● 84 entries

Identidade e acesso

Access TokenCredencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
Acesso Just-in-TimeModelo de acesso que concede permissões elevadas ou sensíveis apenas por tempo limitado e para uma tarefa específica, revogando-as automaticamente depois.
Active DirectoryServiço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
Aplicacao de Mensagens SeguraAplicacao de comunicacoes cuja predefinicao aplica criptografia de ponta a ponta, verificacao de identidade e forward secrecy para que so os participantes leiam as mensagens.
AutenticaçãoProcesso de verificar que uma entidade — utilizador, dispositivo ou serviço — é realmente quem afirma ser antes de conceder acesso.
Autenticacao AdaptativaAbordagem de autenticacao que ajusta em tempo real a forca e o numero de fatores exigidos com base em sinais como dispositivo, localizacao e comportamento.
Autenticacao Baseada em Risco (RBA)Estrategia de autenticacao que calcula em tempo real um score de risco por login e ajusta a resposta — permitir, desafiar ou bloquear — em funcao disso.
Autenticação biométricaMétodo de autenticação que verifica a identidade com base em traços físicos ou fisiológicos únicos, como impressões digitais, rosto, íris ou voz.
Autenticacao ContinuaAbordagem que valida a identidade do utilizador durante toda a sessao com sinais comportamentais e de dispositivo, em vez de o fazer apenas no login.
Autenticação em dois fatores (2FA)Forma específica de MFA que exige exatamente dois fatores — habitualmente uma palavra-passe e um segundo fator — para verificar a identidade.
Autenticação multifator (MFA)Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
Autenticacao MutuaTroca de autenticacao em que ambas as partes — cliente e servidor, ou dois servicos — provam criptograficamente a sua identidade antes de trocar dados.
Autenticação NTLMProtocolo legado de autenticação do Windows do tipo desafio-resposta que prova a identidade através do hash da palavra-passe, hoje considerado fraco.
Autenticação por pushMétodo de MFA em que o fornecedor de identidade envia um pedido de início de sessão a uma aplicação móvel de confiança, que o utilizador aprova ou rejeita com um toque.
Autenticacao Step-UpPadrao que exige fatores de autenticacao adicionais ou mais fortes quando o utilizador realiza uma operacao de risco mais alto do que a sessao foi originalmente autorizada para.
AutorizaçãoProcesso que decide o que uma identidade já autenticada pode fazer — que recursos, ações e condições lhe são permitidos.
Bearer Token (token ao portador)Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.
Biometria comportamentalTécnica de autenticação contínua que perfila comportamentos únicos — ritmo de digitação, movimentos de rato, marcha ou gestos táteis — para detetar impostores.
Bloqueio de ContaControlo que bloqueia, temporaria ou permanentemente, tentativas de login apos um numero configurado de falhas consecutivas para travar adivinhacao em linha.
BPF LSMModulo de Seguranca do Linux que permite a programas eBPF verificados ligar-se a hooks LSM e aplicar decisoes personalizadas de controlo de acesso obrigatorio sobre syscalls, ficheiros, sockets e capabilities.
Capabilities do LinuxFuncionalidade do kernel Linux baseada no rascunho POSIX.1e que divide o privilegio omnipotente do root em mais de 40 capabilities discretas, atribuiveis de forma independente a processos e ficheiros.
Chave de API (API Key)String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido a API.
Cofre de credenciaisServiço centralizado e auditado que armazena, roda e medeia em segurança o acesso a segredos como palavras-passe, chaves de API, certificados e chaves SSH.
Conta de serviçoIdentidade não humana usada por uma aplicação, script ou serviço para se autenticar noutros sistemas, normalmente sem início de sessão interativo.
Contabilização (AAA)Terceiro pilar do modelo AAA: registar o que uma identidade autenticada fez, quando, de onde e sobre que recursos, para auditoria e faturação.
Controlo de Acesso Baseado em Atributos (ABAC)Modelo de autorização que avalia políticas sobre atributos do sujeito, do recurso, da ação e do ambiente para decidir se um pedido de acesso é autorizado.
Controlo de Acesso Baseado em Funções (RBAC)Modelo de autorização que atribui permissões a funções em vez de diretamente aos utilizadores, que herdam o acesso através das funções que lhes são atribuídas.
Controlo de Acesso Discricionário (DAC)Modelo de controlo de acesso em que o proprietário de um recurso decide quem pode aceder e que operações pode realizar.
Controlo de Acesso Obrigatório (MAC)Modelo de controlo de acesso em que uma política central — e não o proprietário do recurso — impõe decisões a partir de classificações e habilitações atribuídas a sujeitos e objetos.
Credencial verificávelAfirmação assinada criptograficamente e à prova de adulteração, emitida por uma parte sobre um sujeito, expressa no modelo Verifiable Credentials do W3C.
Criptografia de Ponta a Ponta (E2EE)Modelo de criptografia em que apenas os extremos da comunicacao possuem as chaves, de modo que servidores intermediarios e operadores de rede nao conseguem ler o texto claro.
Detecao de Viagem ImpossivelDetecao que sinaliza inicios de sessao sucessivos a partir de localizacoes geograficas demasiado distantes para terem sido percorridas no tempo decorrido.
Entropia de SenhaMedida em bits da imprevisibilidade de uma senha: quanto maior a entropia, mais tentativas o atacante precisa para descobri-la.
Enumeração de contasAtaque que abusa das respostas de uma aplicação para determinar que contas, e-mails ou telefones existem no sistema alvo.
Enumeração de nomes de utilizadorForma específica de enumeração de contas em que as respostas da aplicação confirmam se um dado nome de utilizador existe, ajudando a focar ataques subsequentes.
Fadiga de MFA (Push Bombing)Ataque em que o adversario, ja com a senha valida, inunda a vitima de notificacoes push de MFA ate que esta aprove uma por confusao ou cansaco.
Fator de conhecimento (algo que voce sabe)Fator de autenticacao baseado em informacao que o usuario sabe, como senha, PIN, frase secreta ou resposta a uma pergunta de seguranca.
Fator de inerencia (algo que voce e)Fator de autenticacao baseado em uma caracteristica biometrica do usuario, como digital, rosto, iris, voz ou ritmo de digitacao.
Fator de localizacao (onde voce esta)Fator de autenticacao contextual que usa a localizacao geografica ou de rede do usuario (GPS, geolocalizacao por IP, Wi-Fi do escritorio) para avaliar um logon.
Fator de posse (algo que voce tem)Fator de autenticacao baseado em um item fisico ou criptografico de posse do usuario, como token de hardware, smart card, app autenticador ou telefone registrado.
Fator de tempo (autenticacao)Fator de autenticacao contextual que restringe ou avalia o acesso conforme a hora do dia, o dia da semana ou a duracao da sessao, geralmente combinado com politicas baseadas em risco.
FIDO2Padrão aberto de autenticação da FIDO Alliance que combina WebAuthn (API do navegador) e CTAP (protocolo do autenticador) para um início de sessão sem palavra-passe e resistente a phishing.
Frase-passeSequência longa de palavras ou caracteres usada como segredo de autenticação, escolhida sobretudo pela alta entropia e facilidade de memorização, e não pela complexidade.
Gestão de Acesso Privilegiado (PAM)Conjunto de práticas e ferramentas que protegem, controlam, monitorizam e auditam o acesso a contas e sistemas com privilégios administrativos elevados.
Gestão de Identidades e Acessos (IAM)Disciplina e conjunto de tecnologias para definir identidades digitais e controlar a que recursos cada identidade pode aceder e em que condições.
Gestão de sessõesConjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
Gestor de palavras-passeAplicação que gera, armazena e preenche automaticamente credenciais únicas e fortes, protegida por uma frase mestra e, cada vez mais, por passkeys.
Identidade auto-soberana (SSI)Modelo de identidade em que pessoas ou organizações detêm e apresentam diretamente as suas credenciais, sem depender de um fornecedor de identidade central.
Identidade de máquinaIdentidade criptográfica de uma entidade não humana — carga de trabalho, dispositivo, contentor ou cliente de API — utilizada para autenticação e estabelecimento de confiança com outros sistemas.
Identidade digitalConjunto de identificadores, credenciais e atributos que representa uma pessoa, organização ou dispositivo nos sistemas online.
Identidade dos colaboradoresIdentidades, credenciais e direitos de acesso de colaboradores, prestadores e serviços internos de uma organização, por oposição à identidade de clientes (CIAM).
Identidade federadaArquitetura em que diferentes organizações ou domínios confiam num fornecedor de identidade comum para que os utilizadores usem a mesma identidade em todos eles.
Identificador descentralizado (DID)Identificador padronizado pelo W3C que o sujeito controla diretamente, sem registo centralizado, e que se resolve num documento com material criptográfico.
Impersonacao de TokenTecnica de elevacao de privilegios no Windows (MITRE ATT&CK T1134) em que o atacante duplica um token de acesso existente e o usa para executar codigo no contexto de outro utilizador.
Início de sessão único (SSO)Esquema de autenticação que permite a um utilizador iniciar sessão uma única vez num fornecedor de identidade de confiança e aceder depois a várias aplicações sem reintroduzir credenciais.
JWT (JSON Web Token)Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
KerberosProtocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
LDAPLightweight Directory Access Protocol, padrão do IETF para consultar e modificar serviços de diretório hierárquicos sobre TCP/IP, normalmente nas portas 389 ou 636 com TLS.
Login com Magic LinkFluxo de autenticacao sem senha em que o utilizador recebe um URL de uso unico por e-mail ou SMS que, ao ser clicado, autentica a sessao.
Login SocialPadrao de autenticacao em que os utilizadores entram num site de terceiros usando a sua identidade existente em Google, Apple, Microsoft, Facebook, GitHub e similares.
Modelo AAAModelo fundamental de controlo de acesso composto por três funções encadeadas: autenticação, autorização e contabilização.
Modo Kernel vs Modo UtilizadorOs dois niveis de privilegio de CPU aplicados pelos sistemas operativos modernos: modo kernel (supervisor, ring 0) com acesso completo ao hardware, e modo utilizador (ring 3) restrito ao seu espaco de enderecos e a instrucoes limitadas.
OAuth 2.0Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
OpenID Connect (OIDC)Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
Palavra-passeCadeia secreta de caracteres que o utilizador fornece para provar a sua identidade a um sistema; tradicionalmente, o mecanismo de autenticação de fator único dominante.
Palavra-passe de uso único (OTP)Código numérico curto válido para uma única tentativa de início de sessão ou uma janela de tempo curta, normalmente usado como segundo fator.
PasskeyCredencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.
Politica de SenhasConjunto documentado de regras sobre como as senhas dos utilizadores sao criadas, armazenadas, rodadas e validadas para equilibrar seguranca e usabilidade.
Princípio do menor privilégioPrincípio de segurança que concede a cada utilizador, processo ou serviço apenas os privilégios estritamente necessários para desempenhar a sua função.
Protocolo SignalProtocolo de criptografia de ponta a ponta desenvolvido pela Open Whisper Systems para o mensageiro Signal, combinando o acordo X3DH com o algoritmo Double Ratchet.
Recolha de credenciaisRecolha em larga escala de utilizadores, palavras-passe, tokens e outros segredos de autenticação, geralmente para posterior tomada de conta ou venda.
Refresh TokenCredencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
Replay de sessãoTécnica de analytics de UX que regista DOM, cliques, scrolls e teclas de uma sessão real para depois ser reproduzida e analisada.
Reutilização de palavras-passePrática de usar a mesma palavra-passe em várias contas ou serviços, permitindo que uma única violação comprometa muitas delas.
SAMLNorma aberta baseada em XML para troca de asserções de autenticação e autorização entre um fornecedor de identidade e um fornecedor de serviço.
SeDebugPrivilegePrivilegio extremamente poderoso do Windows que permite ao detentor abrir, ler e modificar a memoria de qualquer processo — incluindo o LSASS — tornando-o alvo prioritario do roubo de credenciais.
Senha de uso único baseada em HMAC (HOTP)Algoritmo de OTP baseado em eventos definido pela RFC 4226 que deriva um código curto a partir de um segredo partilhado e de um contador monotonamente crescente.
Senha de uso único baseada em tempo (TOTP)Algoritmo de senha de uso único definido pela RFC 6238 que deriva um código curto a partir de um segredo partilhado e da hora atual, renovado a cada 30 segundos.
Senha Vazada (Pwned)Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt.
Token CSRFValor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas.
Token de sessaoIdentificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
U2F (Universal 2nd Factor)Padrão aberto de autenticação da FIDO Alliance que acrescenta um segundo fator de hardware à palavra-passe através de uma chave de segurança USB, NFC ou Bluetooth.
User Account Control (UAC)Funcionalidade de seguranca do Windows introduzida no Vista que executa sessoes interativas com um token limitado e solicita consentimento ou credenciais antes de elevar uma acao administrativa.
WebAuthnAPI JavaScript padrão do W3C que permite às aplicações web registar e autenticar utilizadores com credenciais de chave pública guardadas em autenticadores de plataforma ou itinerantes.