-
Acredito que ARMAZENAR SENHAS não seja uma boa pratica da gestão dos controles de acesso lógico.
-
Exatamente Amanda, geralmente é armazenado o hash da senha, nunca a senha em si, mesmo que criptografada.
-
O erro das questão está em afirmar que se deve usar técnicas visíveis.
-
Também acho, Bruno. Eu li o "senha criptografada" como hash...
-
Pessoal, o hash da senha, formato pelo qual as senhas devem ser armazenadas, é uma senha criptografada, então, pelo menos essa parte do texto está correta. A assertiva pecou em dizer que se utilizam técnicas visíveis de identificação.
https://www.alura.com.br/artigos/como-armazenar-senhas-no-banco-de-dados-de-forma-segura
-
▪Controles Físicos: são barreiras que impedem ou limitam o acesso físico direto às informações ou à infraestrutura que contém as informações. Ex: portas, trancas, paredes, blindagem, vigilantes, geradores, sistemas de câmeras, alarmes, catracas, cadeados, salas-cofre, alarmes de incêndio, crachás de identificação, entre outros.
▪ Controles Lógicos: também chamados de controles técnicos, são barreiras que impedem ou limitam o acesso à informação por meio do monitoramento e controle de acesso a informações e a sistemas de computação. Ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria1 , IDS, IPS, entre outros.
Fonte: Estratégia
Acredito que com base nisso, o erro está nas "técnicas visíveis"
-
Há quem diga que o erro está em "armazenar senhas criptografadas", mas discordo, pois, de fato, a senha criptografada (hash) deverá estar necessariamente salva em algum lugar, do contrário, não existiria possibilidade de login futuro.
O erro da questão, acredito, está na não correspondência entre "controles de acesso lógico" e "técnicas visíveis de identificação".
As boas práticas da gestão dos controles de acesso lógico de uma organização incluem atribuir direitos de acesso aos usuários, conforme necessidades reais de seu trabalho ou cargo, disponibilizar contas de usuários apenas a pessoas autorizadas, armazenar senhas criptografadas e usar técnicas visíveis de identificação.
-
· ATRIBUIÇÃO DE ACESSOS CONFORME NECESSIDADES
· CONTAS USUÁRIOS APENAS A PESSOAS AUTORIZADAS
· SENHAS não armazenadas = Senha é na cabeça
· TÉCNICAS INVISÍVEIS DE IDENTIFICAÇÃO = ID + SENHA: ********
-
A ePING é concebida como uma estrutura básica para a estratégia de transformação digital de governo, aplicada aos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp). Permite racionalizar investimentos em TIC, por meio do compartilhamento, reuso e intercâmbio de recursos tecnológicos.
https://www.gov.br/governodigital/pt-br/governanca-de-dados/interoperabilidade
-
Xarabisca xarabacanta
-
E o que diabos seriam essas tais "técnicas visíveis de identificação"?
-
Erros em vermelhos!!!
As boas práticas da gestão dos controles de acesso lógico de uma organização incluem atribuir direitos de acesso aos usuários, conforme necessidades reais de seu trabalho ou cargo, disponibilizar contas de usuários apenas a pessoas autorizadas, armazenar senhas criptografadas e usar técnicas visíveis de identificação.
Os direitos de acesso precisam ser concedidos com base nos papeis de trabalho e não com base no cargo. Segundo[1], Convém que os proprietårios dos ativos determinem regras apropriadas do controle de aæsso, direitos de acesso e restricoes para papéis especificos dos usuårios acessarem seus ativos, com o nivel de detalhe e o rigor dos controles que reflitam os riscos de seguranqa da informaqäo associados.
Convém que sejam considerados os controles de acesso logico e fisico (ver Seção 11) de forma conjunta. Convém que uma declaracäo nitida dos requisitos do negöcio a serem atendidos pelo controle de acesso seja fornecida aos usuårios e provedores de servicos.
Convém que a leve em consideraqäo os seguintes itens:
- Disponibilizar contas de usuários apenas a pessoas autorizadas,
Quanto às tecnicas visiveis de identificação, estas são usadas no controle fisico (o famoso cara cacha)...não no lógico.
Fonte:
[1] ISO 27002:2013
-
Vamos pedir comentário do professor, a questão é nova e cada um tem um percepção diferente do erro.
-
ERRADO
A questão fala de ACESSO LÓGICO, ou seja, acesso à rede, aos sistemas de informação e outros.
TÉCNICAS VISÍVEIS DE IDENTIFICAÇÃO estão ligadas ao acesso físico, como o uso de CRACHÁS, por exemplo.
Quanto às senhas, elas são armazenadas de forma criptografada no banco, não se armazena o valor real, mas o resultado de um processo criptográfico ou algum hash gerado. Logo, não essa proposta não está errada.
@rodolfodalves
-
Pessoal está falando que não deve armazenar senha, CUIDADO pessoal o sistema deve sim armazenar a senha, afinal se não armazenar como o sistema vai autorizar o acesso? E terceirizar (API) este serviço também pode apresentar riscos. O mais correto seria armazenar o HASH da senha, mas entretanto armazenar a criptografia de uma senha não é o ideal.
-
Vejamos o que sumariza a documentação da RNP como boas práticas:
Para a devida gestão de controle de acesso lógico de uma organização, algumas boas práticas são recomendadas a seguir:
- Atribuir direitos de acesso aos usuários, segundo as necessidades reais de seu trabalho/cargo;
- Revisar regularmente as listas de controle de acesso e capacidades;
- Disponibilizar contas de usuários apenas a pessoas autorizadas;
- Armazenamento de senhas criptografadas;
- Manter e analisar logs e trilhas de auditoria.
Veja que a única boa prática que não está listada é "usar técnicas visíveis de identificação", motivo pelo qual a questão está incorreta. O Uso de técnicas visíveis de identificação é uma boa prática de acesso físico, não lógico.
Fonte:
Gestão da segurança da informação: NBR 27001 e NBR 27002 / Flavia Estélia Silva Coelho, Luiz Geraldo Segadas de Araújo, Edson Kowask Bezerra. – Rio de Janeiro: RNP/ESR, 2014.