[GTER] Falsidade.com.br

Omar Kaminski omark at bsi.com.br
Mon Dec 15 19:37:51 -02 2003


> André Fucs escreveu:


> > Nada impede que uma terceira pessoa,
> > de posse da senha (amigo, mulher, filho, etc),
> > utilize um certificado e se passe por outra
> > pessoa.
>
> A realidade não é bem essa. O certificado pode ser armazenado
> em smartcards o que "exigiria" a posse do mesmo. Trata-se de
> um mecanismo duplo de autenticação bastante utilizado e
> confiável, apesar de serem notórias as vulnerabilidades de
> alguns smartcards a ataques locais.

Concordo que não é essa a única realidade, longe disso. E mesmo os
smartcards podem ser utilizados por terceiros. Claro que não estamos falando
aqui da busca por um método ou sistema perfeito, já que nem os humanos o são
:)

> Vale lembrar que o e-CPF da classe A3 só pode ser emitido
> através de smartcards. Poderia se restringir o registro.br a
> certificados A3. Naturalmente essa solução complicaria
> significavelmente a vida do registro.br e eu sinceramente
> acho que isso não é a solução para nada. Não gosto do e-CPF e
> eu, assim como muitos outros profissionais de segurança
> procuramos questionar muitas das verdades apresentadas por
> certos vendedores.

Acho que não só complicaria a vida do registro.br mas também do usuário
comum: não se pode obrigar ninguém a usar certificação (salvo por lei), e
mesmo porquê, não é de graça.

[]s




More information about the gter mailing list