O que é autenticação?

Diferentes sistemas de autenticação utilizam diferentes esquemas de autenticação. Alguns dos tipos mais comuns incluem:

• Autenticação de um fator
• Autenticação multifator e autenticação de dois fatores
• Autenticação adaptativa
• Autenticação sem senha

No processo de autenticação de fator único (SFA), os usuários devem apresentar apenas um fator de autenticação para provar sua identidade. Mais comumente, os sistemas SFA dependem de combinações de nome de usuário e senha.

A autenticação SFA é considerada a menos segura, pois significa que os hackers precisam apenas roubar uma credencial para controlar a conta de um usuário. A US Cybersecurity and Infrastructure Agency (CISA) desencoraja oficialmente a SFA como uma "má prática".

Os métodos de autenticação multifator (MFA) exigem pelo menos dois fatores de pelo menos dois tipos diferentes. A MFA é considerada mais robusta que SFA porque os hackers precisam roubar múltiplas credenciais para assumir contas de usuários. Além disso, os sistemas de MFA geralmente utilizam credenciais muito mais difíceis de serem roubadas do que senhas.

Autenticação de dois fatores (2FA) é um tipo de MFA que utiliza exatamente dois fatores de autenticação. É provavelmente a forma mais comum de MFA em uso hoje. Por exemplo, quando um site exige que os usuários insiram tanto uma senha quanto um código enviado por mensagem para seu telefone, isso é um esquema de 2FA em ação. 

Frequentemente denominada autenticação baseada em risco, os sistemas de autenticação adaptativa utilizam inteligência artificial (IA) e aprendizado de máquina (ML) para analisar o comportamento do usuário e calcular o nível de risco. Os sistemas de autenticação adaptativa alteram dinamicamente os requisitos de autenticação com base no quão arriscado é o comportamento do usuário no momento.

Por exemplo, se alguém faz login em uma conta a partir de seu dispositivo e localização habituais, pode ser necessário inserir apenas a senha. Se o mesmo usuário fizer login a partir de um novo dispositivo ou tentar acessar dados sensíveis, o sistema de autenticação adaptativa pode solicitar mais fatores antes de permitir que prossiga.  

A autenticação sem senha é um sistema de autenticação que não utiliza senhas ou outros fatores de conhecimento. Por exemplo, o padrão de autenticação Fast Identity Online 2 (FIDO2) substitui senhas por chaves de acesso baseadas em criptografia de chave pública.  

Com o FIDO2, o usuário cadastra seu dispositivo para funcionar como um autenticador em um aplicativo, site ou outro serviço. Durante o registro, um par de chaves pública e privada é criado. A chave pública é compartilhada com o serviço e a chave privada é mantida no dispositivo do usuário.

Quando o usuário deseja fazer login no serviço, o serviço envia um desafio para seu dispositivo. O usuário responde inserindo um código PIN, escaneando sua impressão digital ou realizando outra ação. Essa ação permite que o dispositivo use a chave privada para assinar o desafio e comprovar a identidade do usuário.

As organizações estão cada vez mais adotando autenticação sem senha para se defender contra ladrões de credenciais, que tendem a focar em fatores de conhecimento devido à facilidade relativa de roubá-los.

• A Security Assertion Markup Language (SAML) é um padrão aberto que possibilita que apps e serviços compartilhem informações de autenticação de usuários através de mensagens em XML. Muitos sistemas de SSO utilizam asserções SAML para autenticar usuários em aplicativos integrados.  
  
  
• OAuth e OpenID Connect (OIDC): OAuth é um protocolo de autorização que utiliza tokens, permitindo que usuários autorizem um aplicativo a acessar dados em outro aplicativo sem compartilhar suas credenciais. Por exemplo, quando um usuário permite que um site de mídia social importe seus contatos de e-mail, esse processo frequentemente utiliza OAuth.
  
  O OAuth não é um protocolo de autenticação, mas pode ser combinado com o OpenID Connect (OIDC), uma camada de identidade construída sobre o protocolo OAuth. O OIDC adiciona tokens de ID junto com os tokens de autorização do OAuth. Esses tokens de ID podem autenticar um usuário e conter informações sobre seus atributos.
  
  
• Kerberos é um esquema de autenticação baseado em tickets comumente usado em domínios do Microsoft Active Directory. Os usuários e serviços se autenticam em um centro de distribuição de chaves central, que lhes fornece tickets que possibilitam a autenticação entre si e o acesso a outros recursos dentro do mesmo domínio.

Com o aumento da eficácia dos controles de cibersegurança, os atores de ameaça estão descobrindo maneiras de evitá-los ao invés de confrontá-los frontalmente. Processos de autenticação fortes podem ajudar a impedir ciberataques baseados em identidade, nos quais hackers roubam contas de usuários e abusam de seus privilégios válidos para passar despercebidos pelas defesas da rede e causar estragos.

Ataques baseados em identidade são o vetor de ataque inicial mais comum, de acordo com o X-Force Threat Intelligence Index, e os agentes de ameaça possuem diversas táticas para roubar credenciais. As senhas de usuários, mesmo as fortes, são fáceis de quebrar por meio de ataques de força bruta, onde hackers utilizam bots e scripts para testar sistematicamente possíveis senhas até encontrar uma que funcione.

Os agentes de ameaças podem usar táticas de engenharia social para enganar alvos e fazê-los revelar suas senhas. Eles podem tentar métodos mais diretos, como ataques intermediário ou a instalação de spyware nos dispositivos das vítimas. Os invasores podem até mesmo comprar credenciais na dark web, onde outros hackers vendem dados de contas que roubaram durante violações anteriores.

No entanto, muitas organizações ainda utilizam sistemas de autenticação ineficazes. Segundo o X-Force Threat Intelligence Index, falhas na identificação e autenticação são os segundo riscos de segurança de aplicações web mais observados.

Processos de autenticação robustos podem ajudar a proteger contas de usuários e os sistemas aos quais eles podem acessar dificultando o roubo de credenciais por hackers e a atuação como usuários legítimos.

Por exemplo, a autenticação multifator (MFA) exige que hackers roubem múltiplos fatores de autenticação, incluindo dispositivos físicos ou até dados biométricos, para se passarem por usuários. De modo semelhante, esquemas de autenticação adaptativa podem detectar comportamentos arriscados dos usuários e impor desafios adicionais de autenticação antes de permitir o prosseguimento. Isso pode ajudar a bloquear as tentativas dos invasores de abusar de contas roubadas. 

Os sistemas de autenticação também podem atender a casos de uso específicos além de proteger contas de usuários individuais, incluindo:

• Controle de acesso: para aplicar políticas de acesso granulares e monitorar as ações dos usuários em suas redes, as organizações precisam de uma forma de determinar quem é quem dentro de seus sistemas. A autenticação permite que as organizações restrinjam o acesso à rede apenas a usuários legítimos, garantam que cada usuário possua os privilégios corretos e atribuam atividades a usuários específicos.
  
  
• Conformidade regulatória: muitas regulamentações de segurança e privacidade de dados exigem políticas rigorosas de controle de acesso e monitoramento abrangente das atividades dos usuários. Algumas regulamentações, como o Payment Card Industry Data Security Standard (PCI DSS), exigem especificamente o uso de sistemas MFA.¹
  
  
• Segurança de IA: como os agentes de ameaças usam ferramentas de IA para realizar ataques cibernéticos sofisticados, medidas robustas de autenticação podem ajudar a neutralizar até mesmo ameaças avançadas. Por exemplo, golpistas podem usar IA generativa para criar mensagens de phishing convincentes e roubar mais senhas, mas sistemas de autenticação adaptativa podem ajudar a identificar esses golpistas quando tentam abusar dos privilégios das contas.