S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones
Autor(a) principal: | |
---|---|
Data de Publicação: | 2019 |
Tipo de documento: | Trabalho de conclusão de curso |
Idioma: | por |
Título da fonte: | Repositório Institucional da UNIPAMPA |
Texto Completo: | http://dspace.unipampa.edu.br:8080/jspui/handle/riu/4790 |
Resumo: | A crescente utilização de aplicativos, especialmente em dispositivos móveis, como forma de autenticação de usuários está trazendo à tona novas oportunidades e desafios de segurança. Com o objetivo de modernizar suas formas de acesso, algumas instituições estão adotando QR Codes estáticos gerados a partir de informações simples e imutáveis, como o CPF dos seus associados. Esse procedimento possui implementação e verificação fáceis, mas representa uma vulnerabilidade crítica sob a ótica da segurança. Com o objetivo de mitigar essa vulnerabilidade, este trabalho propõe uma Solução de Autenticação e Autorização através de Aplicativos de Smartphones, denominada S3AS. A solução proposta é composta de dois protocolos principais, um de vinculação de credenciais do usuário (i.e., identificação) ao dispositivo móvel e outro para a geração de códigos de autenticação descartáveis (OTACs). Ambos os protocolos foram formalmente verificados utilizando a ferramenta de verificação automática Scyther. Os resultados indicam que os protocolos da S3AS são robustos e seguros segundo as análises automáticas realizadas com a ferramenta Scyther. Como forma de demonstrar o funcionamento e a viabilidade técnica da solução, foi implementado também um protótipo que simula o controle de acesso utilizando catracas eletrônicas. Os números das execuções experimentais indicam que o tempo gasto para geração e utilização de OTACs é baixo. Um OTAC pode ser gerado e verificado em menos de 1 (um) milissegundo utilizando a linguagem de programação Python. |
id |
UNIP_ff0042ed72adcdbf0e733da33cefb7ff |
---|---|
oai_identifier_str |
oai:repositorio.unipampa.edu.br:riu/4790 |
network_acronym_str |
UNIP |
network_name_str |
Repositório Institucional da UNIPAMPA |
repository_id_str |
|
spelling |
Kreutz, Diego LuisSilva, Rafael Fernandes da2020-02-26T17:35:32Z2020-02-26T17:35:32Z2019-11-28SILVA, Rafael Fernandes da. S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones. Orientador: Diego Luis Kreutz. 2019. 61 p. Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Federal do Pampa, Curso de Ciência da Computação, Alegrete, 2019.http://dspace.unipampa.edu.br:8080/jspui/handle/riu/4790A crescente utilização de aplicativos, especialmente em dispositivos móveis, como forma de autenticação de usuários está trazendo à tona novas oportunidades e desafios de segurança. Com o objetivo de modernizar suas formas de acesso, algumas instituições estão adotando QR Codes estáticos gerados a partir de informações simples e imutáveis, como o CPF dos seus associados. Esse procedimento possui implementação e verificação fáceis, mas representa uma vulnerabilidade crítica sob a ótica da segurança. Com o objetivo de mitigar essa vulnerabilidade, este trabalho propõe uma Solução de Autenticação e Autorização através de Aplicativos de Smartphones, denominada S3AS. A solução proposta é composta de dois protocolos principais, um de vinculação de credenciais do usuário (i.e., identificação) ao dispositivo móvel e outro para a geração de códigos de autenticação descartáveis (OTACs). Ambos os protocolos foram formalmente verificados utilizando a ferramenta de verificação automática Scyther. Os resultados indicam que os protocolos da S3AS são robustos e seguros segundo as análises automáticas realizadas com a ferramenta Scyther. Como forma de demonstrar o funcionamento e a viabilidade técnica da solução, foi implementado também um protótipo que simula o controle de acesso utilizando catracas eletrônicas. Os números das execuções experimentais indicam que o tempo gasto para geração e utilização de OTACs é baixo. Um OTAC pode ser gerado e verificado em menos de 1 (um) milissegundo utilizando a linguagem de programação Python.The increasing adoption of mobile applications as a means of user authentication is revealing new security challenges and opportunities. In order to modernize their physical authentication and authorization procedures (e.g., access turnstile), some institutions have been adopted static QR Codes generated using simple and static user data, as the Individual Taxpayer Registration (CPF, in Brazil). This procedure is easy to implement and verify, but it represents a critical security vulnerability. Aiming to mitigate this vulnerability, this paper proposes an Authentication and Authorization Solution based on Smartphone Applications, named S3AS. The proposed solution consists of two main protocols, one for binding user credentials to the mobile device (i.e., identification) and another one for generating one-time authentication codes (OTACs). Both protocols have been formally verified using the automatic verification tool named Scyther. Based on the automated analysis done with the Scyther tool, the results show that the S3AS protocols are robust and safe. A prototype to simulate access control using electronic turnstiles was also developed to demonstrate how the solution works and its deployment viability. The numbers of experimental runs indicate that the cost of using and generating OTACs is quite low. An OTAC can be generated and verified in less than 1 millisecond using the Python programming language.porUniversidade Federal do PampaUNIPAMPABrasilCampus AlegreteCNPQ::CIENCIAS EXATAS E DA TERRACiência da computaçãoSegurança da informaçãoAutenticaçãoComputer scienceInformation securityAuthenticationS3AS: uma solução de autenticação e autorização através de aplicativos de smartphonesinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/openAccessreponame:Repositório Institucional da UNIPAMPAinstname:Universidade Federal do Pampa (UNIPAMPA)instacron:UNIPAMPALICENSElicense.txtlicense.txttext/plain; charset=utf-81866https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/2/license.txt43cd690d6a359e86c1fe3d5b7cba0c9bMD52ORIGINALRafael Fernandes da Silva - 2019.pdfRafael Fernandes da Silva - 2019.pdfapplication/pdf1236036https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/1/Rafael%20Fernandes%20da%20Silva%20-%202019.pdf53de12450c7d6e0e3da1422d82b7644eMD51TEXTRafael Fernandes da Silva - 2019.pdf.txtRafael Fernandes da Silva - 2019.pdf.txtExtracted texttext/plain82386https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/3/Rafael%20Fernandes%20da%20Silva%20-%202019.pdf.txt119f945cd22f8230621a638666453cc5MD53riu/47902020-02-27 03:04:11.328oai:repositorio.unipampa.edu.br:riu/4790TElDRU7Dh0EgREUgRElTVFJJQlVJw4fDg08gTsODTy1FWENMVVNJVkEKCkNvbSBhIGFwcmVzZW50YcOnw6NvIGRlc3RhIGxpY2Vuw6dhLCB2b2PDqiAobyBhdXRvciAoZXMpIG91IG8gdGl0dWxhciBkb3MgZGlyZWl0b3MgZGUgYXV0b3IpIGNvbmNlZGUgYW8gUmVwb3NpdMOzcmlvIApJbnN0aXR1Y2lvbmFsIG8gZGlyZWl0byBuw6NvLWV4Y2x1c2l2byBkZSByZXByb2R1emlyLCAgdHJhZHV6aXIgKGNvbmZvcm1lIGRlZmluaWRvIGFiYWl4byksIGUvb3UgZGlzdHJpYnVpciBhIApzdWEgcHVibGljYcOnw6NvIChpbmNsdWluZG8gbyByZXN1bW8pIHBvciB0b2RvIG8gbXVuZG8gbm8gZm9ybWF0byBpbXByZXNzbyBlIGVsZXRyw7RuaWNvIGUgZW0gcXVhbHF1ZXIgbWVpbywgaW5jbHVpbmRvIG9zIApmb3JtYXRvcyDDoXVkaW8gb3UgdsOtZGVvLgoKVm9jw6ogY29uY29yZGEgcXVlIG8gRGVwb3NpdGEgcG9kZSwgc2VtIGFsdGVyYXIgbyBjb250ZcO6ZG8sIHRyYW5zcG9yIGEgc3VhIHB1YmxpY2HDp8OjbyBwYXJhIHF1YWxxdWVyIG1laW8gb3UgZm9ybWF0byAKcGFyYSBmaW5zIGRlIHByZXNlcnZhw6fDo28uCgpWb2PDqiB0YW1iw6ltIGNvbmNvcmRhIHF1ZSBvIERlcG9zaXRhIHBvZGUgbWFudGVyIG1haXMgZGUgdW1hIGPDs3BpYSBkZSBzdWEgcHVibGljYcOnw6NvIHBhcmEgZmlucyBkZSBzZWd1cmFuw6dhLCBiYWNrLXVwIAplIHByZXNlcnZhw6fDo28uCgpWb2PDqiBkZWNsYXJhIHF1ZSBhIHN1YSBwdWJsaWNhw6fDo28gw6kgb3JpZ2luYWwgZSBxdWUgdm9jw6ogdGVtIG8gcG9kZXIgZGUgY29uY2VkZXIgb3MgZGlyZWl0b3MgY29udGlkb3MgbmVzdGEgbGljZW7Dp2EuIApWb2PDqiB0YW1iw6ltIGRlY2xhcmEgcXVlIG8gZGVww7NzaXRvIGRhIHN1YSBwdWJsaWNhw6fDo28gbsOjbywgcXVlIHNlamEgZGUgc2V1IGNvbmhlY2ltZW50bywgaW5mcmluZ2UgZGlyZWl0b3MgYXV0b3JhaXMgCmRlIG5pbmd1w6ltLgoKQ2FzbyBhIHN1YSBwdWJsaWNhw6fDo28gY29udGVuaGEgbWF0ZXJpYWwgcXVlIHZvY8OqIG7Do28gcG9zc3VpIGEgdGl0dWxhcmlkYWRlIGRvcyBkaXJlaXRvcyBhdXRvcmFpcywgdm9jw6ogZGVjbGFyYSBxdWUgCm9idGV2ZSBhIHBlcm1pc3PDo28gaXJyZXN0cml0YSBkbyBkZXRlbnRvciBkb3MgZGlyZWl0b3MgYXV0b3JhaXMgcGFyYSBjb25jZWRlciBhbyBEZXBvc2l0YSBvcyBkaXJlaXRvcyBhcHJlc2VudGFkb3MgCm5lc3RhIGxpY2Vuw6dhLCBlIHF1ZSBlc3NlIG1hdGVyaWFsIGRlIHByb3ByaWVkYWRlIGRlIHRlcmNlaXJvcyBlc3TDoSBjbGFyYW1lbnRlIGlkZW50aWZpY2FkbyBlIHJlY29uaGVjaWRvIG5vIHRleHRvIApvdSBubyBjb250ZcO6ZG8gZGEgcHVibGljYcOnw6NvIG9yYSBkZXBvc2l0YWRhLgoKQ0FTTyBBIFBVQkxJQ0HDh8ODTyBPUkEgREVQT1NJVEFEQSBURU5IQSBTSURPIFJFU1VMVEFETyBERSBVTSBQQVRST0PDjU5JTyBPVSBBUE9JTyBERSBVTUEgQUfDik5DSUEgREUgRk9NRU5UTyBPVSBPVVRSTyAKT1JHQU5JU01PLCBWT0PDiiBERUNMQVJBIFFVRSBSRVNQRUlUT1UgVE9ET1MgRSBRVUFJU1FVRVIgRElSRUlUT1MgREUgUkVWSVPDg08gQ09NTyBUQU1Cw4lNIEFTIERFTUFJUyBPQlJJR0HDh8OVRVMgCkVYSUdJREFTIFBPUiBDT05UUkFUTyBPVSBBQ09SRE8uCgpPIERlcG9zaXRhIHNlIGNvbXByb21ldGUgYSBpZGVudGlmaWNhciBjbGFyYW1lbnRlIG8gc2V1IG5vbWUgKHMpIG91IG8ocykgbm9tZShzKSBkbyhzKSBkZXRlbnRvcihlcykgZG9zIGRpcmVpdG9zIAphdXRvcmFpcyBkYSBwdWJsaWNhw6fDo28sIGUgbsOjbyBmYXLDoSBxdWFscXVlciBhbHRlcmHDp8OjbywgYWzDqW0gZGFxdWVsYXMgY29uY2VkaWRhcyBwb3IgZXN0YSBsaWNlbsOnYS4KRepositório InstitucionalPUBhttp://dspace.unipampa.edu.br:8080/oai/requestsisbi@unipampa.edu.bropendoar:2020-02-27T06:04:11Repositório Institucional da UNIPAMPA - Universidade Federal do Pampa (UNIPAMPA)false |
dc.title.pt_BR.fl_str_mv |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
title |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
spellingShingle |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones Silva, Rafael Fernandes da CNPQ::CIENCIAS EXATAS E DA TERRA Ciência da computação Segurança da informação Autenticação Computer science Information security Authentication |
title_short |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
title_full |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
title_fullStr |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
title_full_unstemmed |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
title_sort |
S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones |
author |
Silva, Rafael Fernandes da |
author_facet |
Silva, Rafael Fernandes da |
author_role |
author |
dc.contributor.advisor1.fl_str_mv |
Kreutz, Diego Luis |
dc.contributor.author.fl_str_mv |
Silva, Rafael Fernandes da |
contributor_str_mv |
Kreutz, Diego Luis |
dc.subject.cnpq.fl_str_mv |
CNPQ::CIENCIAS EXATAS E DA TERRA |
topic |
CNPQ::CIENCIAS EXATAS E DA TERRA Ciência da computação Segurança da informação Autenticação Computer science Information security Authentication |
dc.subject.por.fl_str_mv |
Ciência da computação Segurança da informação Autenticação Computer science Information security Authentication |
description |
A crescente utilização de aplicativos, especialmente em dispositivos móveis, como forma de autenticação de usuários está trazendo à tona novas oportunidades e desafios de segurança. Com o objetivo de modernizar suas formas de acesso, algumas instituições estão adotando QR Codes estáticos gerados a partir de informações simples e imutáveis, como o CPF dos seus associados. Esse procedimento possui implementação e verificação fáceis, mas representa uma vulnerabilidade crítica sob a ótica da segurança. Com o objetivo de mitigar essa vulnerabilidade, este trabalho propõe uma Solução de Autenticação e Autorização através de Aplicativos de Smartphones, denominada S3AS. A solução proposta é composta de dois protocolos principais, um de vinculação de credenciais do usuário (i.e., identificação) ao dispositivo móvel e outro para a geração de códigos de autenticação descartáveis (OTACs). Ambos os protocolos foram formalmente verificados utilizando a ferramenta de verificação automática Scyther. Os resultados indicam que os protocolos da S3AS são robustos e seguros segundo as análises automáticas realizadas com a ferramenta Scyther. Como forma de demonstrar o funcionamento e a viabilidade técnica da solução, foi implementado também um protótipo que simula o controle de acesso utilizando catracas eletrônicas. Os números das execuções experimentais indicam que o tempo gasto para geração e utilização de OTACs é baixo. Um OTAC pode ser gerado e verificado em menos de 1 (um) milissegundo utilizando a linguagem de programação Python. |
publishDate |
2019 |
dc.date.issued.fl_str_mv |
2019-11-28 |
dc.date.accessioned.fl_str_mv |
2020-02-26T17:35:32Z |
dc.date.available.fl_str_mv |
2020-02-26T17:35:32Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
format |
bachelorThesis |
status_str |
publishedVersion |
dc.identifier.citation.fl_str_mv |
SILVA, Rafael Fernandes da. S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones. Orientador: Diego Luis Kreutz. 2019. 61 p. Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Federal do Pampa, Curso de Ciência da Computação, Alegrete, 2019. |
dc.identifier.uri.fl_str_mv |
http://dspace.unipampa.edu.br:8080/jspui/handle/riu/4790 |
identifier_str_mv |
SILVA, Rafael Fernandes da. S3AS: uma solução de autenticação e autorização através de aplicativos de smartphones. Orientador: Diego Luis Kreutz. 2019. 61 p. Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Federal do Pampa, Curso de Ciência da Computação, Alegrete, 2019. |
url |
http://dspace.unipampa.edu.br:8080/jspui/handle/riu/4790 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.publisher.none.fl_str_mv |
Universidade Federal do Pampa |
dc.publisher.initials.fl_str_mv |
UNIPAMPA |
dc.publisher.country.fl_str_mv |
Brasil |
dc.publisher.department.fl_str_mv |
Campus Alegrete |
publisher.none.fl_str_mv |
Universidade Federal do Pampa |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UNIPAMPA instname:Universidade Federal do Pampa (UNIPAMPA) instacron:UNIPAMPA |
instname_str |
Universidade Federal do Pampa (UNIPAMPA) |
instacron_str |
UNIPAMPA |
institution |
UNIPAMPA |
reponame_str |
Repositório Institucional da UNIPAMPA |
collection |
Repositório Institucional da UNIPAMPA |
bitstream.url.fl_str_mv |
https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/2/license.txt https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/1/Rafael%20Fernandes%20da%20Silva%20-%202019.pdf https://repositorio.unipampa.edu.br/jspui/bitstream/riu/4790/3/Rafael%20Fernandes%20da%20Silva%20-%202019.pdf.txt |
bitstream.checksum.fl_str_mv |
43cd690d6a359e86c1fe3d5b7cba0c9b 53de12450c7d6e0e3da1422d82b7644e 119f945cd22f8230621a638666453cc5 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
repository.name.fl_str_mv |
Repositório Institucional da UNIPAMPA - Universidade Federal do Pampa (UNIPAMPA) |
repository.mail.fl_str_mv |
sisbi@unipampa.edu.br |
_version_ |
1801849054537187328 |