário e se utilizasse a chave privada para criptografar se garantiria a autenticidade e o não repúdio.

ID
1282936
Banca
CESPE / CEBRASPE
Órgão
ANCINE
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o  próximo  item, acerca de segurança da informação

No que tange à autenticação, a confiabilidade trata especificamente da proteção contra negação, por parte das entidades envolvidas em uma comunicação, de ter participado de toda ou parte desta comunicação.

Alternativas
Comentários

  • No que tange à autenticação confiabilidade, a confiabilidade o não-repúdio trata especificamente da proteção contra negação, por parte das entidades envolvidas em uma comunicação, de ter participado de toda ou parte desta comunicação.

    Resposta: Errada

  • GABARITO: ERRADO

     

    *A questão trata do não-repúdio

  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.
  • Esta é a descrição do não-repúdio. A confiabilidade não chega a ser um conceito isolado em Seg Info, mas sim uma reunião de todos os conceitos chave, como confidencialidade, integridade e disponibilidade.

  • Questão incorreta.

    A questão fala do não-repúdio = irretratabilidade.

  • não repúdio = autenticidade, integridade

  • ERRADO. Esta é a descrição do não-repúdio

    Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas

    Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

    Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

    Autenticidade - Garante que a informação ou o usuário da mesma é autêntico.

    Não repúdio: O autor não pode negar que foi ele. Trata especificamente da proteção contra negação, por parte das entidades envolvidas em uma comunicação, de ter participado de toda ou parte desta comunicação.

  • ERRADO- Esse é o conceito de NÃO REPÚDIO

    • Vale destacar a palavra CONFIABILIDADE ("No que tange à autenticação, a confiabilidade trata especificamente"), pois a CESPE gosta dela e é fácil de confundi-la com confidencialidade
    • CESPE- Na ICP-Brasil, embora a assinatura digital possua autenticidade, integridade, confiabilidade e não repúdio, ela não garante sigilo ao documento eletrônico? CERTO- Confiabilidade é DIFERENTE de confidencialidade (sigilo)
ID
1305973
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a colaboração e mensageria, julgue os itens que se seguem.

O SharePoint Server 2010 oferece suporte a dois tipos de modos de autenticação: o clássico e o embasado em declarações. No primeiro caso, o SharePoint Server 2010 trata todas as contas de usuário como contas do ADDS (serviços de domínio do Active Directory). O segundo tem como base o WIF (Windows identity foundation), que é um conjunto de classes do .NET Framework usadas para implementar a identidade com base em declarações.

Alternativas
Comentários

  • Correto. Microsoft SharePoint é para compartilhar o trabalho, colaborar em equipes e projetos, e descobrir informações compartilhadas.

  • Assuntos cada vez mais bizarros....


    Segundo o site Technet,"Em Microsoft SharePoint Server 2010, é possível escolher entre a autenticação baseada em declarações e a autenticação de modo clássico ao criar um aplicativo Web.

    (...)

    A escolha entre a autenticação em modo clássico ou baseada em declarações deve ser baseada nas necessidades empresariais. Por exemplo, se você precisa de suporte para as contas de usuários nos provedores de identidade que não são baseados no Active Directory Domain Services (AD DS) e implementou a autenticação baseada em formulários, você deve usar a autenticação baseada em formulários com autenticação baseada em declarações no SharePoint Server 2010. Recomendamos que você use a autenticação baseada em declarações sempre que possível."


    https://technet.microsoft.com/pt-br/library/hh706161(v=office.14).aspx


ID
1339930
Banca
PR-4 UFRJ
Órgão
UFRJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O nome serviço de autenticação que utiliza técnicas de criptografa de chaves simétricas, central de distribuição de chaves, suporte para vários servidores de autenticação, delegação de direitos e bilhetes renováveis é o:

Alternativas
Comentários

  • Kerberos é o único serviço de autenticação da lista.

  • Kerberos é um protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticação ao usuário.

    Para garantir a segurança, ele usa criptografia de chave simétrica, com o DES.

    fonte: http://www.gta.ufrj.br/grad/99_2/marcos/kerberos.htm

ID
1351027
Banca
FUNCAB
Órgão
MDA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

É recomendado que áreas sensíveis ou de alto valor de um Data Center possuam controle de acesso que utilize autenticação de múltiplos fatores. Assinale a alternativa que é exemplo de uma autenticação de múltiplos fatores?

Alternativas
Comentários

  • O que sou (Biometria), o que tenho (Cartão), o que sei (Senha). Autenticação forte é aquela baseada em pelo menos 02 desses fatores.

    Gab. E

ID
1373926
Banca
FUNCAB
Órgão
MDA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

São medidas de segurança na autenticação:

Alternativas
Comentários

  • Letra D

    Para conhecimento:

    A biometria tem sido utilizada largamente nos nossos dias por ser um eficiente mecanismo de segurança. Biometria, em termos simples, significa o estudo estático das características físicas e comportamentais dos seres vivos; bio (vida) + metria (medida). Esse termo é utilizado também como maneira de identificar unicamente um indivíduo por meio de suas características físicas ou comportamentais.

    Como formas de segurança, a biometria é utilizada para reconhecimento, identificação criminal, controle de acesso a dados e aparelhos etc. Como cada pessoa é única e possui características singulares, tanto em aspectos físicos como comportamentais, a biometria tem se mostrado uma maneira bem sucedida para auxiliar na segurança de empresas, instituições governamentais e em outras áreas.

    IDS - Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente à velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

  • PKI (Public Key Infrastructure) é um sistema de recursos, políticas, e serviços que suportam a utilização de criptografia de chave pública para promover a autenticação, a confidencialidade, a integridade e o não repúdio de informações.

  • d-

    A public key infrastructure is a set of roles, policies, hardware, software and procedures needed to create, manage, distribute, use, store and revoke digital certificates and manage public-key encryption.

    https://en.wikipedia.org/wiki/Public_key_infrastructure

ID
1443835
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O controle de acesso à informação é composto por diversos processos, dentre os quais, aquele que identifica quem efetua o acesso a uma dada informação. Esse processo é denominado

Alternativas
Comentários

  • Autenticação: é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade.


    Fonte: http://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o

  • A meu ver o gabarito da questão poderia ser posto em dúvida já que dentre os vários processos de controle de acesso a informações existe claramente dois: Identificação e autenticação. O primeiro identifica quem faz o acesso e o segundo confirma se ele é realmente quem diz ser.  

  • discordo. a meu ver, autenticação diz que o sujeito é o sujeito e pronto. agora, identificar  QUEM EFETUA O ACESSO... pode ser qualquer um. Não há qualquer menção quanto a saber se quem efetuou o acesso que deveria ser feito por joãozinho foi realmente joãozinho ou se quem produziu a informação que deveria ser produzida por pedrinho foi realmente pedrinho etc. Isso sim seria autenticação.

  • Letra A

     

    O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso pode ser como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.

     

    https://pt.wikipedia.org/wiki/Controle_de_acesso

  • Meu ponto de vista:

    Autenticação = É você informar ao sistema "quem está acessando" "o que".

    Auditoria = Processo de verificar e relatar movimentações diversas em sistemas diversos. É ver quem fez "o que" e "onde".

    Autorização = Não basta você ser autenticado para usar um sistema, você precisa ser autorizado para usar "tal função".

    Identificação = É o fato de você pode ser identificável diante dos sistemas.

    Permissão = A permissão dada aos usuários garantem que eles sejam autorizados a usar "tal função".

ID
1449856
Banca
SRH
Órgão
UERJ
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Observe a estrutura abaixo:

wheel:*:10:root,evi,garth,trent
csstaff:*:100:lloyd,evi
student:*:200:dotty

De acordo com a estrutura do arquivo /etc/group, o conteúdo das colunas deve ser, respectivamente:

Alternativas
ID
1460896
Banca
UNIRIO
Órgão
UNIRIO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O item que NÃO pode ser gerado a partir do uso de chave pública e privada é

Alternativas
Comentários

  • Só lembrar: função Hash não utiliza chaves, ou seja, não depende delas para nada!!

  • Apenas complementando o comentário do Tarcísio, na verdade a função Hash utiliza chaves sim, porém não utiliza chave pública e privada. A chave utilizada pela função Hash nada tem haver com criptografia assimétrica, nesse caso a função hash transforma cada utilizada no algoritmo em um índice da tabela de hash.

ID
1470244
Banca
UNIRIO
Órgão
UNIRIO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao uso do algoritmo RSA para autenticação e confidencialidade, é CORRETO dizer que, para obter

Alternativas
Comentários

  • Para garantir a confidencialidade, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!

    Para garantir a autenticidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR!

    Alternativa: A

ID
1493179
Banca
CESPE / CEBRASPE
Órgão
FUB
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens de 110 a 115, relativos à segurança de sistemas.

Uma das formas mais seguras de se garantir autenticação a um sistema por meio de senha consiste na geração de um código de acesso a cada sessão utilizada; assim, ao se finalizar uma sessão, é necessário que seja gerado um novo código de acesso.

Alternativas
Comentários
  • Correto
    É o Token ou chave de segurança que usamos nos sites de bancos.

  • Cifrar e decifrar significam  codificar e decodificar.

  • O examinador está se referindo a chave simétrica por fluxo OTP (One-time pad/Cifra de uso único).

     

    Exemplo disso é quando vc vai acessar seu ambiente do banco do brasil e tem 15 minutinhos para fazer todas as suas transações, depois desse tempo a sessão é fechada automaticamente.

  • É que acontece na utilização dos aplicativos bancários.

  • CERTO.

    A questão cobrou conhecimento acerca dos métodos de autenticação existentes.

    Entre os métodos de autenticação mais utilizados atualmente estão aqueles baseados no conhecimento do usuário, como é o caso de sistemas que condicionam o acesso a senhas.

    Ademais, a geração de um código a cada sessão de acesso, de fato, é uma das formas mais seguras para garantir autenticação a um sistema, uma vez que o conhecimento exigido para o acesso sendo alterado periodicamente dificulta a previsibilidade de eventuais atacantes.

    Fonte: estratégia

ID
1526761
Banca
CESGRANRIO
Órgão
IBGE
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa sabe que um de seus sistemas está ameaçado por invasores que utilizam programas de busca de senhas por tentativa e erro, em que testam todas as senhas possíveis com geradores muito rápidos. Sabe ainda que há informações sobre a composição da senha utilizada, porque um espião interno vê as telas dos monitores e o sinalizador de uso de maiúsculas no momento em que os funcionários digitam suas senhas. Nesse contexto, para proteção do acesso dos funcionários aos seus sistemas, um projetista é solicitado a escolher um sistema de senhas que dificulte o trabalho dos invasores.

Levando-se em conta os seguintes fatores: primeiro, os usuários solicitam, se possível, que o sistema mostre com asteriscos a quantidade de caracteres já digitados; segundo, os invasores sabem que o sistema usa senhas de tamanhos entre 6 e 8 caracteres; terceiro, as senhas utilizam apenas letras maiúsculas ou minúsculas, constata-se que o processo que deverá gerar maior dificuldade para os invasores é o de senhas com

Alternativas
Comentários

  • Gabarito E

    A plataforma Linux não mostra os asteriscos ao colocar a senha.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Questão no mínimo, preguiçosa. Caso não sejam utilizados os asteriscos, o que vai aparecer na tela, ao digitar? A própria senha?

  • Visto que o invasor consegue saber esta informação, nesse caso faz alguma diferença misturar maiúscula e minúscula?

    " porque um espião interno vê as telas dos monitores e o sinalizador de uso de maiúsculas"

ID
1529272
Banca
FUNDEP (Gestão de Concursos)
Órgão
IF-SP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Leia as seguintes afirmativas.

I. Autenticação: verificar se a entidade é realmente quem ela diz ser.
II. Autorização: determinar as ações que a entidade pode executar.

Considerando-se as afirmativas, assinale a alternativa CORRETA.

Alternativas
Comentários

  • AUTENTICAÇÃO – É o ato de verificar que o usuário é ele mesmo. O SIS Controladoras faz a autenticação pedindo a chave do usuário e a sua senha. Verificando que a senha é válida o SIS Controladoras consegue ter certeza de que o usuário é quem ele diz ser. Além disso o SIS faz uso de captcha, evitando ataques de força bruta ao sistema.

     

    AUTORIZAÇÃO – Depois que você já sabe qual é o usuário você deve decidir o que esse usuário pode ou não fazer dentro do sistema, dando a ele autorizações.

    É na autorização que muitos sistemas pecam ou simplesmente não se preocupam. Eles dão acesso a todo o sistema para qualquer usuário. Dessa forma a proteção da sua empresa fica prejudicada, ela é menor. Se o sistema for atacado imediatamente o invasor ganha acesso total ao sistema, simplesmente por ter quebrado o sistema de autenticação.

     

     

ID
1538740
Banca
Prefeitura do Rio de Janeiro - RJ
Órgão
Câmara Municipal do Rio de Janeiro
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito ao controle de acesso, um termo visa a garantir que um usuário é de fato quem alega ser. Esse termo é denominado:

Alternativas
Comentários

  • Letra (c)


    A exigência de autenticação de cópias de certidões e documentação para habilitação em licitação tem respaldo na Lei 8.666/93 (art. 32). O licitante disso não pode se esquecer, eis que às vezes esse "pequeno detalhe" o impede de firmar uma boa contratação para sua empresa com o Poder Público. A Lei 8.666 indica que para efeito de habilitação podem ser apresentados: originais, cópias autenticadas em cartório ou cópias simples, mas estas acompanhadas do original para que se possa, no ato, fazer a devida autenticação por servidor da Administração. Tal exigência, como dito, encontra respaldo no art. 32 da Lei Geral de Licitações, o que não pode ser desconhecido ou alterado por mero ato administrativo (do que um edital é exemplo).


    Art. 32. Os documentos necessários à habilitação poderão ser apresentados em original, por qualquer processo de cópia autenticada por cartório competente ou por servidor da administração ou publicação em órgão da imprensa oficial.


    Respalda essa tese o que foi decidido pelo TRF/1ª Região (DF) sobre o assunto:


    “PROCESSUAL CIVIL E ADMINISTRATIVO. LICITAÇÃO. LICITANTE QUE, EM DESACORDO COM O EDITAL, APRESENTA DOCUMENTO SEM AUTENTICAÇÃO OU RECONHECIMENTO DE FIRMA. INABILITAÇÃO. 1. Não apresentada pela licitante-agravante a documentação em conformidade com o edital, ou seja, em original, cópia autenticada, ou em cópia simples mediante a apresentação dos originais para conferência e autenticação, não há como considerá-la habilitada ao fundamento de que se cuida de mera falha fortuita, sob pena de malferimento ao princípio isonômico. 2. Agravo desprovido. Inabilitação da agravante mantida. (6ª T., AG 200601000372322, DJ 14/05/2007).


    Assim, não podem as empresas licitantes deixar de observar tal comando legal, sob pena de correrem o risco de ficar de fora de uma disputa licitatória.



ID
1544353
Banca
FCC
Órgão
TCM-GO
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Certo tipo de ataque a aplicações web força a vítima, que possui uma sessão ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, à uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceita como requisições legítimas realizadas pela vítima.

A prevenção contra este tipo de ataque, geralmente, requer a inclusão de um

Alternativas
Comentários
  • O ataque descrito na questão é o CSRF e é prevenido com o uso de um captcha, o token imprevisível da FCC.

  • Detalhando o tipo de ataque como comentado pelo Marcelo.

     

    Cross Site Request Forgery (CSRF), também conhecido como XSRF, Sea Surf ou Session Riding, é um vetor de ataque que aplica um truque no navegador web, fazendo com que ele execute uma ação indesejada na aplicação web alvo onde a vítima está logada.
    Cross Site Request Forgery é conduzido tipicamente com a ajuda da engenharia social, onde o atacante envia um email contendo um link para a vítima. Link esse que ao ser clicado realiza uma requisição forjada para a aplicação web alvo. Como a vítima provavelmente estará autenticada na aplicação alvo na hora do ataque, é impossível que a aplicação web alvo consiga distinguir entre uma requisição legítima de uma requisição forjada.

     

    .: Como se proteger de Cross Site Request Forgery?
    Existem várias formas de prevenção. Do ponto de vista do usuário as melhores práticas são:
        Realizar o logoff de aplicações web que não estão sendo utilizadas
        Proteger nomes de usuários e senhas
        Evitar utilizar a opção de auto login que muitos sites oferecem
        Evitar navegar em vários sites simultaneamente, enquanto estiver logado em outros sites


    Já do ponto de vista do programador a utilização de tokens únicos para cada requisição gerada, impede que esse tipo de ataque ocorra. É bom lembrar que, se o atacante conseguir prever o próximo token a ser gerado, voltamos a estaca zero.

     

    https://www.infosec.com.br/pt/cross-site-request-forgery/

ID
1576465
Banca
CESPE / CEBRASPE
Órgão
DEPEN
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A informação é fundamental para a continuidade dos negócios de uma organização e consequentemente necessita ser adequadamente protegida. No que se refere a esse assunto, julgue o item subsecutivo.


A verificação da autenticidade é necessária para o processo de identificação de usuários e dispensável para a identificação de sistemas.


Alternativas
Comentários
  • A verificação da autenticidade é necessária para o processo de identificação de usuários (CORRETO) e dispensável para a identificação de sistemas. (INCORRETO: Os sistemas também necessitam de autenticação para assegurar que as informações fornecidas pelos mesmos também são autênticas. Ex: Certificados SSL de sites) .

  • Gabarito: E.

    A verificação da autenticidade é necessária para o processo de identificação de usuários e dispensável para a identificação de sistemas.

    O correto seria "indispensável".

  • @lazarodealmeida, a resposta correta seria ERRADO?

  • se fosse INDISPENSAVEL estaria certo, agora aí ficou o meio termo dispensável a reposta esta errada

ID
1603084
Banca
CESGRANRIO
Órgão
IBGE
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

O processo de autenticação forte é baseado em dois ou mais fatores.

Exemplos de fatores relacionados a algo que o usuário possui são.

Alternativas
Comentários

  • Gabarito: C.

     

    Senha pessoal: algo que o usuário sabe.

    Modelo biométrico: algo que o usuário é.

  • Um cartão inteligente é um cartão de plástico pequeno que contém um chip de computador. O chip, que é como um computador em miniatura, inclui armazenamento seguro para dados, incluindo chaves privadas e certificados de chave pública. Um tipo de cartão inteligente usado pelo departamento de defesa dos Estados Unidos é chamado de cartão de acesso comum (CAC).

    Com a autenticação de cartão inteligente, um usuário ou administrador insere um cartão inteligente em um leitor de cartão inteligente anexado ao computador cliente e digita um PIN. A autenticação de cartão inteligente fornece a autenticação de dois fatores verificando o que a pessoa possui (o cartão inteligente) e o que a pessoa sabe (o PIN).

    https://docs.vmware.com/br/VMware-Horizon/2106/horizon-console-administration/GUID-2A035E01-599A-4A2E-8265-2DE014AB7244.html

ID
1663075
Banca
FGV
Órgão
TCM-SP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Pedro quer enviar uma mensagem para Maria, porém o sigilo é importante nesta comunicação. Somente Maria deve ser capaz de ler a mensagem. Por outro lado, Maria precisa ter a garantia de que a mensagem foi enviada por Pedro.

Para garantir a autenticação do autor e a confidencialidade dos dados, será necessário utilizar: 

Alternativas
Comentários

  • sidnei almeida não é a letra b pq a criptografia simetrica não garante (1 autoria, 2 não repudio) essas duas caracteristicas somente assimetrica!

  • como envolve autenticação e confidencialidade tem que utilizar respectivamente chave privada do emissor e chave pública do receptor.

    1 par de chaves para Maria e outro para Pedro.

  • LETRA C. Não é muito dificil chegar a este resultado. Porém, é preciso ter muuuuuuita atenção. 2 pares de Chaves publicas - 1 par pra cada parte. Ex: P(3212,32), M(2132,34)    2 Pares de Chaves Privada - 1 par pra cada parte. Ex: Ppr(3212,56), Mpr(2132,89)        Criptografia Assimétrica!!!!         Pedro assina a mensagem utilizando sua chave privada e encripta com a chave publica de Maria. Maria descriptografa a mensagem com sua própria chave privada (que somente ela conhece. Dessa maneira, garantindo a confidencialidade). Na mensagem descriptografada por ela, estará a assinatura de Pedro. Dessa forma está garantido tambem a  autenticidade. 

  • Essa questão ta muito foda, pois criptografia baseada em chave assimétrica garante a confidencialidade, pois apenas o destinatário da mensagem consegue decifra-la, mas quem garante que a mensagem realmente esta vindo daquele emissor? Afinal de contas qualquer um pode enviar uma mensagem para Maria, pois a chave pública de Maria é pública. É nesse contexto que entra  a assinatura digital, ela garantirá a autenticidade do remetente e a integridade da mensagem. 

    Dai fiquei em dúvida entre:

    c) dois pares de chaves públicas e privadas;
    d) criptografia assimétrica para assinatura digital;

    Eu marquei a letra d, mas a questão informa que a correta é a letra c. "dois pares de chaves públicas e privadas" isso esta bem genérico.

  • Essa questão tem de ser feito por eleiminação. Sobrando a C como melhor resposta.

    Prof. Almeida Junior

    www.meubizu.com.br

  • Gabarito está C.

     

    Mas não poderia ser a D também?

     

    Criptografia = confidencialidade

    Assinatura digital = integridade, não repúdio e autenticidade

  • Concordo com vc amigo Sávio, acredito que a D poderia ser a resposta, eu marquei a alternativa D.

    Cabe recurso sim...

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Essa FGV quer ser uma banca grande fazendo questões desse tipo Letra D também está certa.

  • Explicação:

    Nesse caso, Pedro deve criptografar a mensagem com sua chave privada (dessa forma a assinatura digital está garantida - leia-se autenticidade), em seguida criptografa novamente usando a chave pública de Maria. O texto final criptografado só pode ser decriptografado por Maria, o qual é a única possuidora da chave privada correspondente. Assim, a confidencialidade é fornecida.

     

    Alternativa C: criptografia assimétrica na assinatura digital não fornece confidencialidade.

     

     

  • A questão está mal formulada. Do jeito que tã, dã a entender que são 8 chaves no total. Quando ele coloca "2 pares de chaves publicas e privadas", da a entender que são 4 chaves publicas e 4 chaves privadas(1 par é igual a dois e se são dois pares de publica e dois pares de privadas, da 8 no total). Bem, mas considerando que temos uma bola de cristal e advinhemos o pensamento do examinador, para esse caso são necessarios um par de Chaves publicas - 2 chaves pra cada parte. Pedro assina a mensagem utilizando sua chave privada e encripta com a chave publica de Maria. Maria descriptografa a mensagem com sua própria chave privada (que somente ela conhece. Dessa maneira, garantindo a confidencialidade). Na mensagem descriptografada por ela, estará a assinatura de Pedro, que pode ser verificada com a chave publica deste. Dessa forma está garantido tambem a  autenticidade.

  • C. dois pares de chaves públicas e privadas; correta

ID
1768102
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de problemas e soluções possivelmente presentes no capítulo sobre políticas de segurança da informação, julgue o próximo item.

No controle de acessos, tanto físico quanto lógico, às instalações prediais e aos sistemas de computação do ministério, deve ser considerado o uso de autenticação por múltiplos fatores, pois esse é procedimento descrito na norma NBR 27001, no seu guia de implementação de vários controles, entre eles os relacionados ao objetivo Controle de Acesso à Rede.

Alternativas
Comentários

  • Isto está descrito na NBR ISO/IEC 27002:2013 (Código de Prática para controles de segurança da informação)

    11.1.2 Controles de entrada física
    Controle
    Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.
    Diretrizes para implementação
    Convém que sejam levadas em consideração as seguintes diretrizes:
    b) convém que o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja restrito apenas ao pessoal autorizado pela implementação de controles de acesso apropriados, por exemplo, mecanismos de autenticação de dois fatores, como, cartões de controle de acesso e PIN (personal identification number);
     

    Fonte: NBR ISO/IEC 27002:2013

  • Erro sutil: múltiplos fatores --> dois fatores.

  • 27001 - Requisitos

    27002 - Controles e objetivos de controles.

ID
1768165
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de autenticação, julgue o seguinte item.

Mecanismo que usa token, verificação biométrica de impressão digital e PIN é exemplo de mecanismo de três fatores.

Alternativas
Comentários

  • Existem basicamente 3 fatores de autenticação:

    - O que o usuário conhece (senha, PIN, etc)

    - O que o usuário tem (token, cartão de senha, celular, etc)

    - O que o usuário é (impressão digital, retina, voz)


    Frequentemente é utilizada uma combinação de dois ou mais métodos. No exemplo da questão são utilizados a combinação de 3 fatores: token + biometria + PIN


    Fonte: https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o

  • PIN é um código de alguns dígitos que o usuário SABE.

    Token é tipo uma chave eletrônica física, geralmente colocada em cordões, que o usuário TEM.

  • GABARITO: CERTO.

  • Perai eu to no blackberry e na internet 2g ainda já tem autenticação 3 fatores

ID
1768171
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de autenticação, julgue o seguinte item.

Os benefícios providos pelos mecanismos de autenticação incluem a corroboração da identidade das partes e da origem da informação e o controle de acesso.

Alternativas
Comentários

  • Controle de acesso não esta ligado com autenticação. Me corrijam se estiver errado.

  • Edher,

    Eles estão relacionados sim. O controle de acesso se basea em: autenticação, autorização e auditoria. Contudo, analisando a assertiva com mais cuidado, ela transcreve: 

    "Os benefícios providos pelos mecanismos de autenticação incluem (a corroboração da identidade das partes e da origem da informação) e o controle de acesso.".
    Podemos retirar a parte entre parêntese já que não há preposição "de" antes de "controle de acesso". Então fica:

    "Os benefícios providos pelos mecanismos de autenticação incluem o controle de acesso." - Somente autenticação não garante o controle de acesso, apenas garante que alguém é quem diz ser. Isso torna a assertiva errada.

  • Galera no enunciado o examinador tenta confundir citando definições da confidencialidade, que é garantir que a informação seja acessada somente por pessoas autorizadas e com confirmação de ambas as partes. Autenticação é garantir que a informação seja autêntica/verdadeira.

ID
1789192
Banca
CESPE / CEBRASPE
Órgão
TJ-DFT
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue o item subsequente.

Autenticação é o requisito básico de segurança da informação cujo objetivo é evitar que uma entidade possa negar a autoria da execução de uma ação.

Alternativas
Comentários

  • Conceito de não repúdio.

  • Autenticidade: 

    Remetente e/ou destinatário devem ser corretamente identificados 

  • Errada.

    Princípio do não repúdio – o princípio garante a comprovação de quem cometeu o ato, ou seja, são meios que comprovam o autor da ação. Isso significa irretratabilidade, a pessoa não pode negar um ato. 


    Princípio da Autenticidade – O princípio garante que a origem do documento é autentica, que ele não foi alterado no meio do caminho.


    http://isainformaticaeeduc.blogspot.com.br/2013/03/principios-de-seguranca-da-informacao.html



  • Autenticação = Processo

    Autenticidade  = Requisito

  • Não Repúdio: princípio/ requisito básico da segurança da informação.

    Autenticação: processo de verificação, o qual pode ser por senhas, biometria, tokens, cartão, etc.

  • *ERRADO* Pois, isso é classificado como não repúdio

  • Não Repudio: garantir que a pessoa não negue ter assinado ou criado informação.

ID
1872151
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo a mecanismos de autenticação.


As vantagens do TACACS+ em relação ao TACACS incluem a disponibilização do serviço de registro de logs de eventos.

Alternativas
Comentários

  •  o protocolo TACACS+ (Terminal Access Controller Access-Control System Plus) providencia acesso a roteadores, servidores de redes e outros equipamentos de rede. O TACACS+ providencia separadamente autenticação, autorizaçãoe serviços de contas. Com ele é possível realizar a autenticação do usuário de acesso junto a uma conta previamente cadastrada no AD(Active Directory)

    O TACACS+ é baseado no TACACS, mas só no nome, pois foi totalmente remodelado pela Cisco Systems de tal forma que esta nova versão é incompatível com qualquer outra anterior. Enquanto que o RADIUS combina a autorização e a autenticação no perfil de um utilizador e atua no UDP (User Datagram Protocol), o TACACS+ separa-os, atuando no TCP(Transmission Control Protocol).

ID
1872154
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo a mecanismos de autenticação.


Ao se utilizar RADIUS, a senha é a única informação criptografada no pacote de requisição de acesso enviado do cliente para o servidor.

Alternativas
Comentários

  • CERTO

    As transferências de dados realizadas entre o cliente e o servidor RADIUS são autenticadas através do uso de um segredo compartilhado (shared secret), que nunca é enviado pela rede. Este segredo é de prévio conhecimento tanto do cliente quanto do servidor e é utilizado para garantir a autenticidade do usuário de um determinado serviço requisitado. As senhas de usuário são criptografadas para tentar garantir que nenhum usuário malicioso que esteja ouvindo a rede possa descobrir a senha do usuário. Além disso, outros métodos de autenticação podem ser implementados, dependendo do grau de segurança requisitado pelo sistema.

    fonte: https://www.gta.ufrj.br/grad/08_1/radius/PorqueutilizaroRADIUS.html 

  • Complementando a ótima resposta abaixo...

     

    Um servidor RADIUS gerencia o acesso às redes. É usado principalmente por provedores de serviços de Internet para gerenciar o acesso à Internet por seus clientes. O nome , RADIUS, é realmente um acrônimo para " Remote Authentication Dial In User Service ". O protocolo não só consegue o acesso à rede , mas também de gestão de conta de usuário. 

    As funções de um servidor RADIUS são resumidas como "AAA ". Este mnemônico significa Autenticação, Autorização e Contabilidade .

     

    http://ptcomputador.com/Networking/network-security/75784.html

ID
1891867
Banca
IF-SC
Órgão
IF-SC
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A recomendação X.800 da UTI-T (International Telecommunication Union) define um serviço de segurança como um serviço fornecido por uma camada de protocolo de comunicação de sistemas abertos que garante a segurança adequada dos sistemas ou das transferências de dados. A partir dos conceitos de segurança expressos nessa recomendação, numere a coluna da direita, de acordo com as afirmações da esquerda.

(1) Garantia de que a entidade que está se comunicando é de fato quem afirma ser.

(2) Impedimento do uso não autorizado de um recurso.

(3) Proteção contra negação de uma das entidades envolvidas em uma comunicação, provando-se que a mensagem foi enviada pela parte especificada e que foi recebida pela outra parte especificada.

(4) Refere-se também à proteção das informações que poderiam ser derivadas do fluxo de dados.

(5) Garantia de que o que foi recebido está exatamente igual ao que foi enviado pela entidade autorizada.


( ) Autenticação

( ) Controle de acesso

( ) Confidencialidade dos dados

( ) Integridade de dados

( ) Irretratabilidade

A ordem CORRETA de associação, de cima para baixo, é:

Alternativas
Comentários

  • Ótima questão para rever os conceitos. REPOSTA A

  • Bastava saber a última e correr para o abraço.

ID
1970593
Banca
SEPROD
Órgão
Câmara de Estância - SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O _____________________ é o servidor de autenticação de segurança local e gera o processo responsável pela autenticação de utilizadores para o serviço Winlogon. Este processo é executado através da utilização de pacotes de autenticação como, por exemplo, o Msgina.dll predefinido. Se a autenticação for efetuada com êxito, ele gerará o token de acesso do usuário, usado para iniciar a shell inicial. Este token será herdado por outros processos que sejam iniciados pelo utilizador.

Alternativas
Comentários

  • Isass.exe é o Local Security Authority Service (Serviço de Segurança e Autoridade Local) da Microsoft, Inc, que é responsável pela execução das políticas de segurança e lida com outros mecanismos de segurança do Windows. Lsass.exe também verifica a identificação do utilizador, quando está a ligar-se ao computador e cria o processo responsável para esta autenticação quando usado o serviço Winlogon. O processo lsass.exe opera principalmente no sistema através da sua capacidade de criar tokens de acesso.

     

    https://semvirus.pt/lsass-exe/

ID
2071003
Banca
FUNIVERSA
Órgão
IF-AP
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Na questão, considere que todos os programas mencionados estão em configuração-padrão, em português, e que o mouse está configurado para pessoas destras. Assim, a menos que seja explicitamente informado o contrário, expressões como clicar, clique simples e clique duplo referem-se a cliques com o botão esquerdo do mouse. Considere também que não há restrições de proteção e de uso em relação a programas, arquivos, diretórios e hardware utilizados.

Para que usuários de sistemas informatizados possam acessá-los é necessário se autenticar para fazer uso de seus recursos. Um dos mecanismos de autenticação mais conhecidos é a utilização de senhas. Com relação a esse mecanismo, assinale a alternativa correta.

Alternativas
Comentários

  • GAB LETRA "E"

    porém, discordo! ora, atraves da engenharia social eh possivel uma pessoa mal intencionada conseguir uma senha, e, após isso, como ficará a autenticidade?! portanto, como o sistema terá total garantia de que a pessoa que está logando eh quem realmente deveria ser??? tem "ninjas" por ai capazes de copiar uma senha, mesmo vc digitando rápido no teclado

    senha não garante autenticidade, garante apenas permissão de acesso, seja pra quem for!!!

  • Concordo.

     

    Deu para acertar apenas por eliminação, porque também achei esse conceito equivocado.

ID
2085502
Banca
Aeronáutica
Órgão
CIAAR
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

“Esse protocolo de segurança usa a codificação AES (Advanced Encryption Standard) com uma chave que vem da chave de sessão e um tamanho de bloco de 128 bits. No fornecimento de confidencialidade, as mensagens são codificadas com AES no modo contador. É utilizado no padrão 802.11 i para fornecer confidencialidade, integridade e autenticação das mensagens.” Esse protocolo denomina-se

Alternativas
Comentários

  • Pessoal quando falar em WEP, 802.11i, teremos TKIP ou CCMP, porém somente o CCMP fornece confidencialidade, integridade e autenticação das mensagens.

  • D- CCMP (Counter mode with Cipherblock chaining Message authentication code Protocol). 

  • CCMP: É um protocolo usado no 802.11i que funciona de uma maneira relativamente simples. Ele usa a codificação AES com uma chave e um tamanho de bloco de 128 bits. A chave vem da chave de sessão. Para fornecer confidencialidade, as mensagens são codificadas com AES no modo contado.

    Tanembaum (2011) pg. 518

    #SóNinja

    #Adonai

ID
2326651
Banca
IF-CE
Órgão
IF-CE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação levanta diversos fatores, para considerar uma autenticação segura. Conforme os fatores de autenticação segura, analise as afirmativas.

I. O que o usuário cria: senhas longas, maiúsculo e minúsculo com caracteres especiais e números.

II. O que o usuário faz: patente, posição na empresa, gerência, diretoria.

III. O que o usuário possui: smart cards, key cards, tokens.

IV. O que o usuário sabe: senhas, palavras-chave, respostas a perguntas.

V. O que o usuário é: impressão digital, retina, padrão de voz, assinatura.

VI. O que o usuário assegura: por exemplo, responder captchars.

Os três fatores recomendados para autenticação são

Alternativas
Comentários

  • SABER, TER E SER

  • Não entendi. Alguém pode explicar?

  • O que você tem: smart cards, key cards, tokens

    O que você sabe: senhas, palavras-chave, respostas a perguntas

    O que você é: impressão digital, retina, padrão de voz, assinatura

  • Autenticação segura Ser ter saber
ID
2383198
Banca
IBFC
Órgão
POLÍCIA CIENTÍFICA-PR
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

A autenticação de usuários é um dos principais problemas relativos à segurança de sistemas computacionais. Tradicionalmente se utiliza o recurso usuário/senha para a autenticação. Assim, a verificação dessas senhas dos usuários, de forma segura, se torna um problema. Indique a alternativa que apresenta a técnica mais comum e segura para a verificação e o armazenamento de senhas.

Alternativas
Comentários

  • Gabarito está A.

     

    Eu marquei C, também não poderia?

  • O gabarito é a letra A. 

     

    Uma função hash criptográfica é considerada praticamente impossível de inverter, isto é, de recriar o valor de entrada utilizando somente o valor criptografado. Por esse motivo, é uma das mais seguras. Os dados de entrada são chamados de mensagem e o valor criptografado é chamado de resumo. 

     

    Esse tipo de função é bastante comum, pois possui várias aplicações em segurança da informação, principalmente em assinatura digital, código de autenticação de mensagem (MACs), e outras formas de autenticação. Elas também podem ser utilizadas como funções hash, para indexar dados em tabelas hash, para impressão digital, para detectar dados duplicados ou identificar arquivos únicos, e como checksum para detectar corrupção de dados acidental. 

  • não

  • Alberto, se sua resposta foi para mim, o que eu imagino que tenha sido, obrigado.

     

    Ela com certeza irá me ajudar em questões semelhantes.

  • Verdade, valeu Alberto. Esclareceu bastante rs

  • Estranho é que, até onde sei, hash não armazena nada. Por favor corrijam se eu estiver errado.

  • É a letra A sim. A senha vai criptografada em uma mensagem por chave simétria ou assimétrica. O Hash é um dispositivo de algorítimo de 20 bits que vai anxado à mensagem, E este não pode ser aberto a não ser por outro Hash identico gerado automaticamente pelo computador do destinatário.

  • Vou tentar esclarecer...a questão quer apenas saber qual das alternativas representa uma forma segura de guardar informações, como usuário e senha em um banco de dados de controle de acesso simples, por exemplo. 

     

    A) CORRETA - Com a função de hash criptográfico você pode armazenar a senha no banco de dados de uma forma inteligível até para usuários que tenham acesso a essa base de dados, como para os administradores de um banco de dados, por exemplo. Se a senha fosse gravada no BD da forma como digitamos ela seria exibida para qualquer pessoa com acesso a essa base de dados e de maneira legível. Em síntese, é isso o que acontece quando cadastramos uma senha em determinado site, por exemplo:

    1 - Cadastramos um usuário e digitamos a senha relativa a esta conta na caixa de texto 

    2 - O site executa uma rotina que gera um hash sobre aquela senha digitada na caixa e É ESTE HASH GERADO QUE SERÁ GRAVADO NA BASE DE DADOS

    3 - Para acessarmos novamente nossa conta neste site, digitamos novamente o nosso usuário e senha 

    4 - O site verifica quem é o usuário e novamente executa uma rotina de hash sobre a senha que digitamos na caixa e compara se este hash gerado é igual ao hash que está gravado na base de dados relativa a este usuário

    5 - Se o hash obtido através da senha digitada na caixa for igual ao hash da base de dados o acesso é liberado

     

    Conclusão: com o hash criptográfico o que fica gravado (ou deveria ficar) na base de dados dos sites não é a nossa senha em claro e sim um digest da nossa senha. O ponto de falha desse mecanismo é você utilizar uma colisão de hash, ou seja, gerar um hash igual para duas mensagens (senhas) diferentes, o que é muito difícil dependendo do algoritmo de hash que esteja sendo utilizado.

     

    Sendo assim as demais alternativas não fazem muito sentido, só estão ali para confundir. 

     

     

     

  • Uma função de dispersão criptográfica ou função hash criptográfica é uma função hash considerada praticamente impossível de inverter, isto é, de recriar o valor de entrada utilizando somente o valor de dispersão. Essas funções hash unidirecionais têm sido chamadas de "os operários da criptografiamoderna

  • É o que ocorre no Linux, as "senhas" gravadas na pasta /passwords são apenas os resultados de alguma funçãõ hash sobre elas, as senhas. E não propriamente as senhas "puras".

ID
2486071
Banca
FGV
Órgão
IBGE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

O mecanismo de autenticação abaixo que é baseado no uso de chaves públicas/privadas é:

Alternativas
Comentários

  • Gabarito: ALTERNATIVA B

  • Criptografia de chave pública, também conhecida como criptografia assimétrica, é uma classe de protocolos de criptografia baseados em algoritmos que requerem duas chaves, uma delas sendo secreta (ou privada) e a outra delas sendo pública. Apesar de diferentes, as duas partes desse par de chaves são matematicamente ligadas. A chave pública é usada, por exemplo, para encriptar purotexto ou para verificar uma assinatura digital; já a chave privada é usada para a operação oposta, nesses exemplos para decriptar cifrotexto ou para criar uma assinatura digital. 

  • Gabarito: B

     

    a) Token: dispositivo físico que auxilia o usuário quanto à segurança pessoal ao gerar uma senha temporária de proteção para as contas que ele utiliza. 

     

    b) Certificado Digital: arquivo de computador usado para identificar e autenticar em sites e sistemas eletrônicos, que contém um conjunto de informações referentes à entidade para a qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente à chave privada que se acredita ser de posse unicamente da entidade especificada no certificado.

     

    c) One Time Password: senha de uso único (em inglês: One-time password - OTP) é uma senha que é válida somente para uma sessão de login ou transação, em um sistema de computadores ou outros dispositivos digitais.

     

    d) Oauth2: padrão de autenticação amplamente utilizado, que permite que sua aplicação não manipule diretamente nomes de usuários e senhas. Empresas como Google, Facebook e Twitter já utilizam esse padrão para prover o acesso à seus recursos de forma segura à aplicações de terceiros.

     

    e) Kerberos: protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticação ao usuário.

  • Certificado digital é um mecanismo de autenticação?

  • Certificado digital é utilizado para autenticação também!

    https://www.devmedia.com.br/autenticacao-de-usuarios-com-certificados-digitais/9495

  • Comentários do prof. Diego do Estratégia (@professordiegocarvalho):

    (a) Errado, isso é um dispositivo de armazenamento e, não, um mecanismo de autenticação;

    (b) Correto;

    (c) Errado, isso é um token;

    (d) Errado, isso é um padrão de autenticação para acesso a aplicações de terceiros;

    (e) Errado, isso é um protocolo de segurança. 

    Letra B

ID
2533855
Banca
CS-UFG
Órgão
IF-GO
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

A autenticação de usuários para acesso restrito aos sistemas de informações pode ser feita pelo uso de senhas, tokens e sistemas biométricos. Os tokens são:

Alternativas
Comentários

  • Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que são capazes de realizar as mesmas tarefas do token. O modelo OTP (One Time Password) pode ser baseado em tempo (time based), gerando senhas dinâmicas a cada fração de tempo previamente determinada (ex. a cada 36 segundos), ou ainda baseado em evento (event based), gerando senhas a cada clique do botão, sendo essa senha válida até ao momento da sua utilização, não dependendo do tempo.

    https://pt.wikipedia.org/wiki/Token_(chave_eletr%C3%B4nica)

  • Analisando as alternativas:

     

    b) sistemas automáticos de verificação de identidade baseados em características físicas do usuário, como impressões digitais, configuração da íris e da retina, voz, geometria da mão e aspectos faciais.

    Errada. [...]Configuração da iris?

     

     

    c) senhas fortes bem definidas e cartões inteligentes com microprocessadores como os bancários, telefônicos e de crédito.

    Errada. Definição de senhas fortes e bem definidas estão dentro de um outro conceito

     

     

    d) sistemas mais seguros do que os biométricos, que suprem as deficiências de segurança dos dados biométricos.

    Errada. Suprir deficiências de segurança dos dados biométricos não é um conceito do Token.

     

     

    Qcom - Questão comentada

    https://www.youtube.com/channel/UCBY27FNGgRpPa-PgFubwjPQ

  • O token se encaixa dentro de um dos tipos de autenticação , algo que você possui.
    Token é um dispositivo eletrônico que gera senhas.


    senha --> algo que você sabe
    biometria --> algo que você é
    token --> algo que você tem

ID
2566792
Banca
CONSULPLAN
Órgão
TRE-RJ
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

O tripé da segurança da informação é formado por três pilares: disponibilidade (a informação é acessível por usuários autorizados sempre que a solicitarem), integridade (somente usuários autorizados podem alterar a informação) e confidencialidade (somente usuários autorizados podem visualizar a informação). Num sistema de informação, a autenticação prova que o sujeito que solicita o acesso é o mesmo que recebeu direito de acesso. Os três tipos de autenticação que existem são:

Alternativas
Comentários

  • Fatores para autenticação segura

     

    SABER: O que o usuário sabe: senhas, palavras-chave, respostas a perguntas --> CONHECIMENTO
    TER:O que o usuário possui: smart cards, key cards, tokens --> PROPRIEDADE
    SER: O que o usuário é: impressão digital, retina, padrão de voz, assinatura --> CARACTERÍSTICAS

ID
2571355
Banca
FEPESE
Órgão
PC-SC
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Vários problemas de segurança surgiram a partir do crescimento das redes. Como exemplo destes problemas temos roubo de senhas e interrupção de serviços até problemas de personificação, onde uma pessoa faz-se passar por outra para obter acesso privilegiado. Surgiu então a necessidade do aprimoramento do processo de autenticação, que consiste na verificação da identidade dos usuários.

Com relação a este assunto são realizadas as seguintes afirmativas:

1. A verificação ou autenticação em duas etapas (two-factorauthentication, também chamada de aprovação de login, verificação ou autenticação em dois fatores ou, ainda, verificação ou autenticação em dois passos) adiciona uma segunda camada de proteção no acesso a uma conta, dificultando que ela seja indevidamente acessada, mesmo com o conhecimento da senha. É um recurso opcional oferecido por diversos serviços de Internet, como Webmail, redes sociais, Internet Banking e de armazenamento em nuvem.

2. Na verificação em duas etapas são utilizados dois passos de checagem, ou seja, é feita uma dupla verificação. Adicionando uma segunda etapa de verificação fica mais difícil a invasão de uma conta de usuário. Mesmo que um atacante venha a descobrir uma senha ela, isoladamente, não será suficiente para que ele consiga acessar a conta. O atacante necessitará executar a segunda etapa, o que tornará a invasão mais difícil de ser realizada.

3. Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: aquilo que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a sua voz e o seu olho), aquilo que apenas você possui (como seu cartão de senhas bancárias e um token gerador de senhas) e, finalmente, aquilo que apenas você sabe (como perguntas de segurança e suas senhas).

Assinale a alternativa que indica todas as afirmativas corretas.

Alternativas
Comentários

  • Questão serve de resumo.

  • Isso mesmo sapucaia MS, questão-resumo, todas afirmativas corretas.

  • GABARITO E

     

    A chamada Segurança da Informação.

  • (E)

    Comentários: Métodos de acesso é um assunto de segurança da informação, e a questão traz, de forma didática, afirmativas válidas a respeito do assunto.


                                    

    Victor Dalton

  • Vários problemas de segurança surgiram a partir do crescimento das redes. Como exemplo destes problemas temos roubo de senhas e interrupção de serviços até problemas de personificação, onde uma pessoa faz-se passar por outra para obter acesso privilegiado. Surgiu então a necessidade do aprimoramento do processo de autenticação, que consiste na verificação da identidade dos usuários.

    Com relação a este assunto são realizadas as seguintes afirmativas:

    1. A verificação ou autenticação em duas etapas (two-factorauthentication, também chamada de aprovação de login, verificação ou autenticação em dois fatores ou, ainda, verificação ou autenticação em dois passos) adiciona uma segunda camada de proteção no acesso a uma conta, dificultando que ela seja indevidamente acessada, mesmo com o conhecimento da senha. É um recurso opcional oferecido por diversos serviços de Internet, como Webmail, redes sociais, Internet Banking e de armazenamento em nuvem.

    2. Na verificação em duas etapas são utilizados dois passos de checagem, ou seja, é feita uma dupla verificação. Adicionando uma segunda etapa de verificação fica mais difícil a invasão de uma conta de usuário. Mesmo que um atacante venha a descobrir uma senha ela, isoladamente, não será suficiente para que ele consiga acessar a conta. O atacante necessitará executar a segunda etapa, o que tornará a invasão mais difícil de ser realizada. 

    3. Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: aquilo que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a sua voz e o seu olho), aquilo que apenas você possui (como seu cartão de senhas bancárias e um tokengerador de senhas) e, finalmente, aquilo que apenas você sabe (como perguntas de segurança e suas senhas).

    TODAS ESTÃO CORRETAS

  • Gab E

    creio que essa foi pra ngm zerar...rs
    essas diversas formas de autenticação são amplamente usadas por bancos e sites. Funcionam como níveis para dificultar invasões. Ao acessar sua conta de WebMail do Google por um dispositivo diferente, mesmo utilizando senha e e-mail corretos, ele, normalmente, manda um SMS para o seu celular cadastrado solicitando confirmação de que você é você mesmo. Outro exemplo é quando você tenta fazer uma transferência de valores pelo site do banco. Normalmente, ele socilita o Token ou senhas de cartão bancário (aquele cartão cheio de senhas atrás dele), dentre outros.
    A tendência é que todos os sites e serviços utilizem cada vez mais ferramentas de segurança, já que quem ataca não para de inventar formas de atacar..
     

  • Questão deveria ser anulada

    Não sabia que era opcional a utilização de uma verificação em duas etapas!!!

    quer dizer que eu posso sacar dinheiro em um banco sem ter um cartão, apenas com a senha.

  • 1. A verificação ou autenticação em duas etapas (two-factorauthentication, também chamada de aprovação de login, verificação ou autenticação em dois fatores ou, ainda, verificação ou autenticação em dois passos) adiciona uma segunda camada de proteção no acesso a uma conta, dificultando que ela seja indevidamente acessada, mesmo com o conhecimento da senha. É um recurso opcional oferecido por diversos serviços de Internet, como Webmail, redes sociais, Internet Banking e de armazenamento em nuvem.

    Ué se eu tenho o conhecimento da senha vou conseguir acessar, a assertiva não mencionou que era apenas de uma das senhas como na assertiva II. Mas como está na cartilha é considerada certa, fazer o que.

ID
2581951
Banca
Quadrix
Órgão
COFECI
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item seguinte quanto à VPN, aos protocolos seguros e às chaves públicas e privadas.


A autenticação é uma das funções mais utilizadas na criptografia de chave pública e privada.

Alternativas
Comentários

  • A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código, é um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao uso da Internet.

    A primeira vista ela até pode parecer complicada, mas para usufruir dos benefícios que proporciona você não precisa estudá-la profundamente e nem ser nenhum matemático experiente. Atualmente, a criptografia já está integrada ou pode ser facilmente adicionada à grande maioria dos sistemas operacionais e aplicativos e para usá-la, muitas vezes, basta a realização de algumas configurações ou cliques de mouse.

    Por meio do uso da criptografia você pode:

    proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e a sua declaração de Imposto de Renda;
    criar uma área (partição) específica no seu computador, na qual todas as informações que forem lá gravadas serão automaticamente criptografadas;
    proteger seus backups contra acesso indevido, principalmente aqueles enviados para áreas de armazenamento externo de mídias;
    proteger as comunicações realizadas pela Internet, como os e-mails enviados/recebidos e as transações bancárias e comerciais realizadas.

  • Pode ser usada para confidencialidade, autenticação ou ambos.

  • A autenticação é uma das funções mais utilizadas na criptografia de chave pública e privada.

     

    Autenticação pode ser garantida na critptografia de chave pública através da assinatura digital. Porém, na criptografia de chave privada(ou de chave secreta, criptografia simétrica) somente a confidencialidade pode ser garantida. Isso não torna a acertiva errada?

    Ou a banca estava somente falando da criptografia assimétrica ao usar o termo "criptografia de chave pública e privada"? Eu entendi que se referiram a criptografia assimétrica e simétrica também.

     

    Enunciado confuso.

  • Jéssica, ao se referir chave pública e privada está falando de criptografia assimétrica. Então, utilizando minha chave privada eu garanto a autenticação da informação, pois apenas eu tenho acesso a ela.

  • Pessoal, acredito que a questão quis abordar tanto em relação a chave privada(simétrica) quanto a chave público(assimétrica). Assim tornando a assertiva correta, uma vez que a criptografia simétrica pode oferecer autenticação através do Mac. 

     

    Segue fonte em que há o comentário do Raphael Lacerda em 31 julho 2015 baseado em questões da CESPE. http://www.itnerante.com.br/group/seguranadainformao/forum/topics/2014-tj-se-hash-criptografia-sim-trica-autenticidade

  • GABARITO: CERTO.

ID
2583934
Banca
COPEVE-UFAL
Órgão
MPE-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Controle de Acesso é uma tarefa fundamental na Administração de Redes e Sistemas, a qual visa ser bem definida dentro da Política de Segurança de uma instituição quanto à autenticação e à autorização dos recursos a serem disponibilizados aos usuários. Acerca disso, dados os itens abaixo,


I. Autenticação refere-se à identificação apropriada dos usuários perante o sistema ou rede.

II. De forma geral, a autenticação refere-se a algo que o usuário possua (como um token), saiba senha) ou seja (características físicas únicas).

III. A autorização é a parte do controle de acesso ligada a restrições impostas a usuários já autenticados também ser aplicadas a usuários não autenticados

IV. Um Firewall pode ser considerado um dispositivo de controle de acesso de usuários.


verifica-se que estão corretos

Alternativas
Comentários

  • ALTERNATIVAS ERRADAS:

    III. A autorização é a parte do controle de acesso ligada a restrições impostas a usuários já autenticados também ser aplicadas a usuários não autenticados

    Errada. A autorização controla o que usuários autenticados podem fazer quando lhes é dado acesso à rede. Exemplos: Permissões e diretórios compartilhados.

    Tecnologia da Informação para Gestão - Turban

     

     

     

    IV. Um Firewall pode ser considerado um dispositivo de controle de acesso de usuários.

    Errada. O firewall é um mecanismo , ou seja, um sistema de proteção aplicado a computadores e redes. Ele atua entre a rede interna e uma externa, monitorando o tráfego de dados que entra e o que sai.

    Curso essencial de redes Wireless -  Equipe Digerati Books

     

     

     

    Gab: B

  • Resposta: D

    I - CERTO;
    II - COMPLEMENTANDO... a autenticação refere-se a: aquilo que o usuário seja; usuário possua e apenas o usuário saiba, como perguntas de segurança;
    III - ERRADO: Autorização: determinar as ações que a entidade pode executar;
    IV - ERRADO: Firewall é um mecanismo de proteção das informações do computador, ele atua liberando ou bloqueando o acesso ao computador pela rede ou internet.

  • alguém me dá uma justificativa do porquê para um firewall não poder ser usado para controle de acesso? já vi em vários lugares citando firewall para CA de redes

ID
2630362
Banca
FAURGS
Órgão
UFRGS
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

No processo de autenticação em redes sem fio que utilizam 802.11i (WPA2), que tipo de protocolo EAP exige um certificado para cada entidade a ser autenticada?

Alternativas
Comentários

  • EAP-MD5:

    - Desenvolvido pela Microsoft

    - Raramente utilizado.

    - Faz somente uma autenticação unidirecional

    - Não suporta distribuição automática e rotação de chaves WEP, para diminuir a sobrecarga administrativa de manutenção manual de chaves WEP.

    EAP-TLS:

    - Desenvolvido pela Microsoft

    - Bastante seguro

    - Porém exige a manutenção de uma infra-estrutura de PKI por exigir certificado no lado cliente (e no lado servidor)

    EAP-TTLS:

    - Desenvolvido pela Funk Software and Certicom

    - Opção frequentemente preferida.

    - Exige certificado apenas no lado servidor


    LEAP

    - Desenvolvido pela CISCO

    - Uma política de senha forte deve ser imposta para garantir segurança adequada ao LEAP

    EAP-FAST

    - Desenvolvido pela CISCO

    - Disponível para os caso em que não se pode impor uma política de senha forte e não quer distribuir certificados para autenticação.

    PEAP

    - Desenvolvido pela Microsoft, Cisco e RSA

    - Versão mais recente

    - Exige certificado apenas no lado servidor (semelhante ao EAP-TTLS)

  • Modos de autenticação do EAP :

    EPA-TLS: Cliente e servidor se autenticam usando certificados digitais

    EAP-TTLS: Somente o servidor tem um certificado que autentica a si mesmo

    EAP-GPSK: Para autenticação mútua e uma chave de sessão PSK (Chave Pré-Compartilhada)

    EAP-IKEv2: Autenticação mútua e suporta vários métodos

ID
2630479
Banca
FAURGS
Órgão
HCPA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

As diferentes técnicas e métodos de autenticação podem ser classificados pelo tipo de atributo relativo ao usuário que utilizam. Um método de autenticação que utiliza um cartão magnético com senha é classificado como uma técnica que utiliza somente ____________.


Assinale a alternativa que completa corretamente a lacuna do texto acima.

Alternativas
Comentários

  • Gabarito: C.

     

    O que você tem - cartão magnético

    O que você sabe - senha

  • C. o que você sabe (senha) e o que você tem (cartão)

  • Gabarito: Letra C

    O que voce é: --> meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.

    O que você tem --> objetos, tais como cartões de identificação, smart cards, tokens USB. Também está sendo muito utilizado o próprio telefone do usuário, com o envio de um SMS, para que ele confirme o código que chegou no telefone. 

    O que você sabe -->senha, dados pessoais, frases secretas. Senha certamente é a forma de autenticação mais comum e utilizada.

ID
2631460
Banca
FAURGS
Órgão
TJ-RS
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Entre as alternativas abaixo, qual a que corresponde ao mecanismo de autenticação que exige certificado de cliente e servidor?

Alternativas
Comentários

  • EAP-MD5:

    - Desenvolvido pela Microsoft

    - Raramente utilizado.

    - Faz somente uma autenticação unidirecional

    - Não suporta distribuição automática e rotação de chaves WEP, para diminuir a sobrecarga administrativa de manutenção manual de chaves WEP.

    EAP-TLS:

    - Desenvolvido pela Microsoft

    - Bastante seguro

    - Porém exige a manutenção de uma infra-estrutura de PKI por exigir certificado no lado cliente (e no lado servidor)

    EAP-TTLS:

    - Desenvolvido pela Funk Software and Certicom
    - Opção frequentemente preferida.

    - Exige certificado apenas no lado servidor


    LEAP

    - Desenvolvido pela CISCO

    - Uma política de senha forte deve ser imposta para garantir segurança adequada ao LEAP

    EAP-FAST

    - Desenvolvido pela CISCO

    - Disponível para os caso em que não se pode impor uma política de senha forte e não quer distribuir certificados para autenticação.

    PEAP

    - Desenvolvido pela Microsoft, Cisco e RSA

    - Versão mais recente

    - Exige certificado apenas no lado servidor (emelhante ao EAP-TTLS)

     

    Fonte: https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html

ID
2635195
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Em ambientes computacionais, muitas aplicações que oferecem funcionalidades distintas são usadas simultaneamente pelos usuários.


Para possibilitar esse uso simultâneo, sem que o usuário tenha de fazer autenticações distintas em cada uma das aplicações, os administradores podem implantar uma infraestrutura de autenticação com suporte a

Alternativas
Comentários

  • GABARITO B

     

    SSO significa Single Sign On e permite que funcionários de uma empresa façam login em todos seus serviços com um único clique. SSO usa um portal que centraliza e mostra todas as aplicações que sua empresa tem configurado para o Single Sign On.

  • Gabarito B

    Single Sign-on é definido como um único ponto de entrada, ou seja, você necessita se autenticar uma única vez. Isso permite acesso automaticamente a diversos canais do portal Terra, sem a necessidade de digitar seu login e senha em cada sistema, o que proporciona mais segurança aos seus dados de autenticação.

     

    Exemplo: Você autenticou no Terra Mail para verificar suas mensagens, aí decidiu acessar a Central do Assinante, por exemplo, então basta acessar a página da central e já estará autenticado, não havendo a necessidade de efetuar login novamente. 

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • b-

    single sign-on significa que um usuario se autentica 1 vez no seu local de trabalho para ter acesso a todos serviços da rede por acesso de seu proprio desktop, sem necessidade de autenticações individuais.

ID
2694031
Banca
FADESP
Órgão
BANPARÁ
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos tipos de autenticação é INCORRETO afirmar que

Alternativas
Comentários

  • A LETRA C NÃO ESTÁ INCORRETA TBM? POIS HÁ SOMENTE UM FATOR COMO MOSTRA A SEGUIR:

    O que sei
    –Senha, Chave, PIN

    •O que tenho
    –Token
    –Smart Card
    O que sou

    - biometria
    –Características físicas ou
    comportamentais (permanentes ou
    pouco variáveis)

  • a autenticação biométrica pode ser classificada como possession na autenticação por dois fatores.

     

    a resposta ta nas alternativas:   Biometria é algo que ele é  (inherence).  Características físicas

     

     

  • A. a autenticação biométrica pode ser classificada como possession na autenticação por dois fatores. errada

    usuário saiba (knowledge); tenha (possession); é (inherence)

ID
2756728
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Os testes de segurança são projetados para investigar vulnerabilidades no ambiente, sendo tarefa do testador de segurança identificar pontos vulneráveis. Considere os seguintes elementos de segurança.

I - Firewall (bloqueadores contra ataques)
II - Autenticação ,
III - Criptografia

Quais podem ser implementados para proteção contra essas vulnerabilidades?

Alternativas
Comentários

  • Olá pessoal, GABARITO E -  TODOS os itens são elementos de segurança que podem ser implementados contra vulnerabilidades.

     

    Firewall é utilizado para proteger um computador contra acessos não autorizados vindos da Internet.

     

    Os programas antimalware, apesar da grande quantidade de funcionalidades, não são capazes de impedir que um atacante tente explorar, via rede, alguma vulnerabilidade existente em seu computador e nem de evitar o acesso não autorizado, caso haja algum backdoor nele instalado8. Devido a isto, além da instalação do antimalware, é necessário que você utilize um firewall pessoal.

     

    Autenticação: verificar se a entidade é realmente quem ela diz ser.

     

     

    Criptografia:  A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código, é um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao uso da Internet. Usando criptografia você pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os já gravados em seu computador.

     

     

    Fonte: Cartilha.cert

  • Alternativa correta: E.


    Como a questão deixou muito amplo o conceito de vulnerabilidades, todos os itens listados podem ser utilizados.



  • O conceito de vulnerabilidade diz respeito a qualquer falha em software ou em hardware.

    Isso é tão amplo que qualquer falha pode ser considerada vulnerabilidade.

    3.1. Exploração de vulnerabilidades

    Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede.

    Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.https://cartilha.cert.br/ataques/

    7.3. Contas e senhas

    Contas e senhas são atualmente o mecanismo de autenticação mais usado para o controle de acesso a sites e serviços oferecidos pela Internet.

    É por meio das suas contas e senhas que os sistemas conseguem saber quem você é e definir as ações que você pode realizar.

    7.4. Criptografia

    Usando criptografia você pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os já gravados em seu computador.

    7.8. Firewall pessoal

    Quando bem configurado, o firewall pessoal pode ser capaz de:

    - registrar as tentativas de acesso aos serviços habilitados no seu computador;-

    bloquear o envio para terceiros de informações coletadas por invasores e códigos maliciosos;

    - bloquear as tentativas de invasão e de exploração de vulnerabilidades do seu computador e possibilitar a identificação das origens destas tentativas;

    - analisar continuamente o conteúdo das conexões, filtrando diversos tipos de códigos maliciosos e barrando a comunicação entre um invasor e um código malicioso já instalado;

    - evitar que um código malicioso já instalado seja capaz de se propagar, impedindo que vulnerabilidades em outros computadores sejam exploradas.

    https://cartilha.cert.br/mecanismos/

ID
2757292
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Ao ser utilizado o comando secure shell (SSH) para estabelecer sessões remotas de trabalho, é necessário que o usuário forneça, no momento da conexão, seu nome de usuário e sua senha. Para evitar tal procedimento, é possível fazer a autenticação gerando um par de chaves, pública e privada, e armazenando, adequadamente, essas chaves em diretórios específicos nas máquinas envolvidas na conexão. Considerando essa situação, assinale a alternativa correta.

Alternativas
Comentários

  • O SSH (Secure SHell) é um protocolo que permite a você acessar virtualmente o servidor como se você estivesse em um terminal (no prompt do DOS, por exemplo). Se você preferir, considere como o SSH como um computador controlando outro computador.

  • Discordo do gabarito. A chave pública deve copiada para a máquina que vai originar a comunicação, e a chave privada deve ser mantida no destino da comunicação.

  • Aos não assinantes, GABARITO: E

    Sou contra colocar apenas o gabarito sem explicar nada, porém eu realmente não sei a questão e niguém (até a data desta minha publicação) comentou colocando o gabarito.

ID
2757328
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

O acesso aos recursos de um sistema operacional requer a autenticação do usuário. Essa autenticação pode ser realizada por meio de senhas de acesso. Entretanto, essa forma de autenticação pode sofrer ataques. Para tornar mais robusta a autenticação por meio de senhas e reduzir a probabilidade de ataques bem sucedidos, a estratégia mais eficiente, entre as apresentadas nas alternativas abaixo, é

Alternativas
Comentários

  • GABARITO: E

    Quando você faz um cadastro em um site e cria uma senha, o site não armazena a sua senha – ele armazena o hash da sua senha.

    Por que?

    Porque armazenar a sua senha seria inseguro, visto que o administrador do site poderia roubá-la e utilizá-la para fins escusos. Após o cadastro, toda vez que você acessar o site com sua senha, ele gerará outro hash e comparará com o hash que ele tem salvo do cadastro. Se forem iguais, significa que você é realmente você.

    Fonte: Material do estratégia aula de Segurança da informação

ID
2757346
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Considere o seguinte protocolo de autenticação, especificado na recomendação X.509.

A→B: A{ta,ra,B}
B→A: B{tb,rb,A,ra}
A→B: A{rb,B}

Onde:

A→B significa envio de informação de A para B;

X{M} representa o envio da mensagem M assinada por X (a mensagem e a assinatura da mensagem enviada);

ta e tb são marcas (estampas) de tempo;

ra e rb são números únicos gerados por A e B respectivamente;

A e B são os identificadores das entidades envolvidas na autenticação.

Sobre esse mecanismo de autenticação, assinale a alternativa correta.

Alternativas
Comentários

  • Sinceramente as vezes penso que essa banca faz concurso para NASA. aonde que um cristão vai entender uma questão esdrúxula dessa.

    Questão envolvendo telecomunicação.

  • Eu queria vê a nota de corte de uma prova dessa banca, mas lembro que nunca vou fazer prova dela, então deixo pra lá.

ID
2789767
Banca
ESAF
Órgão
Receita Federal
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção correta relativa à Segurança da Informação.

Alternativas
Comentários

  • Autenticação: verificar se a entidade é realmente quem ela diz ser.

  • Comentários do prof. Diego do Estratégia (@professordiegocarvalho):

    (a) Errada. A criptografia é um método que codifica os dados do usuário para que só o destinatário possa ler, dessa maneira garantindo a confidencialidade da informação;

    (b) Errada. Autenticação é um procedimento que visa garantir que quem envia a informação é quem diz ser. Lembrando que a sequência de símbolos na questão é chamada de chave de criptografia;

    (c) Errada. Autenticação é um procedimento que visa garantir que quem envia a informação é quem diz ser;

    (d) Correto. Autenticação é um procedimento que visa garantir que quem envia a informação é quem diz ser. Ou seja, que verifica que uma mensagem é válida (verdadeira) ou não.

    (e) Errada. A sequência de símbolos em questão é chamada de chave de criptografia. 

    Letra D 

ID
2852809
Banca
CESPE / CEBRASPE
Órgão
BNB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança no desenvolvimento de aplicações, julgue o item que segue.

A autenticação de múltiplos fatores é um processo de verificação da representação de múltiplos caracteres capazes de produzir efeitos indesejáveis sobre operações de aplicações dos sistemas.

Alternativas
Comentários

  • Autenticação de múltiplos fatores envolve o uso de várias tecnologias para autenticação:

    O que o usuário sabe: ex: senha

    O que o usuário possui: ex: token

    Quem o usuário é: ex: biometria

  • AMF - Autenticação De Múltiplos Fatores utiliza varias tecnologias para autenticação e é dividida em 3 fatores:

    [1] o que você é? Ex. biometria, íris, escaneamento facial...

    [2] o que você sabe? Ex. senha

    [3] o que você tem ou que você possui? Ex. cartão, token...

    Uma autenticação para ser considerada forte necessita de pelo menos 2 festes fatores. E não existe preferência de ordem entre elas. 


     Q933299 2018 CESPE Polícia Federal Agente de Polícia Federal

    Julgue o próximo item, a respeito de proteção e segurança, e noções de vírus, worms e pragas virtuais.

    Na autenticação em dois fatores, necessariamente, o primeiro fator de autenticação será algo que o usuário possui — por exemplo, um token gerador de senhas — e o segundo, alguma informação biométrica, como, por exemplo, impressão digital ou geometria da face reconhecida.

    Não necessariamente precisa ser nessa ordem, e ainda, o primeiro não necessita ser um que o usuário possui. Item errado. 


  • Autenticação de múltiplos fatores também pode ser chamada de verificação em duas etapas.

  • GABARITO: ERRADO

    Acredito o que tornou errado foi "efeitos indesejáveis"

    A forma que um sistema utiliza para saber a identidade de quem ou do que está tentado acessa-lo é denominada autenticação. A autenticação garante ao sistema que o acesso a ele esta sendo feito por quem realmente diz ser e, a partir de então, o sistema consegue, com base em regras pré-definidas – também chamadas de ACL (Access Control List ou Lista de Controle de Acesso)

  • Quando falou em Autenticação e Efeitos indesejáveis na mesma frase já marquei Errado.

  • Múltiplos = vários ou mais de um, autenticação em dois fatores sem ordem definida, produz efeitos desejáveis

    ERRADO

  • Exemplos de autenticação em múltiplos fatores que podem ser chamadas de duas etapas: senha + código email / senha + código sms / senha + token

  • Autenticação de múltiplos fatores não tem nada a ver com a questão acima. O exemplo mais usado é, no momento do acesso ao gmail, é enviado ao seu celular uma numeração para a confirmação deste acesso.

    Resposta: Errado

ID
2947015
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

A forma de autenticação mais comum é a senha, a qual depende de se manter secreta para ser um mecanismo de segurança efetivo.

International Organization for Standardization. ISO/IEC 15408-2: Security functional components, 2008. Tradução livre.


Em relação a políticas de senha e a segurança desta, assinale a alternativa correta.

Alternativas
Comentários

  • Gabarito: letra D

    Com apenas um programa, você pode evitar que usuários sem permissão de acesso descubram as senhas das contas de usuário que estão no seu computador. Para isso basta atribuir um limite de tentativas, travando o login após esse limite ter sido atingido.

    Para começar a missão de segurança, é necessário que você possua permissões totais de administrador no computador, pois somente esse tipo de conta possui permissões para realizar alterações em todas as contas de usuário que estiverem armazenadas na máquina utilizada.

  • Por que C e E estão incorretas?

ID
2947039
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Metodologias de autenticação envolvem três fatores básicos para autenticar um usuário, que são algo que o usuário

Alternativas
Comentários

  • Mecanismos de autenticação
        Aquilo que você é
            Ex: biometria


        Aquilo que você possui
            Ex: cartão de senha, token...


        Apenas que você sabe
            Peguntas de seguranças e suas senhas

     

    cert.br

  • Contas e senhas – São atualmente o mecanismo de autenticação mais usado para o controle de acesso a sites e serviços oferecidos pela Internet. É por meio das suas contas e senhas que os sistemas conseguem saber quem você é e definir as ações que você pode realizar.

    Cartilha da segurança da informação

  • Complementando, a biometria divide-se em estática (o que o usuário é) e dinâmica (o que o usuário faz). A leitura de íris e digital são exemplos de biometria estática, enquanto o reconhecimento de voz e de padrões de digitação são exemplos de biometria dinâmica.
ID
2984308
Banca
Aeronáutica
Órgão
CIAAR
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança deve ser uma preocupação do projeto e a implementação de qualquer protocolo de comunicação moderno. Uma autenticação forte é necessária na proteção das comunicações.


A esse respeito, é correto afirmar que a autenticação forte assegura

Alternativas
Comentários

  • A autenticação visa validar que você é de fato quem diz ser, mas a mensagem está exposta. Nesse caso, o mais importante é saber se você está se comunicando com uma pessoa/entidade legítima ou um invasor.

    A criptografia é que protege um conteúdo ao transformar um texto claro em um texto cifrado.

ID
2992198
Banca
Aeronáutica
Órgão
EEAR
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à segurança em redes de computadores, analise as frases abaixo e assinale a alternativa que contém apenas as assertivas verdadeiras.

I – A autenticação é a técnica pela qual um processo confirma que seu parceiro na comunicação é quem deve ser e não um impostor.

II – Uma organização que certifica chaves públicas é chamada de autoridade de certificação.

III – SSL (Secure Sockets Layer) é um tipo de pacote de segurança.

Alternativas
Comentários

  • SSL (Secure Sockets Layer) é um tipo de pacote de segurança.

    Para ser empregado em navegadores e SMTP, garante confidencialidade, integridade, autenticidade e não repúdio!

  • D

  • sal é protocolo não "pacote"

  • Na I, a definição está correta.

    Na II, se levado muito ao pé da letra pode induzir ao erro pois as ACs (Autoridade de Certificação) como o nome sugere, validam os Certificados Digitais mas como definição: "O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave publica"(Cartilha Segurança para Internet), logo o que está sendo registrado é realmente uma chave pública.

    Na III, o termo técnico dado ao SSL realmente é protocolo mas chamá-lo de pacote também está correto visto que este protocolo utiliza de uma combinação de técnicas para garantir a segurança, como certificados digitais e mais de um método de criptografia.

    GABARITO: Letra D.

  • SSL é um protocolo de segurança de criptografia projetados para internet, não é um pacote.

ID
2998825
Banca
FCC
Órgão
SEMEF Manaus - AM
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Após a instalação do sistema de monitoração Zabbix 3.0 para a autenticação no servidor, deve-se utilizar o usuário e senha padrão, respectivamente,

Alternativas
Comentários

  • Usuário: Admin

    Senha: zabbix

  • hahahahahhaha fcc tá de sacanagem

ID
3132859
Banca
VUNESP
Órgão
Câmara de Piracicaba - SP
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

A metodologia de autenticação que usa dois ou mais fatores como evidência para identificar o usuário visa

Alternativas
Comentários

  • GABARITO (E).

    R.A.V.I

    Risco – É uma ameaça que explora certa vulnerabilidade.

    Ameaça – Fator/Elemento incidente de natureza.

    Vulnerabilidade – Fragilidade/Fraqueza de um ativo.

    Impacto = Consequência/Resultado do R.A.V

  • Assertiva E

    minimizar o impacto caso uma das formas de autenticação tenha sido comprometida.

  • Essas questões de segurança da VUNESP são muito confusas...é muito mais difícil alguém acessar a conta de uma pessoa que utilize autenticação dois fatores, na grande parte dos sistemas, só é possível começar a utilizar o sistema depois de passar por todas as etapas de autenticação.

  • RESOLUÇÃO:

    O uso de dois ou mais fatores, visa trazer uma segurança maior no que se refere ao acesso a sistemas, e-mails e outros mais. Havendo o comprometimento de umas das formas de autenticação no sistemas, o impacto será minimizado, devido ao uso da regra de dois fatores ou mais.

    Resposta: E

  • Comentários do prof. Diego do Estratégia (@professordiegocarvalho):

    Essa metodologia evidentemente visa minimizar o impacto caso uma das formas de autenticação tenha sido comprometida. 

    Letra E

ID
3140086
Banca
FCC
Órgão
TJ-MA
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Além dos fatores envolvidos na garantia de autoria, acesso e integridade do arquivo durante o processo de autenticação, há quatro esquemas de autenticação digital:


I. permite ao usuário acesso direto aos serviços de autenticação, possibilitando o acesso aos serviços específicos que precisa. A principal característica dessa configuração consiste na unificação das informações disponíveis no sistema de dados.

II. nesse esquema, o aplicativo mantém os dados que pertencem às credenciais do usuário. Essas informações geralmente não são compartilhadas com outros aplicativos. Esse é um esquema de alto risco devido à possibilidade de que a área de armazenamento de senhas seja comprometida.

III. é o esquema mais seguro, ideal para o uso do governo porque permite uma ampla gama de serviços. Usa um único mecanismo de autenticação envolvendo um mínimo de dois fatores para permitir o acesso aos serviços necessários e a capacidade de assinar documentos.

IV. esse esquema permite que cada usuário use as mesmas credenciais para acessar vários serviços. Cada aplicativo é diferente e deve ser projetado com interfaces com a capacidade de interagir com um sistema central para fornecer com êxito a autenticação para o usuário. Isso permite que o usuário acesse informações importantes e possa acessar chaves privadas que permitirão que ele assine documentos eletronicamente.


O esquema

Alternativas
Comentários

  • Autenticação local

    O esquema de autenticação local atribui ao aplicativo a capacidade de manter os dados pertencentes às credenciais do usuário. Com a utilização desse esquema, essas informações, em geral, não são compartilhadas com outros aplicativos, havendo, no entanto, a possibilidade de que o domínio de armazenamento de senhas seja prejudicado. Tal potencialidade torna o esquema de autenticação local altamente arriscada.

    Autenticação centralizada

    O esquema de autenticação centralizada possibilita que o usuário utilize uma mesma credencial para acessar variados serviços. Com essa configuração, sendo os aplicativos diferentes uns dos outros, há a projeção de interfaces que suportam a interação com um sistema central para o fornecimento eficiente da autenticação para o usuário. Esse formato de funcionamento possibilita o acesso do usuário a chaves privadas que o habilitam a assinar documentos de forma eletrônica.

    Autenticação global centralizada

    O esquema de autenticação global centralizada permite ao usuário ter acesso aos serviços específicos de que precisa, uma vez que a principal característica dessa configuração consiste na unificação das informações disponíveis no sistema de dados. Assim, o usuário de forma direta um mecanismo de autenticação responsável por gerir as autorizações de acesso e tem como base uma estrutura organizacional.

    Autenticação global e aplicativo da web

    O esquema de autenticação global e aplicativo da web possibilita a utilização de uma série de serviços de identificação e proteção digital, além de ser o mais seguro entre os quatro tipos existentes. Esse formato utiliza apenas um mecanismo de autenticação, de maneira a requerer o mínimo de dois fatores para conceder o acesso aos procedimentos de operação necessários e às funcionalidades de assinar documentos.

    Fonte: https://www.docusign.com.br/blog/o-que-e-autenticacao-digital/

  • Gabarito: C.

ID
3180364
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A autenticação é um requisito essencial para proteger o acesso aos recursos existentes em um ambiente computacional. Quando organizações distintas possuem uma relação de confiança, uma autoridade de autenticação local pode aceitar credenciais estrangeiras que são validadas por uma autoridade de autenticação estrangeira.

Essa infraestrutura de autenticação e autorização (IAA) adota a técnica conhecida como

Alternativas
Comentários

  • Federação de Identidade é uma relação de confiança a qual permite uma organização possa confiar na autenticação de uma outra, provendo assim, uma experiência de Single Sign-on para o usuário final. 

     

    Fonte

    Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados

    Autores Cabral e Caprino 

    Editora Brasport

ID
3191092
Banca
COMPERVE
Órgão
UFRN
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, é muito comum a utilização de uma conta de usuário já criada em grandes provedores (como Facebook, Google e outros) para efetuar a autenticação em sistemas de terceiros. Para isso, as entidades envolvidas formam uma estrutura de confiança mútua. O conceito central utilizado é o de autenticação única ou SSO (do inglês, Single Sign-On). Com isso, o usuário não precisa realizar o cadastro em diferentes sites ou lembrar de múltiplas senhas. De acordo com a terminologia da área de segurança de redes, essa é uma autenticação do tipo 

Alternativas
Comentários
  • Autenticação Federada permite que um utilizador possa aceder aos Serviços Federados (Service Provider) fora do seu domínio (se pertencentes à mesma Federaç,ão). Para que tal seja possível o utilizador autentica-se no Identity Provider do seu domínio - onde é criada uma sessão para o utilizador. Esta sessão é verificada através de comunicação entre o Service Provider e o Identity Provider, sendo que a confiança é estabelecida entre serviços.

  • Muio bem dito Goku

  • " Single Sign-On: Mecanismo pelo qual uma única ação de autenticação do usuário pode permitir que o mesmo acesse vários ambientes, sistemas e aplicações " (ISO 27002:2013)

    .

    Gabarito B.

    At.te

    Foco na missão

ID
3204208
Banca
Quadrix
Órgão
CRECI - 5º Região (GO)
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da segurança de sistemas, julgue o item


No processo de autenticação, a perda do seu segredo durante a transmissão e(ou) o armazenamento é uma preocupação. O uso da biométrica, inerente à pessoa a ser autenticada, fortifica o processo de autenticação, pois é impossível de ser burlado.

Alternativas
Comentários

  • Sempre encontram uma maneira de burlar. Nada em informatica é 100% seguro.

  • Questão está errada.

    https://www.topdata.com.br/biometria-uso-de-dedo-falso/

  • Corta o dedo do infeliz e coloca na máquina

  • GABARITO: ERRADO.

  • Impossível ! Quem me dera toda questão fosse assim

    Errado

  • Atenção essas questões que são extremas.

  • Errado. Pessoal burla com foto por exemplo.

  • Tenha certeza de um coisa nessa vida, nada é tão certo! O fato de ser super seguro o uso de biometria, saiba que ele é burlável sim!

    Resposta: Errado

ID
3236728
Banca
CESGRANRIO
Órgão
UNIRIO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Os serviços de segurança oferecem um tipo específico de proteção aos recursos do sistema e visam a satisfazer os requisitos da política de segurança ou do usuário.

O serviço de segurança que visa a confirmar que a origem dos dados recebidos ou a entidade associada em uma comunicação são exatamente quem reivindicam ser é o de

Alternativas
Comentários

  •  Irretratabilidade-> Garantia contra negação, por parte das entidades envolvidas em uma comunicação, de sua participação no todo ou em parte dessa comunicação.

    Integridade dos dados-> Garantia de que os dados recebidos estão exatamente como enviados por uma entidade responsável pelo envio sem inserção, exclusão, modificação e/ou repetição de toda ou parte da mensagem.

    Autenticação-> Garantia de que as entidades envolvidas na comunicação são, de fato, quem se espera ou que se afirma ser.

    Confidencialidade-> propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;

  • Autenticação da entidade par: usada em uma associação com uma conexão lógica para fornecer confiança;

    Autenticação da origem de dados: oferece a certeza de que a origem dos dados recebidos é conforme alegada.

    .

    At.te

    Foco na missão

  • Gabarito - A

ID
3411079
Banca
CESPE / CEBRASPE
Órgão
SEFAZ-AL
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o próximo item, relativo a segurança da informação.


Identificação e autenticação são requisitos de segurança da informação que consistem em identificar usuários do sistema e verificar as suas identidades, como pré-requisito para permitir o acesso desses usuários ao sistema.

Alternativas
Comentários

  • Requisitos basicos de segurança como:

    Identificação:permitir que uma entidade* se identifique, ou seja, diga quem ela é.

    *Uma entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador

    Autenticação: verificar se a entidade é realmente quem ela diz ser

    https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

    Conceder acesso a usuários autorizados envolve uma série de etapas que incluem a identificação do usuário, a autenticação deste usuário e a autorização do usuário para acessar um ativo.Identificação é o passo no processo de concessão de acesso.Na identificação, uma pessoa apresenta um token, por exemplo, um número de conta ou nome de usuário.O sistema, então, precisa determinar se o token é autêntico[...]

    Fonte:Fundamentos de segurança da informação Com base na ISO 27001 e na ISO 27002

    https://www.youtube.com/watch?v=beHH5z_-Cp4 Professor Renato da Costa, trecho completo do livro

    Minutagem 05:53

     

  • PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO:

    Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é. 

    Autenticação: verificar se a entidade é realmente quem ela diz ser,legítimo.

    Autorização: determinar as ações que a entidade pode executar.

    Integridade: proteger a informação contra alteraçãonão autorizada. (Ex: Autenticação de usuários)

    Confidencialidade ou sigilo: proteger uma informação contra acessonão autorizado. (Ex: Criptografia)

    Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.

    Disponibilidade: garantir que um recurso esteja disponível sempre que necessário. (Ex: Equipamentos redundantes- backup, nobreak)

    - Identificação e autenticação são requisitos de segurança da informação que consistem em identificar usuários do sistema e verificar as suas identidades, como pré-requisito para permitir o acesso desses usuários ao sistema.(CESPE)

  • O controle de acesso é um dos serviços de segurança da X.800 que limita e domina o acesso aos sistemas e aplicações, para isso, cada entidade precisa primeiro ser IDENTIFICADA, ou AUTENTICADA para ter os seus direitos de acesso. (Stallings).

    .

    At.te

    Foco na missão ❢

  • Aylanne, poderia citar a fonte dessa sua informação? Não achei nada disso nem na 27001 nem na 02.

  • LOGIN/USUÁRIO = IDENTIFICAÇÃO

    SENHA = AUNTENTICAÇÃO

    Pré requisito pra acesso dos usuários. ex: vc precisa de login e senha para acessar o qc

    Gabarito : CERTO

  • GAB CERTO:

    Vamos supor que você vai até um Cartório de Notas para Autenticar um documento de Identidade (autenticar é conferir o xerox do documento com o original)

    O Tabelião, vai pegar o seu documento de Identidade (nesse momento ele está te identificando)

    Depois da identificação o Tabelião irá AUTENTICAR (da fé pública) testando que aquele xerox é verdadeiro com o original.

    Força e Fé.

  • Veja a solução da resposta no vídeo do Professor Vinícius Gnandt: https://youtu.be/CPAllPeRqm0

  • Identificação: o usuário declara uma identidade para o sistema.

    Autenticação: responsável pela validação de identidade do usuário, processo ou dispositivo. "É ele mesmo? Ele é quem diz ser?"

    Gabarito: Certo

  • Gabarito Certo

    Princípios da Básicos da segurança da informação.

    • Disponibilidade: Vai garantir que a informação ou o sistema de informação está disponível para acesso aos usuários sempre que esses as necessitarem.
    • Integridade: Tenta garantir que as informações não foram alteradas durante sua transmissão ou sua transferência.
    • Confidencialidade: Principio do sigilo, visa garantir que as informações só serão acessadas por seus usuários legítimos.
    • Autenticidade: Garante que a informação é verdadeira. Em outras palavras, o objetivo aqui é confirmar a identidade do usuário, a autenticidade de sites, dos documentos eletrônicos e transações eletrônicas

    Bons estudos!✌

  • A Autenticidade é responsável por garantir a identidade do autor do dado. ''Assegurar que é quem diz ser''

  • Princípios da segurança da informação: Macete " DICA e não repudio"

    Disponibilidade: Backup

    Integridade: Assinatura Digital

    Confidencialidade: Criptografia, chaves e senhas

    Autenticação: Assinatura Digital

    Não repudio: Não negar ter criado uma informação cadastrada.

  • identificação = login/usuário

    autenticação = senha (responsável pela validação da identidade)

    Identificação e autenticação são requisitos de segurança da informação que consistem em identificar usuários do sistema (identificação) e verificar as suas identidades (autenticação), como pré-requisito para permitir o acesso desses usuários ao sistema.

  • Trata-se de uma questão sobre segurança da informação, especificamente sobre requisitos de segurança da informação.

    Os usuários de um sistema usualmente são submetidos a um processo de logon. Esse processo é utilizado para se conceder acesso a algum recurso computacional. Normalmente esse processo envolve a entrada de uma chave única de usuário (ID, login, nome do usuário, etc), essa chave única de usuário é a forma de se identificar o usuário em questão. É também pedido uma senha, a qual serve para autenticar o usuário, ou seja, para confirmar que a pessoa que está tentando acessar o recurso computacional realmente é autentica, é quem ela diz que é.


    Gabarito do professor: Correto

  • Para permitir que você possa aplicar na Internet cuidados similares aos que costuma tomar em seu dia a dia, é necessário que os serviços disponibilizados e as comunicações realizadas por este meio garantam alguns requisitos básicos de segurança, como:

    Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.

    Autenticação: verificar se a entidade é realmente quem ela diz ser.

    Autorização: determinar as ações que a entidade pode executar.

    Integridade: proteger a informação contra alteração não autorizada.

    Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.

    Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.

    Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

    https://cartilha.cert.br/mecanismos/

  • Requisitos básicos de segurança, como:

    Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.

    Autenticação: verificar se a entidade é realmente quem ela diz ser.

    Autorização: determinar as ações que a entidade pode executar.

    Integridade: proteger a informação contra alteração não autorizada.

    Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.

    Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.

    Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

  • CERTO

    A identificação é a capacidade de identificar os usuários do sistema, isto é, saber quem está usando o sistema.

    A autenticação é a capacidade de verificar a identidade destes usuários, isto é, saber se o usuário é realmente quem diz ser.

    Fonte: Prof. Ramon Souza

  • Identificação e autenticação realmente podem ser consideradas requisitos de segurança da informação! Identificação é simplesmente o processo de identificar unicamente um usuário em um sistema; autenticação é o processo que garante que uma entidade é realmente quem diz ser; Logo, identificação consiste em identificar usuários do sistema; autenticação consiste em verificar suas identidades; e ambas são pré-requisitos para permitir o acesso aos usuários ao sistema. 

  • RESOLUÇÃO:

    Assertiva correta, afinal, o nome de usuário e senha para logar em um sistema, são requisitos básicos neste processo, e que pode até dependendo do sistema gerar arquivos de logs do que aquele determinado usuário executou no sistema.

    Resposta: Certo

  • Certo .

    Meus resumos...

    Identificação - Garante de que a pessoa é realmente quem ela diz ser. prova de identidade.

    Autenticação - Garantia de que as pessoas não executarão qualquer ação que não possuam permissões.

    A autorização determina a capacidade real de um usuário.

ID
3449500
Banca
CONSULPLAN
Órgão
Prefeitura de Patos de Minas - MG
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A Segurança da Informação é baseada em três princípios: disponibilidade (onde a informação é acessível por usuários autorizados sempre que a solicitarem), integridade (somente usuários com autorização podem alterar a informação) e confidencialidade (somente usuários autorizados podem visualizar a informação). Cada um desses princípios possui ferramentas que implementam e/ou promovem conceitos relacionados a cada um. Em relação a alguns conceitos relativos à confidencialidade, assinale a alternativa correta.

Alternativas
Comentários

  • Assertiva A

    Autenticação; autorização.

  • Gabarito: Letra A

    A norma ISO 27002 ressalta que a informação é um ativo muito valioso para uma organização. Diferentemente de outros ativos, ela pode ser impressa, escrita em papel, armazenada em via eletrônica, ou até mesmo conversada. Isto posto, ela deve ser protegida com adequação.

    Nesse contexto, a segurança da informação é um conjunto de controles, nos quais se incluem políticas, processos, funções de software e hardware e estruturas organizacionais, aplicados com o intuito de proteger a informação dos vários tipos de ameaças, para garantir a continuidade do negócio em caso de desastre, maximizar o ROI (retorno sobre o investimento) e as oportunidades de negócio.

    Destaque para a tríade da segurança da informação:

    Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

    Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

    Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

    Fonte: Professor Victor Dalton