Questões de Concurso
Sobre autenticação em segurança da informação
Foram encontradas 687 questões
No que se refere aos pilares da segurança da informação, um tem por objetivo assegurar que a informação deva estar correta, ser verdadeira e não estar corrompida, enquanto outro visa a garantir que um usuário é de fato quem alega ser. Paralelamente, códigos maliciosos, conhecidos como malware, são usados como intermediários para prática de golpes, realização de ataques e envio de spam. Dentre eles, um programa é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, está condicionada a uma ação prévia do usuário, como o acesso a um site específico de comércio eletrônico ou de Internet Banking. Nesse contexto, os dois pilares e o nome pelo qual é conhecido o malware descrito são, respectivamente:
Considerando boas práticas de Segurança da Informação, assinale a alternativa correta:
Acerca de modelos de controle de acesso e das arquiteturas de segurança RBAC (Role-Based Access Control) e Zero Trust, julgue o próximo item.
O modelo RBAC não é eficaz para a implementação do princípio do menor privilégio, pois suas funções tendem a conceder permissões amplas e não limitam o acesso somente ao necessário para tarefas específicas, o que compromete a segurança em ambientes de computação em nuvem.
A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente.
Em um sistema corporativo, a exigência de senha e de código gerado por aplicativo autenticador atende aos requisitos de múltiplos fatores de autenticação, pois combina um fator de conhecimento e um fator de posse.
Acerca de gestão de identidade e de acesso, privacidade, segurança por padrão e malware, julgue o item a seguir.
Em uma arquitetura corporativa que adota SSO via SAML 2.0, o authorization server do fluxo OAuth2 atua como identity provider responsável pela emissão das assertions SAML utilizadas no processo de autenticação entre o usuário e o service provider.
• Professores acessam remotamente o sistema acadêmico via portal web;
• Alunos utilizam login local nos computadores do laboratório;
• O servidor central exige autenticação mútua entre cliente e servidor durante a troca de informações sensíveis; e
• O diretor e os coordenadores utilizam dispositivos móveis com autenticação por reconhecimento facial.
Em relação a esse cenário hipotético, assinale, a seguir, o método de autenticação que está corretamente associado à tecnologia utilizada.
Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.
Como consequência de exploração de falhas de SQL Injection em aplicações vulneráveis, tem-se situações que resultam em bypass de autenticação e execução remota de comandos.
Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.
A referência insegura a objetos (insecure direct object reference) ocorre quando uma aplicação expõe um identificador de objeto interno, mas valida se o usuário autenticado estiver autorizado a acessá-lo.
No que diz respeito ao Oauth 2.0 e ao JSON Web Tokens (JWT), julgue o item subsequente.
O Oauth 2.0 baseia-se em tokens de acesso e depende do TLS para garantir segurança no transporte de dados.
No que diz respeito ao Oauth 2.0 e ao JSON Web Tokens (JWT), julgue o item subsequente.
A utilização do JWT e de um processo de comunicação implica a autenticação e a autorização dentro de qualquer sessão.
Considere o seguinte cenário: durante uma auditoria interna, Pedro identificou que diversos e-mails enviados aos colaboradores utilizavam o nome do gerente como remetente, embora o gerente não tivesse autorizado nenhuma dessas mensagens.
Considerando as consequências decorrentes da violação da autenticidade das informações identificada por Pedro, analise as assertivas e assinale a alternativa correta:
I – A falsificação do remetente pode induzir colaboradores a seguir orientações incorretas, comprometendo processos internos e gerando falhas operacionais.
II – A perda de confiança nas comunicações internas pode impactar negativamente o fluxo de trabalho, dificultando a identificação de mensagens realmente legítimas.
III – A violação da autenticidade pode abrir margem para ataques adicionais, como fraude interna ou execução de ações não autorizadas em nome de gestores.
IV – A circulação de informações falsas pode provocar retrabalho, atrasos e necessidade de revisão dos procedimentos afetados, elevando os custos operacionais.
• Somente membros do grupo “Comissoes_TI” podem acessar o sistema;
• Os servidores de aplicação consultam o AD via LDAP sobre TLS (LDAPS) na porta 636;
• O controle de acesso deve ser feito por Group-Based Access Control (GBAC), utilizando tokens Kerberos para autenticação;
• Um usuário reporta que, apesar de estar no grupo correto, não consegue acessar o sistema; o log do servidor mostra falha no atributo memberOf durante o processo de autorização.
Após uma análise cuidadosa, a equipe verifica que:
• O usuário realmente pertence ao grupo “Comissoes_TI”;
• As consultas LDAP são recebidas corretamente no Controlador de Domínio;
• O sistema realiza bind válido usando autenticação Kerberos; e
• A política de domínio está configurada para token group enumeration padrão.
Considerando o cenário, assinale a opção que apresenta a causa mais provável da falha de autorização e a ação correta para resolver o problema.
Considerando o objetivo de adicionar uma camada extra de proteção que vá além da senha, a medida de segurança mais adequada a ser implementada é
Considerando o objetivo de adicionar uma camada extra de proteção que vá além da senha, a medida de segurança mais adequada a ser implementada é