S3AS: uma Solução de Autenticação e Autorização através de Aplicativos de Smartphones

A crescente utilização de aplicativos, especialmente em dispositivosmóveis, como forma de autenticação de usuários está trazendo à tona novasoportunidades e desafios de segurança. Com o objetivo de modernizar suas formasde acesso, algumas instituições estão adotando QR Codes estáticos geradosa partir de informaçõoes simples e imutáveis, como o CPF dos seus associados.Esse procedimento possui implementação e verificação fáceis, mas representauma vulnerabilidade crítica sob a ótica da segurança. Com o objetivo de mitigaressa vulnerabilidade, este trabalho propõe uma Solução de Autenticaçãoe Autorização através de Aplicativos de Smartphones, denominada S3AS. Asolução proposta é composta de dois protocolos principais, um de vinculaçãode credenciais do usuário (i.e., identificação) ao dispositivo móvel e outro para a geração de códigos de autenticação descartáveis (OTACs). Ambos os protocolos foram formalmente verificados utilizando a ferramenta de verificação automática Scyther. Os resultados demonstram que os protocolos da S3AS são robustos e seguros segundo as an´alises automáticas realizadas com a ferramenta Scyther. Como forma de demonstrar o funcionamento e a viabilidade técnicada solução, foi implementado também um protótipo que simula o controle de acesso utilizando catracas eletrônicas.