|
|
 |
|
O FW-Token é a
solução de criptografia forte para
autenticação de 2 vias baseada no conceito OTP (One
time password), que é recomendado pela
organização Open AuTHentication (OATH).
O FW-Token combate com tecnologia e inteligência ataques e
fraudes virtuais. Além de fácil de ser utilizado, o
FW-Token não necessita de nenhum dispositivo de
segurança adicional, pois faz uso dos celulares, PDAs
e PCs para gerar senhas únicas que são
válidas para um único acesso, garantindo
segurança e comodidade para os usuários.
"The growth of mobile
computing combined with the rise in malicious attacks, especially
the mounting concern over identity theft and phishing, has
increased the need for strong authentication for remote access,
user login, and single sign-on OATH-compliant soft token solutions
extend two-factor authentication support through devices that are
in common use, such as mobile phones, PDAs, and PCs, which could
help to extend this level of security to a broader audience of
users."
Joe Greene
VP IT Security Research, IDC
|
|
O PROBLEMA
As aplicações onde a autenticação de
usuário é vital, como Internet Bankings, sites de
e-commerce e extranets têm milhões de usuários,
e a tendência é que cada vez mais a internet seja a
plataforma preferida, seja pela comodidade ou pela rapidez.
Enquanto a cultura de utilização de
serviços pela internet esta sendo rapidamente disseminada, a
quantidade de crimes virtuais e acesso a dados sigilosos têm
aumentado exponencialmente. Com o aumento da criminalidade na
internet, empresas provedoras de serviços online têm
oferecido aos usuários mecanismos alternativos de
segurança como teclados virtuais, dispositivos de token de
segurança, cartões com números de
segurança e outros. Com isto, boa parte do fardo e
preocupação com processos de segurança foram
transferidos para o usuário, que agora precisa ter esses
dispositivos sempre em mãos.
Se por um lado, são necessários mecanismos de
autenticação mais seguros, por outro, é
inconcebível acreditar que cada um desses usuários
irá receber um dispositivo proprietário para garantir
a segurança do acesso, devido a problemas óbvios de
custo e logística.
|
|
A SOLUÇÃO
O FW-Token transforma seu celular, PDA e PC em um dispositivo de
token de password único (One-Time Password OTP), oferecendo
a bancos, empresas e provedores de serviços online uma
solução de autenticação de
usuário extremamente forte, sem a necessidade de
dispositivos adicionais.
Soluções de One Time Password (OTP) geralmente
requerem o uso de dispositivos proprietários de
segurança. O FW-Token utiliza o celular, o PDA ou o POCKET
PC do usuário. Tradicionalmente, soluções de
OTP são de "via única", ou seja, o usuário se
autentica no servidor, mas o servidor não se autentica para
o usuário, levando a técnicas de ataque conhecidas
como phishing, onde um site fraudulento tenta capturar
informações do usuário. O FW-Token oferece uma
solução de OTP de dois fatores e duas vias, que
possibilita a autenticação tanto do usuário
quanto do servidor.
O FW-Token trabalha com qualquer dispositivo que suporte a
plataforma JAVA (R), incluindo Windows Mobile, Blackberry, Symbian
OS e PALM OS alem de praticamente todos s celulares lançados
nos últimos 2 anos.
|
|
VANTAGENS
- Simplicidade;
- Não requer nenhum dispositivo proprietário;
- O mecanismo de geração do token não
requer nenhuma comunicação com o servidor, e
portanto, é mais rápido e mais barato;
- O usuário não necessita carregar nenhum
dispositivo ou cartão de segurança;
- O FW-Token roda em diversos dispositivos como Celulares,
Palms, PDAs e Pocket PCs;
- Facilidade de instalação e impacto mínimo
na integração;
- Resistente a keyloggers;
- Resistente a ataques de phishing;
- Resistente a ataques de man-in-the-middle.
|
|
VANTAGENS EM RELAÇÃO AO MECANISMO
BASEADO EM SMS
- Para receber mensagens SMS, o dispositivo/celular do
usuário deve estar em uma região onde o sinal da
operadora é forte o suficiente. O FW-Token não
necessita de tal comunicação;
- A mensagem SMS não é criptografada, facilitando
ataques maliciosos;
- Uma pessoa mal intencionada pode ver o ultimo SMS recebido
pelo seu celular e utiliza-lo novamente;
- Não existe garantia do tempo de entrega de mensagens
SMS. A senha pode demorar vários minutos para ser recebida,
variando de acordo com o trafego;
- Cada SMS enviado tem um custo;
- Uma mensagem SMS não pode ser recebida por um PALM ou
Pocket PC.
|
|
CARACTERÍSTICAS TÉCNICAS
A solução é composta de dois
módulos:
- Mobile FW-Token
Uma aplicação Java micro edition que é
instalada no celular do usuário. Uma vez instalada, a
aplicação gera passwords únicos (OTP) que
só valem para uma transação.
- FW-Token Server
A aplicação que reside no servidor WEB e é
responsável pela validação dos tokens (OTP) e
autenticação dos usuários. Para proporcionar
a devida segurança, o FW-Token faz uso de avançados
algoritmos de criptografia e padrões de indústria
largamente utilizados.
|
|
 |
|
|
|
|
