No manual de instalação de certificado digital para acesso aos sistemas de uma grande empresa me chamou a atenção uma parte sobre a instalação do token:
“No campo “Introduza o PUK”, informe o PUK padrão: 12345678”
Certificado digital e identificação de duplo fator não combinam com “PUK padrão”.
Mas o que exatamente são PIN e PUK?
Explico:
O PIN
PIN é Personal Identification Number, Número de Identificação Pessoal. É uma senha, nada mais.
Funciona assim:
Para identificar uma pessoa, temos três grandes abordagens em medidas de segurança:
- O que você sabe: Uma senha, uma data de nascimento, o nome de um parente etc.
- O que você tem: Um token, um cartão, um telefone etc.
- O que você é: Sua digital, sua íris, sua voz etc.
Uma primeira conclusão: quando se fala em autenticação de dois fatores se está se falando em usar duas das abordagens para o acesso, como exemplos:
- Senha + código enviado por SMS –> O que você sabe, a senha e o que você tem, o telefone;
- Senha + impressão digital –> O que você sabe, a senha e o que você é, sua impressão digital;
- Senha + cartão;
- Impressão digital + código enviado por SMS.
Pode-se citar um sem fim de combinações.
Voltando ao token: Em si ele já é uma combinação de dois fatores, o próprio token, que contém sua chave pública, e a proteção por senha, que seria sua assinatura.
Por segurança, se errar a senha PIN por 3 vezes o token é bloqueado.
Perdi o token? Ainda não, se tiver a senha PUK, será possível recuperar, veja no tópico seguinte:
O PUK
PUK é PIN Unlock Key, ou Chave para desbloqueio do PIN.
Ou seja, é uma segunda senha usada na seguinte situação:
Esqueceu o PIN, errou por um número de vezes maior que o permitido e bloqueou o acesso, a PUK permitirá recuperar o acesso, permitindo trocar a senha PIN.
Ou seja, bloqueou a senha PIN, é possível trocá-la com o uso da senha PUK.
Se errou a PIN e esqueceu a PUK, não há o que fazer, será preciso emitir um novo certificado.
Em tempo: O token é só o suporte físico para o certificado. Assim, se bloquear a senha PIN e não tiver a senha PUK, poderá aproveitar o token físico, basta apagá-lo e gravar um novo certificado.
Conclusão
Aposto que, conhecendo o que são PIN e PUK, tu já percebeste a falha de segurança da empresa, ao recomendar, em seu manual, a senha PUK padrão 12345678 para todos os funcionários.
Imagino que quem elaborou o manual não seja da área de TI e pensou na economia pela empresa: Vamos distribuir os tokens, um monte de gente vai bloquear, teremos perdas com a mão de obra e com a compra de novos tokens… então, a PUK padrão vai salvar!
Na prática o manual tornou o uso de certificado digital inútil, pois bastará ao mal intencionado furtar uma peça e trocar a PIN com a PUK padrão.
Grosso modo a empresa distribuiu cadeados todos com a mesma chave.
Na pratica
[em construção]
Deixe um comentário