9.4 Autenticação Todo sistema computacional seguro deve exigir a autenticação do usuário, afinal, só conhecendo o usuário do sistema ele poderá identificar os arquivos e recursos que esse usuário pode acessar. Usar um computador pessoal para ter acesso a servidores em uma LAN corporativa sempre requer a obtenção de acesso que não pode ser ignorada pelos usuários. Hoje em dia muitas pessoas se conectam a computadores remotos (indiretamente) para realizar operações bancárias, fazer compras, e realizar outras operações comerciais. O que faz com que a validação do usuário seja um assunto realmente importante. A maioria dos métodos de autenticação se baseia em um ou dois princípios gerais de identificação: 1- Alguma coisa que o usuário sabe. 2- Alguma coisa que o usuário tem. 3- Alguma coisa que o usuário é. Às vezes dois desses princípios são necessários para segurança adicional. Esses princípios levam a esquemas de autenticação diferentes, com diversos tipos de complexidades e propriedades de segurança e quem quiser causar problemas em um sistema particular deve primeiro obter acesso àquele sistema. 9.4.1 Autenticação Usando Senhas A maneira mais usada de autenticação é pedir que o usuário digite um nome de usuário e uma senha. A implementação mais simples mantém uma lista central de pares (login, senha). O nome de entrada digitado é buscado na lista e a senha digitada comparada à senha armazenada. Se forem coincidentes o acesso é permitido. Lembrando que enquanto uma senha é digitada, o computador não deve exibir os caracteres digitados. Poucas pessoas sabem que mesmo possuindo um sistema de autenticação nos sistemas operacionais, o computador não está seguro, pois qualquer um pode acessar a configuração do sistema básico de entrada e saída (BIOS) antes que o sistema operacional seja iniciado e definir que o computador deve iniciar a partir de um dispositivo conectado que possua um sistema operacional completo e não a partir do disco rígido.