Autenticação multifatorial (MFA)

O que é autenticação multifatorial (MFA)?

A autenticação multifatorial (MFA, na sigla em inglês) é um processo de controle de acesso multicamadas que concede aos usuários acesso a redes, sistemas ou aplicações só depois que eles confirmam a própria identidade com mais de uma credencial ou fator de autenticação. Isso geralmente é feito ao combinar nome de usuário, senha e outro fator, como um código de verificação ou senha de uso único (OTP, na sigla em inglês) entregues por mensagem de texto ou e-mail, um token de segurança enviado por um app autenticador ou um identificador biométrico.

Ao exigir diversos fatores de autenticação, as organizações podem aprimorar bastante a própria postura de segurança. Isso acontece porque o acesso só é concedido quando o fator de autenticação secundário é de propriedade ou controlado pelo usuário (até mesmo se o fator primário tiver sido comprometido ou desativado).

Importância da autenticação multifatorial

Uma análise da equipe CrowdStrike^® Counter Adversary Operations revela que 80% dos ataques são baseados em identidade. Os ataques baseados em identidade são muito difíceis de detectar usando as ferramentas e medidas de segurança tradicionais. Isso acontece porque essas soluções normalmente não são criadas para monitorar a atividade dos usuários aprovados ou para detectar quando credenciais são comprometidas.

A MFA é considerada como um componente essencial do framework de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Isso significa que ela é principalmente uma ferramenta de acesso, e não uma solução de segurança.

Em outras palavras, embora a MFA impeça o acesso dos usuários que não podem verificar a própria identidade, ela não diferencia as solicitações de pessoas legítimas e de quem se disfarça como tal. Além disso, depois que o usuário recebe acesso à rede, aplicação, endpoint ou sistema, a solução de MFA não consegue detectar ou impedir ataques baseados em identidade em tempo real.

Por isso, as organizações devem considerar a MFA como um componente do framework de IAM geral e como um elo na arquitetura e estratégia mais ampla de cibersegurança.

Autenticação multifatorial e autenticação de dois fatores (2FA)

A autenticação de dois fatores (2FA, na sigla em inglês) é um termo que se confunde com a MFA. Em termos técnicos, a 2FA é um tipo de autenticação multifatorial que limita o usuário a duas credenciais, enquanto a MFA requer pelo menos duas formas de autenticação.

Por padrão, a maioria dos sistemas de MFA segue o modelo 2FA, embora algumas organizações exijam mais métodos de autenticação, em especial quando o usuário está tentando entrar na rede ou acessar recursos de um local incomum ou suspeito.

Como a autenticação multifatorial funciona?

A MFA funciona exigindo um ou mais fatores de verificação, além de uma ID de usuário e senha tradicionais. Ela costuma seguir o mesmo processo:

1. Registro: os sistemas de MFA exigem várias formas de ID para que os usuários possam se registrar. Depois do registro, o usuário vincula os dispositivos a serem utilizados para autenticação, como um celular ou computador. O usuário também pode se autenticar por meio de um endereço de e-mail, número de telefone ou app autenticador.
2. Autenticação: depois que o usuário e todos os dispositivos forem registrados e quando ele fizer login em um website ou app que exijam a MFA, essa pessoa precisará fornecer nome de usuário e senha, além de uma resposta de autenticação por meio de um dos dispositivos registrados.
3. Reação: o usuário agora precisa responder à solicitação de autenticação. Dependendo do método de MFA escolhido, ele precisará inserir um código recebido no dispositivo registrado ou pressionar um botão para fazer a autenticação.

Tipos e métodos comuns de autenticação multifatorial

A maioria dos métodos de autenticação se encaixa em um dos tipos de grupo a seguir:

1. Algo que você sabe (baseado no conhecimento)

Isso se refere às credenciais baseadas em conhecimento. É a forma mais simples e comum de verificação. Essa categoria inclui PINs, senhas criadas pelo usuário e respostas a perguntas de segurança.

Métodos

• Senhas de uso único: as OTPs são o fator de MFA mais usado. Elas são códigos numéricos enviados por e-mail, SMS ou um aplicativo mobile como Google Authenticator, Microsoft Authenticator e Salesforce Authenticator. As OTPs são geradas novamente após um período definido ou sempre que uma nova solicitação de autenticação é enviada. O código é baseado em um valor gerador atribuído ao usuário no registro inicial e um fator extra baseado no tempo.

• Perguntas pessoais de segurança: às vezes, você pode precisar responder a perguntas pessoais de segurança (ou seja, que nenhuma outra pessoa sabe a resposta). Algumas perguntas de segurança comuns exigem respostas como o nome de solteira da sua avó, o nome do seu melhor amigo de infância, a cidade em que você nasceu, o nome do seu primeiro animal de estimação e o endereço onde morava na infância.

2. Algo que você tem (baseado na posse)

As credenciais baseadas em posse exigem que os usuários gerem ou recebam ativos, como um token de segurança ou certificado. Isso pode ser feito por meio do uso de um aplicativo autenticador como o Google Authenticator e o Microsoft Authenticator. Outra opção é uma OTP com tempo determinado entregue por mensagem de texto, e-mail ou link seguro.

Métodos

• Senha de uso único: a OTP também é considerada como um método baseado na posse, porque você precisa ter um dispositivo físico como um smartphone ou computador para ter acesso a ela.
• Cartões inteligentes e tokens de hardware criptográfico: eles são dispositivos físicos que podem executar operações criptográficas, como descriptografia e assinatura. Além disso, as chaves internas desses itens são protegidas fisicamente dentro de um enclave com isolamento total. Esses itens podem ser usados no acesso a computadores (por exemplo, usando o login por cartão inteligente do Windows) e na verificação baseada em assinatura digital para autorizar transações. Os cartões inteligentes podem ser por aproximação ou exigir um leitor dedicado. Já os tokens de hardware criptográfico exigem um USB para estabelecer a conexão.
• Tokens de OTP de hardware: muito usados no setor bancário, os tokens de OTP de hardware são dispositivos que geram códigos de uso único por meio de uma chave criptográfica armazenada dentro do dispositivo e no servidor. Durante o login, o sistema autentica o usuário confirmando que as chaves do dispositivo e do servidor são correspondentes.
• Software development kits (SDKs) de soft token: esse método de verificação usa operações criptográficas como assinaturas digitais integradas a apps mobile para autenticar o usuário e o dispositivo. Os SDKs de soft token oferecem uma experiência de usuário sem atrito, já que não é necessário alternar entre as aplicações ou utilizar um dispositivo de hardware.

3. Algo que você é (baseado na inerência)

Esse é o fator de verificação mais difícil de simular. Ele inclui identificadores biométricos baseados em características fisiológicas, como impressões digitais, reconhecimento facial e varredura de íris, ou comportamentais, como padrões de digitação.

Métodos

• Biometria: outra técnica comum de MFA avalia características biométricas inatas, como impressões digitais, aspectos do rosto, varredura de íris ou retina e identificação de voz para confirmar a identidade do usuário. Embora essa técnica tenha sido considerada a princípio como tendo um fator de autenticação muito forte, o entusiasmo por ela diminuiu quando ficou claro que a impressão 3D e as impressões digitais geradas por IA conseguiam burlar essas tecnologias.
• Análise de comportamento: em menor grau, algumas organizações também podem usar a biometria comportamental para confirmar a identidade dos usuários. Esse método utiliza padrões exclusivamente identificáveis e mensuráveis presentes no comportamento das pessoas para verificar a identidade delas. Um exemplo é a dinâmica do pressionamento de teclas, em que são analisados a velocidade, ritmo e pressão durante a digitação do usuário.

Benefícios da autenticação multifatorial

A MFA oferece muitos benefícios importantes para as organizações, incluindo:

Desafios da autenticação multifatorial

Assim como qualquer tecnologia, a implementação e operação da MFA pode trazer desafios para as organizações. Por exemplo:

• Se um funcionário perder um celular ou outro dispositivo pessoal que faça parte do método de defesa em camadas da sua empresa, isso poderá afetar temporariamente o acesso dele ao sistema e, por consequência, a produtividade dessa pessoa.
• Os dados biométricos usados pelos algoritmos de MFA precisam ser inseridos inicialmente com precisão e rigor. É possível que o sistema produza falsos positivos ou negativos se a entrada original não tiver sido inserida corretamente.
• A verificação da MFA pode ficar temporariamente indisponível se uma empresa passar por uma interrupção de rede ou Internet.

O futuro da autenticação multifatorial

A MFA não é de forma alguma um processo de segurança infalível. Assim como os cibercriminosos trabalham dia e noite para desenvolver novas técnicas de ataque às redes, eles também tentam encontrar maneiras de burlar as medidas de proteção da MFA, interceptar tokens e falsificar credenciais secundárias. Para mitigar esses possíveis pontos fracos, as técnicas de MFA devem ser sempre atualizadas para oferecer proteção contra as ameaças em transformação e reforçadas por outras ferramentas e soluções de segurança.

Além de implementar a MFA, as organizações precisam melhorar a postura de segurança seguindo as práticas recomendadas de segurança de identidade abaixo. A finalidade delas é limitar o acesso à rede e os privilégios de conta, além de conter o movimento de um hacker no caso de ataque:

• Princípio do privilégio mínimo (POLP, na sigla em inglês): o POLP é um conceito e prática de segurança de computadores que concede aos usuários direitos de acesso limitados com base nas tarefas necessárias para o trabalho deles. O POLP garante que apenas os usuários autorizados (cuja identidade foi verificada) tenham as permissões necessárias para trabalhar em determinados sistemas, aplicações, dados e outros ativos. Ele é muito conhecido como uma das práticas mais efetivas para fortalecer a postura de cibersegurança das organizações, já que possibilita o controle e o monitoramento do acesso aos dados e rede.
• Zero Trust: é um framework de segurança em que todos os usuários, dentro ou fora da rede da organização, precisam ser autenticados, autorizados e validados continuamente antes de receberem acesso a aplicações e dados. Para verificar a identidade do usuário ou sistema, avaliar o acesso em um determinado momento e garantir a segurança do sistema, esse modelo combina tecnologias avançadas. Por exemplo, MFA baseada em risco, proteção de identidade, segurança de endpoint de última geração e tecnologia robusta de workload na nuvem. O Zero Trust também exige a criptografia dos dados, proteção dos e-mails e verificação da higiene dos ativos e endpoints antes de conceder a eles acesso às aplicações.
• Gerenciamento de contas privilegiadas (PAM, na sigla em inglês): é uma estratégia de cibersegurança que tem como foco a manutenção da segurança de contas privilegiadas.
• Segmentação de identidade: é um método para restringir o acesso do usuário a aplicações e recursos com base em identidades.
• Higiene de TI: uma ferramenta de higiene de TI fornece visibilidade sobre o uso de credenciais em uma organização para detectar atividades administrativas possivelmente maliciosas. Com a funcionalidade de monitoramento de contas, as equipes de segurança podem verificar a presença de contas criadas por invasores para manter o acesso. Ela também garante que a alteração frequente das senhas para que as credenciais roubadas não possam ser usadas para sempre.