O que é MFA (autenticação multifator)?

Muitos usuários da internet estão familiarizados com a forma mais comum de MFA, a autenticação de dois fatores (2FA). A autenticação de dois fatores solicita apenas duas evidências, mas algumas implementações de MFA solicitam três ou mais.

Por exemplo, para fazer login em uma conta de e-mail protegida por MFA, um usuário pode precisar digitar a senha correta da conta (o primeiro fator) e uma senha de uso único que o provedor de e-mail envia para o celular móvel do usuário em uma mensagem de texto (o segundo fator). Para uma conta especialmente confidencial, pode ser necessário um terceiro elemento de prova, como a posse de uma chave de hardware.

O usuário poderá acessar o sistema somente se todos os fatores necessários forem confirmados. Se algo estiver errado, a tentativa de login falhará.

Os métodos de MFA são usados para acessar todos os tipos de contas, ativos e sistemas confidenciais. Eles existem inclusive offline: usar um cartão bancário (a primeira evidência) e um PIN (a segunda evidência) para sacar dinheiro de um caixa eletrônico é uma forma de MFA.

A MFA se tornou uma parte cada vez mais importante das estratégias corporativas de gerenciamento de acesso e identidade (IAM). Os métodos padrão de autenticação de fator único dependem de nomes de usuários e senhas, que são fáceis de roubar ou hackear. De fato, as credenciais comprometidas são a causa mais comum das violações de dados, de acordo com o relatório do custo das violações de dados da IBM.

Os sistemas de MFA adicionam uma camada extra de segurança, exigindo mais de uma prova para confirmar a identidade de um usuário. Mesmo que um hacker roube uma senha, ele não tem o suficiente para obter acesso não autorizado a um sistema. Eles ainda precisam de um segundo fator.

Além disso, o segundo fator costuma ser muito mais difícil de decifrar do que uma senha simples, como uma leitura de impressão digital ou um token de segurança física.

Em um sistema MFA, os usuários precisam de pelo menos duas evidências, chamadas "fatores de autenticação", para comprovar suas identidades. Sistemas MFA podem usar vários tipos de fatores de autenticação, e os sistemas MFA verdadeiros usam pelo menos dois tipos diferentes de fatores.

Usar diferentes tipos de fatores é considerado mais seguro do que usar vários fatores do mesmo tipo, porque os cibercriminosos precisam usar métodos separados em canais diferentes para decifrar cada fator.

Por exemplo, os hackers podem roubar a senha de um usuário plantando um spyware no computador de uma vítima. No entanto, esse spyware não captaria nenhum código de acesso único enviado ao smartphone do usuário, nem faria uma cópia da impressão digital do usuário. Os invasores precisariam interceptar a mensagem de SMS que contém a senha ou invadir o scanner de impressão digital para reunir todas as credenciais necessárias.

Os tipos de fatores de autenticação incluem:

• Fatores de conhecimento
• Fatores de posse
• Fatores inerentes
• Fatores comportamentais

Fatores de conhecimento são informações que, teoricamente, apenas o usuário saberia, como senhas, PINs e respostas a perguntas de segurança. Fatores de conhecimento, geralmente senhas, são o primeiro fator na maioria das implementações de MFA.

No entanto, os fatores de conhecimento também são os fatores de autenticação mais vulneráveis. Os hackers podem obter senhas e outros fatores de conhecimento por meio de ataques de phishing, instalação de malware nos dispositivos dos usuários ou ataques de força bruta, nos quais eles usam bots para gerar e testar possíveis senhas em uma conta até que uma delas funcione.

Outros tipos de fatores de conhecimento também são vulnerabilidades. Respostas para muitas perguntas de segurança, como a clássica "Qual é o nome de solteira de sua mãe?", podem ser decifradas por meio de pesquisas básicas em redes sociais ou ataques de engenharia social que induzam os usuários a divulgar informações pessoais.

A prática comum de exigir uma senha e uma pergunta de segurança não é uma verdadeira MFA porque usa dois fatores do mesmo tipo – neste caso, dois fatores de conhecimento. Pelo contrário, este seria um exemplo de um processo de verificação em duas etapas. A verificação em duas etapas oferece alguma segurança adicional porque exige mais de um fator, mas não é tão segura quanto a verdadeira MFA.

Fatores de posse são coisas que uma pessoa possui e que ela pode usar para provar sua identidade. Os fatores de posse incluem tokens de software digital e tokens de hardware físico.

Mais comuns atualmente, os tokens de software são chaves de segurança digital armazenadas em ou geradas por um dispositivo que o usuário possui, normalmente um smartphone ou outro dispositivo móvel. Com tokens de software, o dispositivo do usuário atua como o fator de posse. O sistema MFA pressupõe que apenas o usuário legítimo teria acesso ao dispositivo e a qualquer informação nele.

Os tokens de segurança do software podem assumir várias formas, desde certificados digitais que autenticam automaticamente um usuário até tokens de uso único (OTPs) que mudam sempre que um usuário faz login.

Algumas soluções de MFA enviam OTPs para o telefone do usuário por SMS, e-mail ou chamada. Outras implementações de MFA usam aplicativos de autenticação: aplicativos móveis especializados que geram continuamente senhas de uso único baseadas em tempo (TOTPs). Muitas TOTPs expiram em 30 a 60 segundos, dificultando o roubo e o uso antes que o tempo se esgote e a senha se torne obsoleta.

Alguns aplicativos de autenticação usam notificação por push em vez de TOTPs. Quando um usuário tenta fazer login em uma conta, o aplicativo envia uma notificação por push diretamente para o sistema operacional iOS ou Android do dispositivo do usuário. O usuário deve tocar na notificação para confirmar a tentativa de login.

Alguns aplicativos de autenticação comuns incluem o Google Authenticator, o Microsoft Authenticator e o LastPass Authenticator.

Outros sistemas de autenticação usam equipamentos dedicadas de hardware que atuam como tokens físicos. Alguns tokens físicos se conectam à porta USB de um computador e transmitem as informações de autenticação automaticamente para os aplicativos e sites. Outros tokens de hardware são dispositivos independentes que geram OTPs sob demanda.

Os tokens de hardware também podem incluir chaves de segurança mais tradicionais, como um chaveiro que abre uma fechadura física ou um cartão inteligente que o usuário deve passar por um leitor de cartão.

A principal vantagem dos fatores de posse é que os agentes maliciosos devem ter o fator em sua posse para se passar por um usuário. Muitas vezes, isso significa roubar um smartphone físico ou uma chave de segurança. Além disso, as OTPs expiram após um determinado período de tempo. Mesmo que os hackers roubem uma, não há garantia de que funcione.

Mas os fatores de posse não são perfeitos. Os tokens físicos podem ser roubados, perdidos ou extraviados. Os certificados digitais podem ser copiados. As OTPs são mais difíceis de roubar do que as senhas tradicionais, mas ainda são suscetíveis a certos tipos de malware, golpes de spear phishing ou ataques intermediários.

Os hackers também podem usar meios mais sofisticados. Em um golpe de clonagem de SIM, os invasores criam uma duplicata funcional do cartão SIM do smartphone da vítima, permitindo-lhes interceptar as senhas enviadas para o número de telefone do usuário.

Os ataques de fadiga de MFA tiram proveito dos sistemas de MFA que usam notificação por push. Os hackers inundam o dispositivo do usuário com notificações fraudulentas na esperança de que a vítima acidentalmente confirme uma delas, permitindo que o hacker entre em sua conta.

Também chamados de "biometria", os fatores inerentes são funcionalidades físicas exclusivas do usuário, como impressões digitais, características faciais e varreduras de retina. Muitos smartphones e notebooks vêm com scanners faciais e leitores de impressões digitais, e muitos aplicativos e sites podem usar esses dados biométricos como um fator de autenticação.

Embora os fatores inerentes estejam entre os mais difíceis de decifrar, isso pode acontecer. Por exemplo, pesquisadores de segurança descobriram uma maneira de hackear os scanners de impressão digital Windows Hello em determinados notebooks. Os pesquisadores conseguiram substituir as impressões digitais dos usuários registrados pelas suas, concedendo-lhes efetivamente o controle dos dispositivos.

Os avanços na geração de imagens de inteligência artificial (IA) também geram preocupações para os especialistas em cibersegurança, pois os hackers podem usar essas ferramentas para enganar os softwares de reconhecimento facial.

Quando os dados biométricos são comprometidos, eles não podem ser alterados de forma rápida ou fácil, dificultando a interrupção de ataques em andamento e a recuperação do controle das contas.

Fatores comportamentais são artefatos digitais que ajudam a verificar a identidade de um usuário com base em padrões comportamentais, como o intervalo de endereços IP típico do usuário, localização e velocidade média de digitação.

Por exemplo, ao fazer login em um aplicativo de uma rede privada virtual (VPN) corporativa, um usuário pode precisar fornecer apenas um fator de autenticação. A presença deles na VPN confiável conta como o segundo fator.

Da mesma forma, alguns sistemas permitem que os usuários cadastrem dispositivos confiáveis como fatores de autenticação. Sempre que o usuário acessa o sistema a partir do dispositivo confiável, o uso do dispositivo funciona automaticamente como o segundo fator.

Embora os fatores comportamentais ofereçam uma maneira sofisticada de autenticar os usuários, os hackers ainda podem se passar pelos usuários copiando seu comportamento.

Por exemplo, se um hacker obtiver acesso a um dispositivo confiável, ele poderá usá-lo como um fator de autenticação. Da mesma forma, os invasores podem falsificar seus endereços IP para fazer parecer que estão conectados à VPN corporativa.

A MFA adaptativa usa autenticação adaptativa, também chamada de "autenticação baseada em risco". Os sistemas de autenticação adaptativa usam IA e aprendizado de máquina (ML) para avaliar a atividade do usuário e ajustar dinamicamente os desafios de autenticação. Quanto mais arriscada for a situação, mais fatores de autenticação o usuário deverá fornecer.

Por exemplo, se um usuário tentar fazer login em um aplicativo de nível baixo a partir de um dispositivo conhecido em uma rede confiável, pode ser necessário inserir apenas a senha.

Se o mesmo usuário tentar fazer login no mesmo aplicativo a partir de uma conexão Wi-Fi pública não segura, talvez seja necessário fornecer um segundo fator.

Se o usuário tentar acessar informações especialmente confidenciais ou alterar informações críticas da conta, talvez seja necessário fornecer um terceiro ou até mesmo um quarto fator.

Sistemas de autenticação adaptável podem ajudar as organizações a lidar com alguns dos desafios mais comuns das implementações de MFA. Por exemplo, os usuários podem resistir à MFA porque a acham menos conveniente do que uma senha simples. A MFA adaptativa faz com que os usuários só precisem de múltiplos fatores para situações confidenciais, melhorando a experiência do usuário.

Para uma organização, diferentes ativos e partes da rede podem exigir diferentes níveis de segurança. Exigir MFA para cada aplicativo e atividade pode gerar uma experiência de usuário ruim com pouco benefício de segurança.

Os sistemas de autenticação adaptável permitem que as organizações definam processos de gerenciamento de acesso mais granulares com base nos usuários, atividades e recursos envolvidos, em vez de aplicar uma solução única para todos.

Dito isso, os sistemas adaptativos podem exigir mais recursos e conhecimento para serem mantidos do que uma solução MFA padrão.

Os sistemas MFA sem senha aceitam apenas fatores de posse, inerentes e comportamentais – não fatores de conhecimento. Por exemplo, pedir a um usuário uma impressão digital junto com um token físico constituiria uma MFA sem senha.

Chaves de acesso, como aquelas baseadas no popular padrão FIDO, são uma das formas mais comuns de autenticação sem senha. Eles usam criptografia de chave pública para verificar a identidade do usuário.

A MFA sem senha elimina os fatores de conhecimento porque são os fatores mais fáceis de comprometer. Embora os métodos MFA atuais mais utilizados usem senhas, os especialistas do setor preveem um futuro cada vez mais sem senha. Organizações como Google, Apple, IBM e Microsoft oferecem opções de autenticação sem senha.

As organizações usam sistemas de autenticação para proteger as contas dos usuário desses ataques. No entanto, nos sistemas de autenticação mais básicos, basta uma senha para obter acesso, o que não é muito mais seguro do que "Charlie me enviou".

De acordo com o relatório do custo das violações de dados da IBM, credenciais comprometidas e phishing são os dois vetores de ciberataques mais comuns por trás de violações de dados. Juntos, eles respondem por 31% das violações. Ambos os vetores geralmente funcionam roubando senhas, que os hackers podem usar para sequestrar contas e dispositivos legítimos e causar estragos.

Os hackers têm como alvo as senhas porque elas são fáceis de serem descobertas por meio de força bruta ou engano. Além disso, como as pessoas reutilizam senhas, os hackers muitas vezes podem usar uma única senha roubada para invadir várias contas. As consequências de uma senha roubada podem ser graves para os usuários e organizações, podendo levar ao roubo de identidade, roubo monetário, sabotagem do sistema e muito mais.

A MFA adiciona uma camada extra de proteção às contas dos usuários, ajudando a impedir o acesso não autorizado ao colocar mais obstáculos entre os invasores e seus alvos. Mesmo que os hackers consigam roubar uma senha, eles ainda precisam de, pelo menos, um fator a mais para entrar.

A MFA também pode ajudar as organizações a atender aos requisitos de conformidade. Por exemplo, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) exige explicitamente a MFA para sistemas que lidam com dados de cartões de pagamento.

Outras regulamentações de privacidade de dados e segurança, como a Lei Sarbanes-Oxley (SOX) e o Regulamento Geral de Proteção de Dados (GDPR), não exigem explicitamente a MFA. Ainda assim, os sistemas de MFA podem ajudar as organizações a atender aos rigorosos padrões de segurança definidos por essas leis.

Em alguns casos, as organizações foram obrigadas a adotar a MFA após violações de dados. Por exemplo, a Federal Trade Commission ordenou que a vendedora online de bebidas alcoólicas Drizly implementasse a MFA após uma violação que afetou 2,5 milhões de clientes^.1

O logon único (SSO) é um esquema de autenticação que permite que os usuários façam login em várias aplicações usando um único conjunto de credenciais. Embora o SSO e a MFA lidem com a autenticação, eles têm finalidades completamente diferentes: a MFA aumenta a segurança, enquanto o SSO foi projetado para facilitar o uso.

O SSO é usado com frequência nas organizações em que os membros da equipe precisam acessar vários serviços ou aplicações para realizar seu trabalho. Exigir que os usuários criem contas separadas para cada aplicação pode levar à fadiga de senhas, ou seja, ao estresse associado à lembrança de um número excessivo de logins.

O SSO permite que as pessoas usem um único login para múltiplas aplicações, melhorando a experiência do usuário.

A MFA não lida necessariamente com a experiência do usuário, mas adiciona camadas extras de segurança ao processo de login.

A MFA e o SSO estão relacionados e são complementares, pois os sistemas modernos de SSO geralmente exigem MFA, ajudando a garantir que a conexão seja conveniente e relativamente segura.

A diferença entre a 2FA e a MFA é que a 2FA usa exatamente dois fatores, enquanto a MFA pode exigir dois, três ou até mais fatores, dependendo do nível de segurança necessário. A 2FA é um tipo de MFA.

A maioria das aplicações de MFA usa a 2FA porque dois fatores geralmente são suficientemente seguros. No entanto, as organizações podem exigir fatores adicionais para comprovar uma identidade antes de conceder acesso a informações altamente confidenciais, como dados financeiros ou arquivos contendo informações de identificação pessoal (PII).