O que é autenticação?

Considere um cenário comum de autenticação: fornecer um ID de usuário e uma senha para acessar uma conta de e-mail. Quando o usuário insere seu ID de usuário (que provavelmente é seu endereço de e-mail nesta situação), ele está informando ao sistema de e-mail: “Este sou eu.”

Mas isso não é suficiente para verificar a identidade do usuário final. Qualquer um pode inserir qualquer ID de usuário que desejar, especialmente quando o ID do usuário é algo público, como um endereço de e-mail. Para provar que realmente é a pessoa que possui aquele endereço de e-mail, o usuário insere sua senha, uma informação secreta que (teoricamente) ninguém mais deveria ter. O sistema de e-mail então identifica que esse usuário é o verdadeiro titular da conta e permite o acesso.

Os processos de autenticação também podem confirmar as identidades de usuários não humanos, como servidores, aplicativos web e outras máquinas e cargas de trabalho.

A autenticação é um componente fundamental da estratégia de segurança da informação. É particularmente importante para o gerenciamento de acesso e identidade (IAM), a disciplina de cibersegurança que lida com a forma como os usuários acessam recursos digitais. A autenticação permite que as organizações restrinjam o acesso à rede apenas a usuários legítimos, sendo o primeiro passo na aplicação das permissões individuais dos usuários.

Atualmente, as identidades dos usuários estão entre os principais alvos dos agentes de ameaças. Segundo o IBM X-Force Threat Intelligence Index, o sequestro de contas legítimas de usuários é o método mais comum de invasão a redes, correspondendo a 30% dos ataques cibernéticos. Os hackers roubam credenciais e se passam por usuários legítimos, permitindo que ultrapassem as defesas da rede para implementar malware e roubar informações.

Para combater esses ataques baseados em identidade, muitas organizações estão abandonando métodos de autenticação exclusivamente baseados em senhas. Em vez disso, estão adotando a autenticação multifator, a autenticação adaptativa e outros sistemas de autenticação fortes, onde as credenciais dos usuários são mais difíceis de serem roubadas ou falsificadas.

A autenticação e a autorização estão interligadas, mas são processos diferentes. A autenticação verifica a identidade de um usuário, enquanto a autorização permite que esse usuário autenticado tenha o nível adequado de acesso a um recurso.

É possível considerar a autenticação e a autorização como respostas para duas perguntas que se complementam:

• Autenticação: quem é você?
  
  
• Autorização: o que você pode fazer neste sistema?

A autenticação normalmente é um pré-requisito para autorização. Por exemplo, quando um administrador de rede faz login em um sistema seguro, ele deve provar que é um administrador fornecendo os fatores de autenticação corretos. Somente então o sistema de IAM autorizará o usuário a efetuar ações administrativas, como adicionar e remover outros usuários.

De forma geral, a autenticação se fundamenta na troca de credenciais de usuário, que também são conhecidas como fatores de autenticação. Um usuário fornece suas credenciais ao sistema de autenticação. Se as informações corresponderem ao que o sistema tem registrado, o sistema autentica o usuário.

Para uma análise mais detalhada, pode-se segmentar o processo de autenticação em uma sequência de passos:

1. Primeiro, um novo usuário deve criar uma conta em um sistema de autenticação. Como parte da criação dessa conta, o usuário registra um conjunto de fatores de autenticação, que podem variar de senhas simples a tokens de segurança físicos e leituras de impressão digital. (Para obter mais informações, consulte "Fatores de autenticação").
   
   Esses fatores devem ser coisas que apenas o usuário possui ou conhece. Dessa forma, o sistema de autenticação pode ter uma razoável certeza de que, se alguém consegue fornecer esses fatores, deve ser o usuário.
   
   
2. O sistema de autenticação armazena as credenciais do usuário em um diretório ou banco de dados, onde estão associadas ao ID do usuário e a outros atributos importantes.
   
   Por motivos de segurança, os sistemas de autenticação geralmente não armazenam credenciais em texto claro. Em vez disso, eles armazenam versões hash ou criptografadas, que seriam menos úteis para qualquer hacker que as roubar.
   
   
3. Quando o usuário deseja fazer login no sistema, ele fornece seu ID de usuário e os fatores de autenticação registrados. O sistema de autenticação verifica a entrada do diretório para esse ID de usuário para ver se suas credenciais correspondem às credenciais salvas no diretório. Caso as credenciais sejam compatíveis, o sistema de autenticação valida a identidade do usuário.
   
   O que o usuário verificado pode fazer em seguida depende do processo de autorização separado, mas relacionado.

Embora este exemplo considere um usuário humano, a autenticação é geralmente a mesma para usuários não humanos. Por exemplo, quando um desenvolvedor conecta um aplicativo a uma interface de programação de aplicativos (API) pela primeira vez, a API pode gerar uma chave de API. A chave é um dado confidencial que somente a API e o aplicativo têm conhecimento. Desde então, sempre que o aplicativo se conectar a essa API, ele precisa mostrar sua chave para comprovar que a chamada é legítima.

Existem quatro tipos de fatores de autenticação que os usuários podem utilizar para provar suas identidades:

Tradicionalmente, cada aplicativo, site ou outro recurso tinha seu próprio sistema de gerenciamento de identidade e acesso (IAM) para gerenciar a autenticação dos usuários. Com o crescimento da transformação digital e a proliferação de aplicativos corporativos e de consumo, esse sistema fragmentado tornou-se complicado e inconveniente.

As organizações têm dificuldade em acompanhar os usuários e impor políticas de acesso consistentes em toda a rede. Os usuários adotam hábitos de segurança inadequados, como usar senhas simples ou reutilizar credenciais em diferentes sistemas.

Em resposta, diversas organizações estão implementando abordagens mais unificadas para a identidade, onde um único sistema pode autenticar usuários em diferentes aplicativos e ativos.

• O logon único (SSO) é um método de autenticação que permite aos usuários fazer login uma única vez com um conjunto de credenciais e acessar múltiplas aplicações em um determinado domínio.

• A arquitetura de identidade federada é um arranjo de autenticação mais amplo no qual um sistema pode autenticar usuários para outro. Autenticações sociais, como utilizar uma conta do Google para entrar em um site diferente, são uma modalidade frequente de identidade federada.

• A orquestração de identidade remove a identidade e a autenticação de sistemas individuais, tratando a identidade como uma camada de rede própria. As soluções de orquestração de identidade introduzem uma camada de integração chamada de malha de identidade, que permite às organizações criar sistemas de autenticação personalizados capazes de integrar quaisquer aplicações e ativos.

Diferentes sistemas de autenticação utilizam diferentes esquemas de autenticação. Alguns dos tipos mais comuns incluem:

• Autenticação de um fator
• Autenticação multifator e autenticação de dois fatores
• Autenticação adaptativa
• Autenticação sem senha

No processo de autenticação de fator único (SFA), os usuários devem apresentar apenas um fator de autenticação para provar sua identidade. Mais comumente, os sistemas SFA dependem de combinações de nome de usuário e senha.

A autenticação SFA é considerada a menos segura, pois significa que os hackers precisam apenas roubar uma credencial para controlar a conta de um usuário. A US Cybersecurity and Infrastructure Agency (CISA) desencoraja oficialmente a SFA como uma "má prática".

Os métodos de autenticação multifator (MFA) exigem pelo menos dois fatores de pelo menos dois tipos diferentes. A MFA é considerada mais robusta que SFA porque os hackers precisam roubar múltiplas credenciais para assumir contas de usuários. Além disso, os sistemas de MFA geralmente utilizam credenciais muito mais difíceis de serem roubadas do que senhas.

A autenticação de dois fatores (2FA) é um tipo de MFA que usa exatamente dois fatores de autenticação. É provavelmente a forma mais comum de MFA em uso atualmente. Por exemplo, quando um site exige que os usuários insiram tanto uma senha quanto um código enviado por mensagem para seu telefone, isso é um esquema de 2FA em ação.

Frequentemente denominada autenticação baseada em risco, os sistemas de autenticação adaptativa utilizam inteligência artificial (IA) e aprendizado de máquina (ML) para analisar o comportamento do usuário e calcular o nível de risco. Os sistemas de autenticação adaptativa alteram dinamicamente os requisitos de autenticação com base no quão arriscado é o comportamento do usuário no momento.

Por exemplo, se alguém faz login em uma conta a partir de seu dispositivo e localização habituais, pode ser necessário inserir apenas a senha. Se o mesmo usuário fizer login a partir de um novo dispositivo ou tentar acessar dados confidenciais, o sistema de autenticação adaptativa pode solicitar mais fatores antes de permitir que ele prossiga.

A autenticação sem senha é um sistema de autenticação que não utiliza senhas nem outros fatores de conhecimento. Por exemplo, o padrão de autenticação Fast Identity Online 2 (FIDO2) substitui senhas por chaves de acesso baseadas em criptografia de chave pública.

Com o FIDO2, um usuário cadastra seu dispositivo para funcionar como um autenticador em um aplicativo, site ou outro serviço. Durante o registro, um par de chaves pública e privada é criado. A chave pública é compartilhada com o serviço, e a chave privada é mantida no dispositivo do usuário.

Quando o usuário deseja fazer login no serviço, o serviço envia um desafio para seu dispositivo. O usuário responde inserindo um código PIN, escaneando sua impressão digital ou realizando outra ação. Essa ação permite que o dispositivo use a chave privada para assinar o desafio e comprovar a identidade do usuário.

As organizações estão cada vez mais adotando autenticação sem senha para se defender contra ladrões de credenciais, que tendem a focar em fatores de conhecimento devido à facilidade relativa de roubá-los.

• A Security Assertion Markup Language (SAML) é um padrão aberto que possibilita que apps e serviços compartilhem informações de autenticação de usuários através de mensagens em XML. Muitos sistemas de SSO utilizam declarações SAML para autenticar usuários em aplicativos integrados.
  
  
• OAuth e OpenID Connect (OIDC): o OAuth é um protocolo de autorização baseado em tokens, permitindo que usuários autorizem um aplicativo a acessar dados em outro aplicativo sem compartilhar suas credenciais. Por exemplo, quando um usuário permite que um site de redes sociais importe seus contatos de e-mail, esse processo frequentemente utiliza o OAuth.
  
  O OAuth não é um protocolo de autenticação, mas pode ser combinado com o OpenID Connect (OIDC), uma camada de identidade construída sobre o protocolo OAuth. O OIDC adiciona tokens de ID junto com os tokens de autorização do OAuth. Esses tokens de ID podem autenticar um usuário e conter informações sobre seus atributos.
  
  
• Kerberos é um esquema de autenticação baseado em tickets comumente usado em domínios do Microsoft Active Directory. Os usuários e serviços se autenticam em um centro de distribuição de chaves central, que lhes fornece tickets que possibilitam a autenticação entre si e o acesso a outros recursos dentro do mesmo domínio.

Com o aumento da eficácia dos controles de cibersegurança, os atores de ameaça estão descobrindo maneiras de evitá-los ao invés de confrontá-los frontalmente. Processos de autenticação fortes podem ajudar a impedir ciberataques baseados em identidade, nos quais hackers roubam contas de usuários e abusam de seus privilégios válidos para passar despercebidos pelas defesas da rede e causar estragos.

Ataques baseados em identidade são o vetor de ataque inicial mais comum, de acordo com o X-Force Threat Intelligence Index, e os agentes de ameaças possuem diversas táticas para roubar credenciais. As senhas de usuários, mesmo as fortes, são fáceis de quebrar por meio de ataques de força bruta, onde hackers utilizam bots e scripts para testar sistematicamente possíveis senhas até encontrar uma que funcione.

Os agentes de ameaças podem usar táticas de engenharia social para enganar alvos e fazê-los revelar suas senhas. Eles podem tentar métodos mais diretos, como ataques intermediário ou a instalação de spyware nos dispositivos das vítimas. Os invasores podem até mesmo comprar credenciais na dark web, onde outros hackers vendem dados de contas que roubaram durante violações anteriores.

No entanto, muitas organizações ainda utilizam sistemas de autenticação ineficazes. Segundo o X-Force Threat Intelligence Index, falhas na identificação e autenticação são os segundo riscos de segurança de aplicações web mais observados.

Processos de autenticação robustos podem ajudar a proteger contas de usuários e os sistemas aos quais eles podem acessar dificultando o roubo de credenciais por hackers e a atuação como usuários legítimos.

Por exemplo, a autenticação multifator (MFA) exige que os hackers roubem múltiplos fatores de autenticação, incluindo dispositivos físicos ou até dados biométricos, para se passarem pelos usuários. De modo semelhante, esquemas de autenticação adaptativa podem detectar comportamentos arriscados dos usuários e impor desafios adicionais de autenticação antes de permitir o prosseguimento. Isso pode ajudar a bloquear as tentativas dos invasores de abusar das contas roubadas.

Ao fortalecer a cibersegurança, a autenticação também pode ajudar a gerar benefícios adicionais. Por exemplo, um estudo do IBM Institute for Business Value descobriu que 66% dos executivos de operações veem a cibersegurança como um facilitador de receita.

Os sistemas de autenticação também podem atender a casos de uso específicos além de proteger contas de usuários individuais, incluindo:

• Controle de acesso: para aplicar políticas de acesso granulares e monitorar as ações dos usuários em suas redes, as organizações precisam de uma forma de determinar quem é quem dentro de seus sistemas. A autenticação permite que as organizações restrinjam o acesso à rede apenas a usuários legítimos, garantam que cada usuário possua os privilégios corretos e atribuam atividades a usuários específicos.
  
  
• Conformidade regulatória: muitas regulamentações de segurança e privacidade de dados exigem políticas rigorosas de controle de acesso e monitoramento abrangente das atividades dos usuários. Algumas regulamentações, como o Payment Card Industry Data Security Standard (PCI DSS), exigem especificamente o uso de sistemas MFA.¹
  
  
• Segurança de IA: como os agentes de ameaças usam ferramentas de IA para realizar ataques cibernéticos sofisticados, medidas robustas de autenticação podem ajudar a neutralizar até mesmo ameaças avançadas. Por exemplo, golpistas podem usar IA generativa para criar mensagens de phishing convincentes e roubar mais senhas, mas sistemas de autenticação adaptativa podem ajudar a identificar esses golpistas quando tentam abusar dos privilégios das contas.