O que é 2FA (autenticação de dois fatores)?

A maioria das pessoas está familiarizada com os sistemas de segurança 2FA baseados em texto SMS. Nesta versão, um aplicativo envia um código numérico para o celular do usuário no momento do login. O usuário deve digitar sua senha e o código para continuar. Inserir apenas um ou outro não é suficiente para a autenticação.

A 2FA é a forma mais comum de autenticação multifator (MFA), que se refere a qualquer método de autenticação em que os usuários devem fornecer mais de um fator de autenticação para comprovar sua identidade.

Embora a 2FA seja frequentemente associada a sistemas de computador, ela também pode proteger ativos e locais físicos. Por exemplo, um edifício restrito pode exigir que as pessoas apresentem um crachá de identificação e passem por uma leitura de impressão digital para entrar.

De acordo com o relatório do custo das violações de dados da IBM, credenciais comprometidas causam 10% das violações de dados. As senhas são relativamente fáceis para os agentes de ameaças roubarem por meio de ataques de phishing, spyware ou de força bruta.

A autenticação de dois fatores ajuda a fortalecer a segurança da conta, exigindo um segundo fator. Além de os hackers precisarem roubar duas credenciais para invadir um sistema, o segundo fator geralmente é algo difícil de invadir. Segundos fatores comuns incluem impressões digitais e biometria, chaves de segurança física e códigos de acesso por tempo limitado.

Fatores de autenticação são as credenciais que os usuários fornecem para verificar suas identidades. Os sistemas de autenticação de dois fatores usam vários tipos de fatores de autenticação, e os sistemas 2FA verdadeiros usam dois fatores de dois tipos diferentes.

Usar dois tipos diferentes de fatores é considerado mais seguro do que usar dois fatores do mesmo tipo, pois os hackers precisam usar métodos diferentes para decifrar cada fator.

Por exemplo, os hackers podem roubar a senha de um usuário plantando spyware em seu computador. No entanto, esse spyware não detectaria os códigos de acesso único no telefone do usuário. Os hackers precisariam encontrar outra maneira de interceptar essas mensagens.
 
Os tipos de fatores de autenticação incluem:

• Fatores de conhecimento
• Fatores de posse
• Fatores inerentes 
• Fatores comportamentais

Um fator de conhecimento é uma informação que, teoricamente, apenas o usuário saberia. Uma senha é o fator de conhecimento mais comum. Os números de identificação pessoal (PINs) e as respostas às perguntas de segurança também são comuns.

Na maioria das implementações de 2FA, um fator de conhecimento é o primeiro fator de autenticação.

Apesar de seu uso generalizado, os fatores de conhecimento são o tipo mais vulnerável de fator de autenticação. Os hackers podem obter senhas por meio de ataques de phishing, malware ou ataques de força bruta nos quais usam bots para gerar e testar possíveis senhas em uma conta até que uma delas funcione.

Nem outros tipos de fatores de conhecimento representam um grande desafio para cibercriminosos. Respostas a muitas perguntas de segurança, como o clássico "Qual é o nome de solteira da sua mãe?", podem ser facilmente eliminadas por meio de pesquisas básicas ou ataques de engenharia social que induzem os usuários a divulgar informações pessoais.

A prática comum de exigir uma senha e uma pergunta de segurança não é exatamente 2FA porque usa dois fatores do mesmo tipo – neste caso, dois fatores de conhecimento.

Dois fatores de conhecimento seriam um exemplo de um processo de verificação em duas etapas. O processo tem duas etapas– inserir uma senha e responder a uma pergunta – mas usa apenas um tipo de fator.

A verificação em duas etapas pode ser mais segura do que apenas uma senha, pois exige duas provas. No entanto, como esses são dois fatores do mesmo tipo, eles são mais fáceis de roubar do que dois fatores de tipos diferentes.

Fatores de posse são coisas que uma pessoa possui. Os dois tipos mais comuns de fatores de posse são tokens de software e tokens de hardware.

Os tokens de software muitas vezes tomam a forma de senhas de uso único (OTPs). As OTPs geralmente são senhas de uso único de 4 a 8 dígitos que expiram após um determinado período. Os tokens de software podem ser enviados para o telefone de um usuário por mensagem de texto, e-mail ou mensagem de voz. Os tokens também podem ser gerados por um aplicativo autenticador instalado no dispositivo.

Com um token de software, o dispositivo do usuário atua como o fator de posse. O sistema 2FA pressupõe que apenas o usuário legítimo tenha acesso a qualquer informação fornecida ou gerada por esse dispositivo.

Embora as OTPs baseadas em texto de SMS sejam alguns dos fatores de posse mais fáceis de usar, eles também são os menos seguros. Os usuários precisam de uma conexão de internet ou celular para receber esses códigos de autenticação, e os hackers podem usar ataques sofisticados de phishing ou intermediários para roubá-los.

Os OTPs também são vulneráveis à clonagem de SIM, na qual os criminosos criam uma duplicata funcional do cartão SIM do smartphone da vítima e a utilizam para interceptar suas mensagens de texto.

Aplicativos de autenticação, como Google Authenticator, Authy, Microsoft Authenticator e Duo, podem gerar tokens sem conexão de rede. Um usuário emparelha o aplicativo de autenticação com um serviço, geralmente escaneando um código QR. Em seguida, o aplicativo gera continuamente senhas de uso único baseadas em tempo (TOTPs) para o serviço emparelhado. Cada TOTP expira em 30 a 60 segundos, dificultando o roubo.

Alguns aplicativos de autenticação usam notificação por push em vez de TOTPs. Quando um usuário faz login em uma conta, o aplicativo envia uma notificação por push para o sistema operacional iOS ou Android dele, na qual ele deve tocar para confirmar que a tentativa é legítima.

Embora os aplicativos de autenticação sejam mais difíceis de decifrar do que as mensagens de texto, eles não são infalíveis. Os hackers podem usar malware para roubar TOTPs diretamente dos autenticadores. Eles também podem lançar ataques de fadiga de MFA, nos quais eles inundam um dispositivo com notificação por push fraudulentas na esperança de que a vítima acidentalmente confirme uma delas.

Os tokens de hardware são dispositivos dedicados, como chaveiros, cartões de identificação ou dongles, que funcionam como chaves de segurança. Alguns tokens de hardware se conectam à porta USB de um computador e transmitem informações de autenticação para a página de login. Outros tokens geram códigos de verificação para o usuário inserir manualmente quando solicitado.

Embora os tokens de hardware sejam difíceis de hackear, eles podem ser roubados, assim como os dispositivos móveis dos usuários que contêm tokens de software. De acordo com o relatório do custo das violações de dados da IBM, dispositivos perdidos ou roubados são um fator em até 9% das violações de dados.

Também chamados de "biométricos", os fatores inerentes são funcionalidades físicas ou características exclusivas do usuário, como impressões digitais, funcionalidades faciais ou padrões da retina. Muitos smartphones e notebooks têm leitores de impressão digital e facial integrados, e muitos aplicativos e sites podem usar esses dados biométricos como um fator de autenticação.

Embora os fatores inerentes sejam os mais difíceis de decifrar, os resultados podem ser desastrosos quando isso ocorre. Se um hacker obtiver acesso a um banco de dados biométrico, ele poderá roubar esses dados ou vincular sua própria biometria ao perfil de outro usuário. Quando os dados biométricos são comprometidos, eles não podem ser alterados de forma rápida ou fácil, dificultando a interrupção de ataques em andamento.

Os avanços na geração de imagens de inteligência artificial (IA) preocupam especialistas em cibersegurança com a possibilidade de hackers usarem essas ferramentas para enganar os softwares de reconhecimento facial.

Fatores comportamentais são artefatos digitais que verificam a identidade de um usuário com base em padrões de comportamento. Exemplos incluem o intervalo de endereços IP típico de um usuário, a localização usual e a velocidade média de digitação.

Os sistemas de autenticação comportamental usam IA e aprendizado de máquina (ML) para determinar uma linha de base para os padrões normais de um usuário e sinalizar atividade anômala, como fazer login em um novo dispositivo, número de telefone ou local.

Alguns sistemas de autenticação de dois fatores permitem que os usuários registrem dispositivos confiáveis como fatores. Embora o usuário possa precisar fornecer dois fatores no primeiro login, o uso do dispositivo confiável atua automaticamente como o segundo fator no futuro.

Fatores comportamentais também desempenham um papel nos sistemas de autenticação adaptável, que alteram os requisitos de autenticação com base no nível de risco. Por exemplo, um usuário pode precisar apenas de uma senha para fazer login em um aplicativo de um iPhone confiável na rede da empresa. Esse usuário pode precisar adicionar um segundo fator para fazer login de um novo dispositivo ou de uma rede desconhecida.

Embora os fatores comportamentais ofereçam uma maneira sofisticada de autenticar os usuários, eles exigem recursos e experiência significativos para serem implementados. Além disso, se um hacker obtiver acesso a um dispositivo confiável, ele poderá facilmente se passar pelo usuário.

Os sistemas de autenticação de dois fatores sem senha aceitam apenas fatores de posse, inerentes e comportamentais, não fatores de conhecimento. Por exemplo, pedir a um usuário uma impressão digital juntamente com um token físico constituiria uma 2FA sem senha.

A autenticação sem senha elimina os fatores de conhecimento porque eles são fáceis de comprometer. Embora os métodos 2FA atuais mais comuns usem senhas, os especialistas do setor preveem um futuro cada vez mais sem senha.

Chaves de acesso, como aquelas baseadas no popular padrão FIDO, são uma das formas mais comuns de autenticação sem senha. Eles usam criptografia de chave pública para verificar a identidade do usuário.

De acordo com o relatório do custo das violações de dados, as credenciais comprometidas e o phishing são os dois vetores de ciberataques mais comuns. Juntos, eles respondem por cerca de 26% das violações de dados. Ambos os vetores geralmente funcionam roubando senhas, que os hackers podem usar para sequestrar contas e dispositivos legítimos para causar estragos.

Os hackers geralmente têm como alvo as senhas porque elas são comparativamente fáceis de serem descobertas por meio de força bruta ou engano. Além disso, como as pessoas reutilizam senhas, os hackers muitas vezes podem usar uma única senha roubada para invadir várias contas. As consequências de uma senha roubada podem ser graves para os usuários e organizações, podendo levar ao roubo de identidade, roubo monetário, sabotagem do sistema e muito mais.

A autenticação de dois fatores ajuda a impedir o acesso não autorizado adicionando uma camada extra de segurança aos sistemas de gerenciamento de acesso e identidade (IAM). Mesmo que os hackers consigam roubar uma senha, eles ainda precisam de um segundo fator para ter acesso a uma conta.

Além disso, esses segundos fatores geralmente são mais difíceis de roubar do que um fator de conhecimento. Os hackers precisariam falsificar a biometria, imitar comportamentos ou furtar dispositivos físicos.

Os métodos de autenticação de dois fatores também podem ajudar as organizações a cumprir certas obrigações de conformidade. Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS) exige explicitamente a autenticação multifator (MFA) para sistemas que manipulam dados de cartões de pagamento.

Outras regulamentações, incluindo a Lei Sarbanes-Oxley (SOX) e o Regulamento Geral de Proteção de Dados (GDPR), não exigem explicitamente a 2FA. No entanto, a autenticação de dois fatores pode ajudar as organizações a atender aos rigorosos padrões de segurança definidos por essas leis.

Embora a autenticação de dois fatores seja mais forte do que os métodos de autenticação de fator único, especialmente aqueles que usam apenas senhas, a 2FA não é infalível. Mais especificamente, os hackers podem abusar de sistemas de recuperação de contas para contornar a 2FA e confiscar uma conta.

Por exemplo, um hacker pode fingir ser um usuário válido que perdeu o acesso e precisa redefinir as credenciais da conta. Os sistemas de recuperação de conta geralmente exigem algum outro meio de autenticação, como a resposta a uma pergunta de segurança. Se essa pergunta for tão básica quanto "nome de solteira da mãe", o hacker poderá descobrir a resposta com um pouco de pesquisa. O hacker pode, então, redefinir a senha da conta, bloqueando o usuário real.

Os hackers também podem comprometer uma conta obtendo acesso a outra. Por exemplo, se um invasor quiser invadir um sistema corporativo confidencial, ele pode primeiro assumir o controle da conta de e-mail de um usuário. Eles podem então solicitar uma redefinição de senha com o sistema corporativo, que envia um e-mail para a conta que o hacker agora controla.

A autenticação de dois fatores baseada em SMS, talvez a forma mais comum de autenticação de dois fatores, pode ser hackeada por meio de engenharia social sofisticada. O invasor pode se passar pelo alvo e ligar para a operadora do telefone dele, alegando que o telefone foi roubado e que ele precisa transferir seu número para um novo aparelho. As OTPs são então enviadas para o telefone que o hacker controla, em vez do telefone do alvo.

Os usuários podem se defender contra esses ataques garantindo que todas as suas contas (de contas de e-mail a contas com provedores de telefones) exijam 2FA ou MFA fortes. Configurar uma MFA em tudo torna mais difícil para os hackers usar uma conta para comprometer outra.

Os usuários também podem se certificar que os fatores de autenticação escolhidos sejam difíceis de quebrar. A biometria e os tokens de segurança física, por exemplo, são mais difíceis de serem roubados do que as respostas às perguntas de segurança.