SAAS: Uma Solução de Autenticação para Aplicativos de Smartphones
Resumo
A crescente utilização de aplicativos em dispositivos móveis como forma de autenticação de usuários está trazendo à tona diferentes oportunidades e desafios de segurança. Por exemplo, o cartão virtual do SESC-RS utiliza um QR Code estático, contendo apenas o CPF do associado, como forma de autenticação, o que representa uma vulnerabilidade crítica sob a ótica da segurança. Neste trabalho é proposta uma solução de autenticação para aplicativos de dispositivos móveis, denominada SAAS, composta de dois protocolos principais, um de vinculação de credenciais do usuário (i.e. identificação) ao dispositivo móvel e outro para a geração de códigos de autenticação descartáveis, denominados OTACs. Como forma de demonstrar o funcionamento e a viabilidade da solução, foi implementado um protótipo que simula o controle de acesso utilizando catracas eletrônicas, uma das finalidades para as quais o cartão virtual do SESC-RS é utilizado.
Referências
Di Pietro, R., Me, G., and Strangio, M. A. (2005). A two-factor mobile authentication scheme for secure financial transactions. In International Conference on Mobile Business (ICMB’05), pages 28–34. IEEE.
Eldefrawy, M. H., Alghathbar, K., and Khan, M. K. (2011). OTP-Based Two-Factor Authentication Using Mobile Phones. In 8th Int. Conf. on Information Tech.: New Generations, pages 327–331.
Ferrag, M. A., Maglaras, L. A., Derhab, A., Vasilakos, A. V., Rallis, S., and Janicke, H. (2018). Authentication schemes for smart mobile devices: Threat models, countermeasures, and open research issues. CoRR, abs/1803.10281.
FGV (2019). Pesquisa Anual do Uso de TI. http://bit.do/fgv-sp.
Kaur, N., Devgan, M., and Bhushan, S. (2016). Robust login authentication using time-based OTP through secure tunnel. In 3rd Int. Conf. on Comp. for Sustainable Global Development, pages 3222–3226. IEEE.
Khamis, M., Hasholzner, R., Bulling, A., and Alt, F. (2017). GTmoPass: Two-factor Authentication on Public Displays Using Gaze-touch Passwords and Personal Mobile Devices. In 6th ACM International Symposium on Pervasive Displays, pages 8:1–8:9, New York, NY, USA. ACM.
Lee, Y. S., Kim, N. H., Lim, H., Jo, H., and Lee, H. J. (2010). Online banking authentication system using mobile-OTP with QR-code. In 5th Int. Conf. on Comp. Sciences and Convergence Information Technology, pages 644–648.
Maliki, T. E. and Seigneur, J. (2007). A Survey of User-centric Identity Management Technologies. In The Int. Conf. on Emerging Security Information, Systems, and Technologies, pages 12–17.
Pratama, A. and Prima, E. (2016). 2FMA-NetBank: A proposed two factor and mutual authentication scheme for efficient and secure internet banking. In 8th Int. Conf. on Information Tech. and Electrical Eng., pages 1–4.
Putra, D. S. K., Sadikin, M. A., and Windarta, S. (2017). S-Mbank: Secure mobile banking authentication scheme using signcryption, pair based text authentication, and contactless smart card. In 15th Int. Conf. on Quality in Research (QiR), pages 230–234.
SESC/RS (2018). SESC/RS lança aplicativo para acesso ao Cartão Virtual. http://bit.do/sesc-rs.
Starnberger, G., Froihofer, L., and Goeschka, K. M. (2009). Qr-tan: Secure mobile transaction authentication. In 2009 International Conference on Availability, Reliability and Security, pages 578–583.
Wu, L., Wang, J., Choo, K. R., and He, D. (2019). Secure key agreement and key protection for mobile device user authentication. IEEE Transactions on Information Forensics and Security, 14(2):319–330.
