SóProvas

One-time pad (OTP), em português cifra de uso único ou chave de uso único, é uma técnica de criptografia assimétrica que não pode ser quebrada se utilizada corretamente.

Não entendi o erro dessas questão...

Basicamente, os mecanismos de autenticação de usuários dividem-se em três categorias: baseados no conhecimento (o que se sabe), baseados em propriedade (o que se possui) e baseados em características (o que se é). O método conhecido como One-Time Passwords é baseado no conhecimento, consistindo no uso de senhas descartáveis, que são usadas somente uma vez no processo de autenticação. Com isso, evita-se o ataque da captura e repetição da senha, porque a próxima conexão requererá uma senha diferente.

Existem muitas implementações de senhas descartáveis baseadas em software e hardware. As implementações baseadas em hardware, utilizam dispositivos especiais como smartcards e tokens. Os tokens são um híbrido entre o que se sabe e o que se tem, e baseiam-se num algoritmo pré-definido. Portanto, não exigem sincronização com o sistema autenticador.

É bom que se fique atento ao fato de que existe uma variação desse sistema, patenteada e proprietária, que exige sincronização de tempo entre o servidor e o usuário.

_________

http://penta.ufrgs.br/pesquisa/fiorese/autenticacaoeadcap2.htm

Vanessa, o erro da questão está no fato de que o token (hardware utilizado para gerar senhas) não exige sincronização com o sistema autenticador, conforme citado pelo colega Herval.

GABARITO ERRADO

Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que são capazes de realizar as mesmas tarefas do token.

FONTE: https://pt.wikipedia.org/wiki/Token_(chave_eletr%C3%B4nica)

____________________

O que queremos? Tomar posse.

E quando queremos? É irrelevante.

GABARITO: ERRADO

Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que são capazes de realizar as mesmas tarefas do token.

Não entendi o erro. O sistema autenticador não deve estar sincronizado com o dispositivo para saber qual a senha que ele gerou?

Como o sistema vai saber qual a senha gerada sem sincronização?

Alguém poderia explicar?

Obrigado!

Token-Palavra significa ¨passe¨ e remete aos dispositivos geradores de códigos aleatórios,necessários para acesso,juntamente com a senha individual.O código é gerado instantaneamente é valido por poucos segundos.

Professor Fernando Nishimura
2) Quando a questão impõe algo, geralmente, a assertiva é falsa;
3) Quando a questão compara duas tecnologias, geralmente, a assertiva é falsa;

 

Autor: Fernando Nishimura , Professor de Informática

A segurança da informação é um segmento importante dentro da informática, para proteção dos dados e usuários contra invasões, ataques e acessos não autorizados.
Vários sistemas foram desenvolvidos e são utilizados para garantir um pouco de proteção, visto que nunca teremos 100% de segurança.
Um destes sistemas é o token.
Ele é um conjunto de chaves que são usadas a cada acesso, e devem ser compatíveis com as chaves registradas pelo sistema.
Elas são usadas várias vezes, podem se repetir, mas dentro do conjunto de possibilidades, a cada acesso um novo item é solicitado.
Gabarito: Errado.

Já trabalhei com Token e jurava que tinha algum tipo de sincronização.

Ora não exige. Se cada vez que perco meu token do banco eu tenho que ir lá pegar um novo e o atendente tem que cadastrá-lo na minha conta.

O professor falou...falou... e não explicou! 

R: ERRADA

O Token é um dispositivo que gera uma chave de segurança aleatória, a qual uma vez utilizada para acessar a conta, se torna inválida para novos acessos. Assim sendo capturada, ela se torna inútil ao invasor.

O objetivo dessa ferramenta é se defender contra Malwares do tipo Spyaware (ScreenLogger).

Fonte: Apostila Técnico do INSS, Alfacon.

Em termos gerais, tokens são dispositivos físicos que auxiliam o usuário quanto à segurança pessoal ao gerar uma senha temporária de proteção para as contas que ele utiliza. Normalmente o processo é feito através de um aparelho semelhante a um chaveiro, que cria senhas especiais com um único clique, ideais para transações bancárias pela internet.

De lá para cá os bancos estão cada vez mais atentos com as ações dos crackers e criam novos mecanismos de segurança para dificultar o sucesso dos criminosos. O token é uma das últimas inovações e promete ajudar ainda mais quem utiliza o internet banking diariamente.

https://www.tecmundo.com.br/senha/3077-o-que-e-token-.htm

Olha, já tive tokens pra acesso a internet banking, e o token precisava ser cadastrado/atualizado na minha conta pela agência, para que minha conta reconhecesse as senhas emitidas por ele. Então eu acho que precisava sim de sincronização.

Muito cuidado com os comentários galera, pois há fontes que dizem que as senhas do token não se repetem e outras dizem que podem ser repetidas sim.

Acho que entendi essa parte da sincronização com o sistema autenticador. O Token distribui senhas. Se fossem guardadas todas as senhas, abriria uma oportunidade para haver invasões pelos crackers. Então, é mais seguro não haver uma "sincronização"para evitar, por ex, a entrada de malwares.

BELA QUESTÃO PORÉM COM FINAL ERRADO!

FERNANDO NI.....

SER CAVEIRA...

O erro consiste em dizer que é usado uma única Vez?

arimaria

De acordo com uma matéria da revista super Interessante sobre tokens, o gabarito seria correto.

"Com um sistema gerador de senhas temporárias sincronizado com o banco. Ele segue o modelo OTP (“one-time password”), ou seja, que gera senhas descartáveis, que têm tempo de duração pré-determinado (em geral, de 30 ou 60 segundos).

Salvo o "sistema autenticador" não seja, necessariamente, o banco.

Eu vou colocar meu achismo + pesquisa aqui kkk. Diferente dos colegas acredito que o erro esteja na parte "exige sincronização"

• Pode ser de forma sincronizada ou não sincronizada, o "Exige" tornou a questão errada.
• Essas que usamos em bancos, steam, etc é a sincronizada (em regra), porque usa além de uma chave secreta um tempo determinado de validade.

"Depending upon the vendor, an OTP (one-time password token) token will generate a PIN synchronously or asynchronously. Synchronous tokens use a secret key and time to create a one-time password. Asynchronous tokens use a challenge-response authentication mechanism (CRAM)"

Fonte: https://searchsecurity.techtarget.com/definition/one-time-password-token-OTP-token#:~:text=A%20one%2Dtime%20password%20token,two%2Dfactor%20and%20multifactor%20authentication.

token= conjunto de chaves usada a cada acesso

devem ser compartíveis com as chaves do sistema

podem ser usadas várias vezes

podem se repetir