Hoje em dia, existe um aumento da dependência de sistemas de computador em quase todos os aspectos dos negócios, comércio e educação, e por isso muitas organizações estão confiando na efetividade de seus sistemas para terem sucesso. O aumento da ênfase em segurança de computadores significa que apenas pessoas autorizadas poderão acessar as informações armazenadas nos sistemas. Neste contexto, destaca-se a importância da autenticação de usuários.
A definição mais geral de autenticação dentro de sistemas de computação engloba a verificação da identidade, autenticação da origem e conteúdo da mensagem. O conceito de verificação de identidade, especificamente, aplica-se a usuários humanos, sistemas de computação e processos executando nesses sistemas. A autenticação pelo conhecimento de uma informação secreta ou a pela posse de um dispositivo físico de autenticação único são igualmente válidos para todos os tipos de entidades descritos acima. Por outro lado, autenticação biométrica apenas tem sentido no contexto de seres humanos [KIM95].
Mecanismos de autenticação confiáveis são críticos para a segurança de qualquer sistema de informação automatizado [NAT94]. Quando um usuário legítimo é verificado, são aplicadas técnicas de controle de acesso para permitir seu acesso aos recursos do sistema. Se a identidade dos usuários legítimos puder ser verificada com um grau aceitável de certeza, as tentativas de acesso ao sistema sem a devida autorização podem ser negadas.
Existe uma variedade de métodos para executar autenticação de usuários, os quais formam a base dos sistemas de controle de acesso. As três categorias de métodos para verificação da identidade de um usuário são baseadas em: algo que ele sabe, tal qual uma senha; algo que o ele possui, tal qual um token de autenticação; e alguma característica física do usuário, tal qual a impressão digital ou padrão de voz. De modo a usar estas características para verificar a identidade de um indivíduo, os sistemas de computadores usam software, hardware ou a combinação dos dois [FIO98].
Com o advento da Internet, especialmente da WWW (World Wide Web) e do hipertexto, muito se tem investido no estudo e exploração da rede de computadores como uma ferramenta eficiente para o ensino [OSW97].
O objetivo dos sistemas de ensino a distância é proporcionar material instrucional para um número maior de alunos potencialmente espalhados em uma grande área. Desta forma, permite-se, por exemplo, que novos conhecimentos cheguem a alunos isolados dos grandes centros de ensino e que professores sejam compartilhados eficientemente por diversos alunos localizados em diferentes locais [MAC99].
Atualmente, existem várias estratégias de autenticação de usuários sendo utilizadas em aplicações comerciais. Porém, em ambientes de ensino a distância as restrições de ordem econômica e operacional são diferentes. Deve-se tanto buscar uma solução de menor custo, quanto uma maior simplicidade de procedimentos.
No ambiente de educação a distância, a autenticação é especialmente importante durante procedimentos de avaliação, embora também deva ser complementada por análise do comportamento ou padrão de uso do usuário durante sua utilização em condições normais de estudo. A qualificação do educando para atribuição de notas ou conceitos, em algumas situações, exige a verificação de que o avaliando seja ele próprio [RUT99]. Em [RIT97], também é demonstrada esta preocupação através da seguinte questão: "Como se ter certeza de que o aluno X é realmente o aluno X que ele diz ser?"
A maioria dos sistemas de educação a distância disponíveis no mercado tentam resolver o problema da autenticação do aluno através da combinação nome/senha, dentre eles o Learnig Space, Virtual-U, WebCt, TopClass e o AulaNet [LOP99]. Porém, existem vários problemas com autenticação baseada em senhas. Ela baseia a autenticação de um indivíduo em algo que pode ser copiado, esquecido ou adivinhado por uma pessoa não autorizada [BRO98]. Além disso, existem vários métodos que um intruso pode usar para atacar sistemas baseados em senhas [KES99], dentre eles adivinhação da senha (password guessing), ataque do dicionário (dictionary attack), monitoramento do tráfego na rede (sniffing), engenharia social, cavalos-de-tróia e cópia de anotações. Os CERTs (Computer Emergency Response Teams) estimam que aproximadamente 80% dos incidentes de segurança registrados são relacionados às senhas fracas.
O avanço da biometria, aliado à redução dos preços dos equipamentos, fez com que nos últimos anos surgissem dúzias de sistemas biométricos a baixo custo, abrindo a possibilidade de uso de dispositivos mais incrementados sem a necessidade de grandes investimentos.
No decorrer deste trabalho, várias estratégias de autenticação existentes serão analisadas com vistas a se determinar quais as que podem ser integradas em um ambiente de educação a distância. Buscar-se-ão aquelas que sejam factíveis de utilização, seja pelo custo ou quantidade de equipamentos extra envolvidos, seja pela simplicidade operacional ou pelo grau de certeza das medidas efetuadas.
Vale ressaltar que existe uma diferença entre autenticação para fins de educação a distância e para sistemas comerciais, ou seja, o sistema tem que ter algum mecanismo de proteção contra a "personificação" do usuário com a sua conivência, isto é, o aluno pede para outra pessoa fazer a prova em seu lugar. Deste modo, buscar-se-ão métodos que procurem minimizar este problema ou pelo menos dificultar este procedimento. Sabe-se, porém, que por mais sofisticada que seja a solução, sempre poderão existir métodos para enganar o sistema.
Este trabalho propõe-se a estudar as diferentes técnicas e mecanismos de autenticação de usuários aplicáveis em um cenário de educação à distância, analisando suas características e tendências futuras, e propondo um modelo mais completo, econômico e factível que satisfaça as características de segurança requeridas por este cenário.
A integração dos métodos de autenticação, que identificam o aluno e a máquina em que ele está trabalhando, com as rotinas de avaliação do procedimento de educação a distância, será um dos principais resultados esperados.
Após esta breve introdução, é apresentado, no capítulo 2, o estado da arte em termos de autenticação de usuários, assim como uma análise comparativa entre as principais soluções encontradas no mercado. O capítulo 3 descreve o modelo de autenticação proposto. No capítulo 4 são descritos os aspectos relacionados à implementação, implantação do protótipo e uma avaliação do sistema e, finalmente, o capítulo 5 contém as conclusões finais do trabalho.