Proteção contra compartilhamento mal intencionado de credenciais

daniel.giacomelli · Agosto 22, 2022, 5:57pm

Visão Geral

O LATROMI possui muitas ferramentas de segurança disponíveis. Vamos relembrar algumas:

Autenticação de usuários
Autorização de usuários
Papéis de usuários
Grupos de usuários
Inativação de usuários
Restrições de acesso por Internet ou Intranet
Proteção contra ataques
Consultas detalhadas com informações de acesso dos usuários

Mesmo com todas essas ferramentas, há um fator determinante na segurança que é impossível de garantir:

A confiabilidade do usuário

Imagine se um usuário mal intencionado, que tem acesso a informações sigilosas e cruciais para a empresa, decide compartilhar as suas credenciais com algum concorrente, ou até mesmo com um “ladrão” de dados.

Este é o problema que vamos abordar nessa melhoria.

Exceções

Antes de abordarmos a solução para este problema, precisamos considerar que existem alguns casos onde é normal o histórico de sessões do usuário apresentar endereços de IP diferentes:

Home Office - Caso o usuário esteja trabalhando de casa, ele provavelmente estará usando um IP dinâmico. Neste caso não há como garantir qual IP estará designado para ele no momento da autenticação.
VPN - Estar conectado ou não a uma VPN afeta o IP designado para o usuário no momento da autenticação.
Acesso simultâneo - Caso o usuário precise realizar acessos simultâneos em um Computador (conectado à ethernet) e em um Celular (conectado à rede móvel), os dois acessos apresentarão IP’s diferentes.

Solução

Para proteger o sistema (ou pelo menos minimizar consideravelmente os riscos) contra o compartilhamento mal intencionado das credenciais, decidimos criar um parâmetro que quando habilitado, encerra automaticamente todas as sessões anteriores do usuário que estiverem em aberto no momento da autenticação.

Isso evitaria o uso das mesmas credenciais por mais de uma pessoa simultaneamente, pois sempre que uma pessoa tentar conectar, a outra seria desconectada.

Parâmetro

O parâmetro para habilitar/desabilitar essa proteção, deve ficar nas Configurações do Site na seção “Segurança”.

Nome	Opções
Permitir sessões simultâneas de usuários	- Sim (padrão) - Não - Mesmo IP

Esse parâmetro não se aplica aos acessos "anônimos" nem aos usuário de manutenção da LATROMI.

josimar.picoloto · Agosto 23, 2022, 1:08pm

Bom dia Daniel!
Isso já está disponivel ?
Tentei atualizar o site, recarregar as configurações porém não apresenta tal parâmetro.

daniel.giacomelli · Agosto 23, 2022, 1:12pm

Bom dia @josimar.picoloto!

Por enquanto só foi registrado no nosso #backlog, ainda não foi implementado.

Quando estiver disponível, atualizaremos este tópico informando em qual versão foi publicado.

daniel.giacomelli · Junho 21, 2023, 4:20pm

Publicado:

LATROMI Web Versão 3.5.419

system · Junho 28, 2023, 4:20pm

Este tópico foi fechado automaticamente 7 dias depois da última resposta. Novas respostas não são mais permitidas.