Você sabia que 1 milhão de senhas são roubadas semanalmente e 81% de todas as violações utilizam senhas roubadas ou fracas? Algo assustador.

A autenticação multifator (MFA) pode protegê-lo mesmo se sua senha for comprometida. Ela exige que os usuários verifiquem sua identidade usando mais do que o nome de usuário e a senha. Portanto, quando (e não se) agentes mal-intencionados roubarem sua senha e nome de usuário, eles não poderão acessar seus dados sem os fatores de autenticação adicionais exigidos pela MFA.

Neste artigo, analisamos os exemplos de MFA para ajudá-lo a entender como implementá-la em vários contextos para fornecer uma defesa robusta contra acesso não autorizado.

Fatores de autenticação

Você deve compreender os fatores de autenticação para compreender totalmente o conceito de MFA. Isso ocorre porque o MFA funciona combinando vários fatores de autenticação para verificar a identidade de um usuário antes de conceder-lhe acesso.

Os três fatores de autenticação são conhecimento, posse e inerência.

Fator de conhecimento

O fator conhecimento exige que você se identifique por meio de algo que só você conhece, como uma senha ou PIN, além de seu e-mail, nome de usuário ou outras informações de identificação. É o fator de autenticação mais comum.

Os fatores de autenticação de conhecimento incluem:

• Senhas
• Questões de segurança
• Números de identificação pessoal (PINs).

O método do fator de autenticação do conhecimento só é seguro se a informação permanecer secreta. Algumas senhas, PINs e questões de segurança podem ser quebradas usando métodos de força bruta.

Fator de posse

Este fator de autenticação exige que você se identifique por meio de algo que possui, como um telefone celular ou token de segurança, além de seu e-mail, nome de usuário ou outras informações de identificação.

Aqui estão alguns exemplos de fatores de autenticação de posse:

• Token de segurança
• Dispositivo móvel
• Dispositivo inteligente ou chave USB.

Fator de inerência

O fator de autenticação inerência do MFA exige que você se identifique, fornecendo informações inerentes a você, como suas impressões digitais, além de outras informações de identificação. Aqui estão alguns exemplos de fatores de autenticação inerentes:

• Leituras de impressões digitais
• Leitura de retina
• Reconhecimento facial
• Reconhecimento de voz.

Compreender estes fatores de autenticação e como eles se combinam para formar os diferentes métodos de autenticação é crucial para a implementação de sistemas seguros de controle de acesso.

Confira também: Quais são os 5 pilares da segurança da informação?

Tipos de autenticações

Existem três tipos de autenticações: fator único (1FA), dois fatores (2FA) e três fatores (3FA). A diferença está no número de fatores de autenticação necessários.

Autenticação de fator único

1FA exige que os usuários forneçam apenas uma informação verificável para autenticação. A maioria dos sistemas 1FA exige senhas, PINs e outros fatores de conhecimento, mas também podem funcionar com posse ou fatores inerentes, como impressões digitais.

Autenticação de dois fatores

2FA é um tipo de MFA que exige que os usuários forneçam duas informações verificáveis para autenticação. A segunda informação ajuda a manter a segurança se a primeira for comprometida.

As duas informações devem ser provenientes de fatores de autenticação diferentes. Por exemplo, algo que sabem (senha) e algo que são (impressão digital), ou algo que sabem (nome de usuário e senha) e algo que possuem (telefone móvel).

As formas mais comuns de autenticação de dois fatores incluem:

• Mensagem de texto: Um código é enviado por texto ao celular do usuário, que ele deve inserir para concluir o processo de login.
• Aplicativos autenticadores: os aplicativos geram códigos únicos baseados em tempo para login.
• Verificação de e-mail: um código é enviado ao endereço de e-mail do usuário, que ele precisa inserir para autenticação.
• Chamada telefônica: os usuários recebem o código por telefone, que precisam inserir para se autenticar.

Autenticação de três fatores

Com o 3FA, os usuários devem fornecer mais de duas credenciais de diferentes fatores de autenticação. Por exemplo, um usuário que tenta acessar um sistema usando 3FA terá que fornecer algo que sabe (nome de usuário e senha), algo que possui (comando eletrônico ou telefone) e algo que é (impressão digital ou digitalização de retina).

A autenticação multifator é mais segura do que a autenticação de fator único. Um invasor que possui uma única habilidade de ataque pode comprometer um sistema com apenas um fator de autenticação. Mas se usar mais de um fator, o atacante precisará de múltiplas habilidades de ataque e deverá realizar vários ataques simultaneamente para ter sucesso. É muito mais complicado.

Exemplos de métodos MFA

Aqui estão alguns exemplos de métodos de MFA para ajudá-lo a reforçar sua segurança online e proteger sua identidade digital.

Exemplos de autenticação de dois fatores

2FA é a forma de MFA mais amplamente adotada, pois aumenta a segurança sem afetar a facilidade de uso. Ela é implementada em vários serviços e plataformas, incluindo e-mail, serviços bancários, mídias sociais, etc.

Aqui estão alguns exemplos comuns de métodos 2FA

• SMS e chamadas telefônicas

Depois de digitar seu nome de usuário e senha, um sistema que usa 2FA baseado em SMS enviará um código para o seu telefone e solicitará que você o insira para autorização. O código chega quase imediatamente e é urgente. Eles também podem ligar para você e informar o código.

É bastante seguro, pois chamadas e mensagens de texto não são fáceis de interceptar. No entanto, pressupõe que apenas você tenha acesso ao seu dispositivo móvel. Se alguém conseguir acessar seu telefone, a etapa extra não funcionará para manter o sistema seguro.

Um excelente exemplo de SMS ou 2FA baseado em chamadas é fazer login no WhatsApp pela primeira vez. Você deve inserir o código enviado ao seu celular para autorização.

• Questões de segurança

Os sistemas que usam perguntas de segurança 2FA solicitam que você crie um nome de usuário e uma senha e responda a uma pergunta que só você pode saber. Eles podem fazer perguntas como: “Qual é o nome do seu primeiro animal de estimação?” ou “Qual é o nome de solteira da sua mãe?”

Depois de se inscrever, você deve inserir a senha e responder sua pergunta para fazer login. A pergunta de segurança também pode ser usada como backup para verificar se você é o proprietário, caso perca sua senha.

A desvantagem das questões de segurança é que elas geralmente estão relacionadas a informações básicas sobre você, portanto podem ser facilmente comprometidas.

• Aplicativos autenticadores

Aplicativos autenticadores como Google Authenticator, Authy ou Microsoft Authenticator podem gerar senhas únicas urgentes. Você usará o código, junto com seu nome de usuário ou e-mail e senha, para verificar sua identidade.

• 2FA baseado em e-mail

O 2FA baseado em e-mail funciona como mensagens SMS, mas você não precisa de um dispositivo específico para acessá-las. O sistema envia um código para o seu endereço de e-mail, que você pode acessar em qualquer dispositivo. No entanto, se você deixar seu e-mail conectado ou se um hacker obtiver acesso ao seu e-mail e senha, seu código poderá ser comprometido, dando ao agente mal-intencionado acesso irrestrito ao sistema ou à conta.

• Notificações via push

As notificações push funcionam como mensagens SMS porque você deve ter seu telefone para receber a notificação. No entanto, em vez de um código, a notificação informa que alguém está tentando acessar seu dispositivo e tem a opção de permitir ou negar o acesso.

A notificação geralmente contém detalhes gerais sobre o tipo e localização do dispositivo que está tentando acessar sua conta.

Confira também: Como proteger os seus dados para evitar uma violação?

Exemplos de autenticação de três fatores

3FA envolve uma combinação de três coisas: algo que o usuário sabe, algo que o usuário possui e algo que o usuário é. É muito menos comum que o 2FA porque é muito caro de implementar e pode ser complicado e desafiador de usar.

Além disso, o 2FA é suficiente para muitos riscos de segurança. Portanto, as organizações não veem sentido em adicionar a complexidade do 3FA e afetar negativamente a facilidade de uso. Como 3FA é incomum, você pode se perguntar: “Qual é um exemplo de MFA de autenticação de 3 fatores?”

Aqui estão alguns:

• Senha + smartphone + leitura de impressão digital

Os sistemas com este MFA exigem que você se identifique usando seu nome de usuário, senha, um código enviado ao seu telefone e sua impressão digital. Se um agente mal-intencionado comprometer sua senha e tiver acesso ao seu telefone, ele ainda não conseguirá acessar o sistema porque sua impressão digital é exclusiva sua. A exigência de impressão digital melhora sua postura de segurança.

• Pin + token de hardware + varredura de retina

Um sistema com este 3FA exige que você insira seu PIN, use seu token para gerar um código único e escaneie sua retina. Mesmo que um hacker force um PIN fraco e roube fisicamente o token de hardware, ele não conseguirá acessar sua conta ou sistema.

É impossível falsificar ou replicar uma varredura de retina, portanto, agentes mal-intencionados não podem acessar sua conta ou sistema, mesmo que tenham seu PIN e token.

• Senha + aplicativo para smartphone + reconhecimento de voz

Um sistema 2FA que verifica sua identidade por meio de uma senha e um código enviado ao seu celular pode ser eficaz, pois verifica se você tem controle sobre o seu dispositivo. No entanto, não é suficiente porque os hackers podem comprometer sua senha e obter acesso ao seu telefone.

Para garantir que o acesso aos dois não termine em um sistema ou conta comprometido, o 3FA adiciona verificação de reconhecimento de voz. É uma forma robusta de verificar a sua identidade, pois é impossível replicar as características únicas da voz de alguém.

• Pin + cartão inteligente + digitalização de impressão digital

Para acessar um sistema ou conta com este método 3FA, você deve inserir seu PIN, usar um cartão inteligente como fator de posse para gerar um código único e digitalizar sua impressão digital.

Como os outros métodos 2FA, um agente mal-intencionado com seu cartão inteligente e PIN não pode acessar sua conta ou sistema porque a digitalização de sua impressão digital é única. Ninguém pode acessá-lo, exceto você.

Autenticação multifator com Google

O Google está na vanguarda da implementação e promoção da MFA para melhorar a segurança das contas dos usuários em todo o seu conjunto de produtos e serviços.

A autenticação multifator que o Google usa para proteger os dados do usuário é 2FA. Ela permite que os usuários vinculem suas contas do Google aos seus dispositivos móveis. Para acessar o conjunto de serviços ou produtos do Google, você deve inserir seu e-mail e senha e, em seguida, receber uma notificação push ou um código de verificação único por SMS, chamada ou aplicativo Google Authenticator para verificação.

No entanto, o Google oferece apenas 2FA. Não há autenticação de três fatores do Google. Se quiser uma segurança de conta mais forte, você pode se inscrever no Programa Proteção Avançada. O Google o recomenda para qualquer pessoa com maior risco de ataques on-line direcionados, como ativistas, administradores de TI e jornalistas.

Na Proteção Avançada, a segunda etapa de verificação não é uma notificação push ou um código de verificação. É estritamente uma chave de segurança, pois é mais segura.

Alguns serviços do Google, como o Google Play, podem solicitar que você verifique sua identidade com um terceiro fator, como impressão digital ou digitalização facial. Mas os dados biométricos são usados apenas localmente no seu telefone e não são enviados ao Google, portanto, não se qualificam como 3FA.

Se quiser usar 3FA para sua conta do Google, pode ser necessário usar um serviço de terceiros como o Infobip. Mas eles têm algumas limitações. Eles podem não ser compatíveis com todos os serviços e dispositivos do Google e exigir taxas e permissões adicionais.

Também não há recurso de autenticação de três fatores no Facebook. Assim como o Google, a maioria das plataformas de mídia social usa apenas 2FA.

Confira também: 10 Ferramentas Google Chrome para Cibersegurança 

Autenticação multifator em cibersegurança

A autenticação multifator é um componente crítico de uma estratégia robusta de cibersegurança, pois aborda os pontos fracos do 1FA tradicional.

A MFA adiciona uma ou mais camadas de autenticação, eliminando o risco de acesso não autorizado inerente aos sistemas 1FA. Por exemplo, se um cibercriminoso obtiver a senha de um usuário por meio de phishing, engenharia social, força bruta, etc., ele ainda precisará do telefone, dos dados biométricos ou do token físico para contornar os outros fatores de autenticação.

A MFA em cibersegurança também serve como ferramenta para detectar e prevenir acessos não autorizados. Quando um usuário não fornece verificação adicional, o sistema pode monitorar suas tentativas de comportamento suspeito.

Por exemplo, suponha que um usuário normalmente use um dispositivo específico para fazer login em um determinado local. Nesse caso, se uma tentativa de login malsucedida vier de um dispositivo e local diferente, o sistema poderá sinalizá-la como suspeita, solicitar verificação adicional e notificar o usuário. Isto pode ajudar as organizações a identificar e responder às ameaças cibernéticas de forma mais rápida e eficaz.

Além disso, muitos regulamentos e padrões, incluindo LGPD, GDPR, HIPAA e PCI DSS, recomendam ou exigem que as organizações usem MFA para aprimorar a proteção de dados. Reconhecem o papel crítico da MFA na redução do risco de acesso não autorizado e na proteção de dados sensíveis.

Qual é um exemplo de autenticação de 3 fatores em cibersegurança

Um exemplo comum de 3FA em cibersegurança envolve uma combinação de algo que o usuário sabe, algo que o usuário possui e algo que o usuário é.

1. Senha (fator de conhecimento): O usuário inicia o processo de autenticação digitando uma senha, que somente ele deve saber.
2. Token de smartphone ou hardware (fator de posse): O usuário recebe um código único em seu smartphone ou gerado pelo token de hardware, indicando seu controle sobre o dispositivo.
3. Varredura de impressão digital (fator de inerência): o usuário coloca o dedo em um leitor de impressão digital e o sistema verifica sua identidade com base nos padrões exclusivos de sua impressão digital.

O usuário deve fornecer a senha correta, possuir o smartphone autenticado ou token de hardware e autenticar sua impressão digital para obter acesso. Mesmo que um invasor comprometa dois fatores, ainda precisará ignorar mais um para obter acesso.

A implementação da MFA para todas as suas contas pode melhorar sua segurança geral. No entanto, nem todas as contas precisam de segurança MFA. Para equilibrar usabilidade e segurança, considere proteger apenas contas que contenham informações confidenciais. Eles incluem:

• Contas de e-mail
• Contas financeiras e bancárias
• Portal de saúde
• Armazenamento em nuvem e compartilhamento de arquivos
• Contas governamentais e de serviços públicos.

Inscreva-se nos Cursos da IBSEC para Aumentar sua Segurança Cibernética

Depois de aprender sobre os benefícios e métodos da autenticação multifator (MFA), você está pronto para proteger sua presença online e garantir que suas contas estejam seguras, mas há muito mais para saber além do MFA para a sua segurança online. Na IBSEC, oferecemos cursos especializados em cibersegurança que ajudam a entender e implementar as melhores práticas para fortalecer a segurança de seus sistemas e dados.

Nossos cursos são projetados para profissionais de todos os níveis, desde iniciantes em cibersegurança até especialistas procurando se manter atualizados com as últimas tendências e tecnologias. Ao se inscrever, você aprenderá a garantir que suas informações estejam seguras contra ameaças e ataques cibernéticos.

Clique no link abaixo para se inscrever e garantir um futuro mais seguro:

https://ibsec.com.br/#cursos-destaque

CONFIRA TAMBÉM:

• 
  21.11.2024 | Carreiras em Cibersegurança

  Segurança da Informação: O que é OWASP Zed Attack Proxy?

  Os atores de ameaças estão se tornando mais inteligentes. E é por isso que os ataques cibernéticos estão se tornando mais cultivados e desenfreados a cada dia que passa. Consequentemente, prestar atenção à segurança da web […]

• 
  20.11.2024 | Carreiras em Cibersegurança

  10 Técnicas Cruciais para Análise de Emojis

  Em um mundo cada vez mais digital, os emojis se tornaram uma forma universal de comunicação, ultrapassando barreiras linguísticas e culturais. No entanto, a interpretação de emojis vai muito além do que aparenta; esses pequenos ícones […]