A Principal Desvantagem Do Fluig
Este é um artigo de opinião.
Muito tem se falado em segurança da informação, constantes vazamentos de dados e reportes quase que diários de sistemas invadidos.
O fluig é uma plataforma que tem toda lógica de autenticação pronta além de diversas outras funcionalidades, permitindo aos desenvolvedores apenas se preocuparem com o negócio.
Na ferramenta é possível criar processos e integrar com outros sistemas. Neste artigo vamos tratar apenas da autenticação.
Fluig Identity
Há um produto, usado para integração e autenticação chamado fluig identity, que permite utilizar a autenticação em nuvem da totvs para acrescentar uma camada de proteção em suas aplicações, mas essa ferramenta tem algumas vantagens e desvantagens.
Vantagens do Totvs Identity
A principal vantagem é a terceirização de responsabilidade. No meu ponto de vista, se este serviço é vendido como seguro ele precisa ser seguro, o fluig também tem a autenticação nativa, porém fica sob sua responsabilidade de infra, já o identity é na infraestrutura da totvs.
Outro ponto positivo de utilizar o totvs Identity é a possibilidade de integrar outros sistemas, além de redefinir senhas e criar políticas de segurança de senha.
Desvantagens do Identity.
Utilizar o Totvs Identity vai depender da infraestrutura da empresa. Há empresas que optam por utilizar em nuvem, permitindo o acesso a qualquer lugar. Outras empresas preferem utilizar o fluig em ambiente local.
Empresas que utilizam o identity podem ter seu acesso afetado caso o serviço de autenticação fique fora do ar, inviabilizando o acesso à plataforma e demais serviços.
Apesar de não haver relatos de quedas em 2023, 2022 foi um ano que algumas vezes o serviço ficou offline. Relatos de outros usuários da plataforma durante principalmente o segundo semestre mostrava que este era um problema para quem optou por usar a plataforma.
Nesta tela você pode consultar o status do Identity e revisar o ano de 2022.
Uma das principais desvantagens do totvs fluig é para quem opta não usar o produto Identity.
O identity funciona muito bem em cenários que há a necessidade de quase replicar todas as autenticações entre os sistemas, mas há cenários que não há necessidade de um determinado usuário acessar vários sistemas e manter este serviço acaba aumentando a complexidade da infraestrutura e exigir um corpo técnico mais especializado.
A maior desvantagem do fluig, no meu ponto de vista, é a falta de opções que empresas que optam por não utilizar o totvs Identity têm ao gerenciar seus acessos diretamente da própria plataforma.
O cadastro de usuários do fluig é basicamente uma tela de inserção e desativação de usuários e não possui ferramentas de redefinição de senha programada ou de complexidade da senha.
É possível desenvolver soluções para tratar estes casos, mas acaba ficando um sistema cheio de remendos.
Ataque de força bruta
Apesar do fluig ser uma plataforma web ele não necessariamente precisa estar em nuvem, há casos em que o fluig é instalado em ambiente fechado.
Há cerca de 9 anos me lembro de uma empresa avaliar produtos para substituir sua intranet interna, e um dos produtos avaliados na época era o fluig. Relembrando este cenário é possível observar que o fluig serve para alguns como apenas uma plataforma de Intranet.
Utilizar a ferramenta como ambiente interno deve possibilitar ao administrador do sistema criar políticas fortes de senha, além de inativar usuários ( mesmo que temporariamente) após uma tentativa mal sucedida de login.
Não me recordo de situações em que a plataforma bloqueou o acesso por falhas na tentativa de login, e como ela é basicamente construída para ser acessada por API não seria difícil executar um ataque de força bruta na plataforma.
Se somar à falta de padrão mínimo de segurança em senhas o risco de acesso não autorizado aumenta.
Conclusão
O fluig é uma ferramenta cheia de recursos, mas no meu ponto de vista erra no módulo de gestão de usuários, por não prover aos administradores de rede e sistemas uma forma eficaz ( pelo módulo de gestão de usuários e grupos ) de criar senhas seguras através de uma política pré definida.