A MFA resistente a phishing é um método de autenticação multifator que utiliza chaves criptográficas vinculadas a sites legítimos para verificar a identidade de um usuário de uma forma a resiste à interceptação, reprodução ou engenharia social.
A maioria dos métodos de MFA (códigos SMS, senhas únicas, notificações por push) funciona gerando um segredo que o usuário final fornece a um serviço. Por exemplo, quando um usuário faz login em sua conta bancária, ele pode inserir uma senha e um código de seis dígitos enviado ao telefone ou gerado por um aplicativo autenticador.
Embora esses métodos de MFA possam ajudar a impedir muitos ataques, eles podem enfrentar problemas de phishing, ataques cibernéticos que usam comunicações enganosas para enganar os usuários e levá-los a revelar suas credenciais ou aprovar um acesso fraudulento.
Os ataques de phishing exploram o comportamento humano em vez de vulnerabilidades técnicas, o que pode dificultar o bloqueio por parte dos sistemas tradicionais de MFA. Os fatores de autenticação que os invasores roubam ou manipulam são tecnicamente válidos. O código é real, a aprovação é genuína e as credenciais estão corretas. A MFA tradicional não tem como distinguir a diferença entre um login legítimo e um que foi coagido ou interceptado.
De acordo com o IBM X-Force Threat Intelligence Index, o phishing é uma das principais formas pelas quais os invasores obtêm as credenciais válidas que depois abusam. As contas roubadas são um dos vetores de ataque inicial mais comuns, sendo responsáveis por 32% dos incidentes.
A autenticação multifator resistente a phishing ajuda a interromper esses ataques, fornecendo autenticação de uma maneira fundamentalmente diferente.Em vez de transmitir um segredo, utiliza criptografia de chave pública e uma técnica chamada origem vinculativa.
A criptografia de chave pública é uma abordagem criptográfica que utiliza um par de chaves matematicamente vinculadas, uma pública e outra privada, para verificar a identidade sem transmitir um segredo compartilhado.
A vinculação de origem ocorre quando o autenticador (como uma chave de segurança ou chave de acesso em um telefone) responde apenas quando reconhece o domínio legítimo. Se o site for falsificado, o autenticador permanecerá em silêncio e não haverá nada para o invasor capturar.
Por exemplo, digamos que um funcionário seja atraído para uma página de login falsa em vez da verdadeira. Seu autenticador verifica o domínio, não encontra nenhuma correspondência e permanece em silêncio, mesmo que já tenha inserido suas credenciais.
Com a MFA resistente a phishing, as organizações podem ajudar a proteger as contas de usuários mesmo quando os funcionários caem em tentativas de phishing. Elas também podem ajudar a atender ao crescente conjunto de padrões e requisitos regulatórios, de entidades como o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), a Agência de Segurança Cibernética e de Infraestrutura (CISA) e seguradoras cibernéticas, que agora consideram a autenticação resistente a phishing como o requisito básico para uma autenticação forte.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
O problema com a maioria dos métodos de autenticação é que eles compartilham uma fragilidade estrutural: dependem de um segredo que o usuário transmite. Quando esse segredo está em trânsito, ele pode ser interceptado, reproduzido ou obtido por meio de extorsão através de engenharia social.
Cada tipo de fator de autenticação na MFA tradicional geralmente tem uma vulnerabilidade específica, e os cibercriminosos criaram toolkits inteiros em torno deles para exploração.
Os códigos de mensagem de texto SMS passam por uma infraestrutura de operadora que nunca foi projetada com a cibersegurança em mente.
Em um ataque de troca de SIM, um invasor convence uma operadora de telefonia móvel (ou os engenheiros sociais de um funcionário da central de atendimento) a transferir o número de telefone da vítima para um novo cartão SIM. Depois que esse número é transferido, todas as mensagens de texto vão para o invasor, incluindo os códigos MFA.
Os códigos SMS também estão expostos a vulnerabilidades SS7, falhas antigas no protocolo de sinalização que as operadoras de telecomunicações ainda usam para rotear mensagens entre redes. As vulnerabilidades SS7 podem permitir que os invasores interceptem ou redirecionem mensagens SMS no nível da rede, sem precisar de acesso ao dispositivo ou à conta da operadora da vítima. Os ataques baseados em SS7 podem ser ainda mais difíceis de detectar do que uma troca de SIM.
Os aplicativo autenticadores usam senhas de uso único (OTPs) para verificar a identidade do usuário no login. Os OTPs costumam ser mais difíceis de interceptar em trânsito porque são gerados localmente no dispositivo do usuário em vez de serem enviados por uma rede telefônica. Mas ainda estão vulneráveis a ataques de intermediários (MitM), nos quais um cibercriminoso se posiciona secretamente entre o usuário e o serviço legítimo para interceptar e retransmitir credenciais em tempo real.
Os ataques MitM ocorrem quando um agente da ameaça configura um servidor proxy entre a vítima e a página de login real. A vítima, então, clica em um link de um ataque de phishing e chega ao que parece ser a página de login real, porque efetivamente é, só que refletida pelo proxy do invasor. A vítima insere seu nome de usuário, senha e OTP. O proxy retransmite tudo para o serviço original, que valida o código e retorna um token de sessão. O proxy captura esse token e o canaliza para o invasor. A senha de uso único era válida; só que foi usada pela pessoa errada, no site errado.
Os kits de phishing que automatizam todo esse processo agora são vendidos como serviços na dark web, assim como vastos conjuntos de credenciais roubadas. Os cibercriminosos não precisam criar suas próprias ferramentas. Eles podem comprar acesso a contas de usuários e dados confidenciais da mesma forma que uma empresa compra software.
As notificações por push podem simplificar o processo de autenticação, permitindo que os usuários toquem em "Aprovar" em seus telefones em vez de inserir um código. No entanto, essa simplicidade pode criar uma vulnerabilidade conhecida como notificação por push em massa.
O ataque funciona assim: um cibercriminoso que já tem credenciais roubadas dispara solicitações de aprovação repetidamente, às vezes por uma hora ou mais. Para interromper as interrupções, ou por acreditar que são reais, a vítima toca em "Aprovar", dando ao invasor acesso à sua conta.
A engenharia social pode facilitar o ataque. Os hackers podem enviar mensagens pelo WhatsApp ou Teams se passando por profissionais de segurança de TI, alertando sobre tentativas de login incomuns na conta da vítima e pedindo que ela aprove a notificação.
A IA generativa dificultou a detecção dessas ameaças cibernéticas. Os invasores agora podem criar mensagens que façam referência a projetos reais em andamento, imitar os estilos de notificação de TI da empresa e corresponder à linguagem do alvo. Recursos que há poucos anos exigiam um esforço humano sofisticado e agora podem ser automatizados e otimizados.
A diferença principal entre a MFA tradicional e a MFA resistente a phishing se resume ao que cruza a rede. A autenticação tradicional envia um segredo compartilhado (um código) do usuário para o servidor. Qualquer pessoa que possa interceptar ou retransmitir esse código pode usá-lo. A autenticação resistente a phishing elimina o segredo compartilhado por completo.
Em vez disso, o processo de autenticação utiliza um protocolo de desafio-resposta baseado na criptografia de chave pública. O dispositivo do usuário contém uma chave privada que nunca sai do dispositivo. O serviço contém a chave pública correspondente. Quando o usuário faz login, o serviço envia um desafio aleatório. O dispositivo assina com a chave privada. O serviço verifica a assinatura em relação à chave pública. Se houver correspondência, o usuário é autenticado e não havia nada nessa troca de informações que um invasor pudesse roubar ou repetir.
Duas abordagens comuns são a autenticação de certificados baseada em FIDO2 e PKI. Ambas dependem da criptografia de chave pública, mas diferem na forma como são implementadas e onde são normalmente implementadas. Em outras palavras, a criptografia é o método principal, e FIDO2 e PKI são as duas formas mais comuns de a organização implementá-la.
Os autenticadores (o token físico ou de software com o qual um usuário interage) podem assumir diferentes formas, dependendo da abordagem. Chaves de segurança e senhas são comuns no FIDO2, enquanto cartões inteligentes são comuns na autenticação de certificado baseada em PKI.
FIDO2 é um conjunto de padrões de autenticação abertos mantidos pela FIDO Alliance e pelo World Wide Web Consortium (W3C).
Ele consiste em dois protocolos: WebAuthn, a API do navegador que os sites usam para solicitar autenticação criptográfica e CTAP (Protocolo do Cliente para o Autenticador), que permite que autenticadores externos se comuniquem com navegadores e sistemas operacionais.
Quando um usuário se inscreve em um serviço habilitado por FIDO2, seu autenticador gera um par de chaves. A chave privada permanece no autenticador. A chave pública vai para o serviço. Esse par de chaves também está vinculado ao domínio específico (origem) do serviço, digamos, "login.exemplo.com".
Quando o usuário tenta fazer login, o navegador verifica o domínio do site em relação à origem registrada. Em "login.example.com", os domínios correspondem e o autenticador responde.
Em "login-example.com", potencialmente próximo o suficiente para enganar um humano, mas não uma correspondência, o autenticador permanece em silêncio. O usuário final não precisa avaliar se uma URL parece legítima. O protocolo de autenticação FIDO lida com isso automaticamente.
A infraestrutura de chave pública (PKI) usa certificados digitais emitidos por uma autoridade de certificação confiável. O processo de autenticação segue o mesmo padrão de desafio-resposta do FIDO2: o serviço envia um desafio, o dispositivo físico o assina e o serviço verifica a assinatura. Nenhum segredo é enviado pela conexão.
A autenticação baseada em PKI tem sido o padrão no governo federal e na defesa há décadas. Os cartões inteligentes (cartões físicos com um chip embutido que credencia e autentica o usuário quando inseridos em um leitor de cartões ou aproximados de um) atendem a requisitos rigorosos de garantia de identidade.
Embora os cartões inteligentes sejam o autenticador PKI mais comum, eles não são o único. Os certificados PKI também podem ser armazenados em tokens USB ou gerenciados por meio de software. Em implementações governamentais e empresariais, os cartões inteligentes são normalmente preferidos porque fornecem proteção em nível de hardware para a chave privada.
Outros setores com infraestrutura local existente e requisitos regulatórios rigorosos, como saúde, serviços financeiros e serviços jurídicos, geralmente dependem de cartões inteligentes pelos mesmos motivos
Para as organizações que estão começando do zero, o FIDO2 costuma ser a opção preferida, pois exige muito menos sobrecarga operacional.
Autenticadores são os dispositivos físicos ou mecanismos de software com os quais os usuários interagem para concluir o processo de autenticação; em outras palavras, a implementação prática dos padrões FIDO2 e PKI.
O formato ideal depende do nível de risco, da infraestrutura existente e das concessões que uma organização está disposta a aceitar em termos de experiência do usuário. Muitas grandes organizações acabam usando mais de um.
Alguns dos tipos de autenticadores mais comuns incluem:
As chaves de segurança de hardware são dispositivos físicos, como YubiKey ou Google Titan Key, que armazenam chaves criptográficas em hardware resistente a adulteração. Eles se conectam por meio de USB ou comunicação por campo de proximidade (NFC), como encostar um chaveiro em um telefone ou aproximar um cartão sem contato de um leitor.
Como a chave privada é gerada dentro do chip inviolável do dispositivo e nunca é exportada (nem mesmo durante a autenticação), um invasor precisa ter a posse física do dispositivo para comprometê-lo. Ataques remotos são praticamente impossíveis. O custo operacional é a distribuição: as organizações precisam enviá-los, fazer o inventário e substituí-los. Para muitas funções de alto risco (administradores de sistema, desenvolvedores com acesso à produção) esse custo pode valer a pena.
Os autenticadores de plataforma utilizam sensores biométricos e hardware seguro integrados em notebooks e dispositivos móveis, como leitores de impressões digitais ou câmeras de reconhecimento facial.
A chave privada reside no enclave seguro do dispositivo ou no Trusted Platform Module (TPM), o que significa que não há nenhum hardware extra para carregar. O usuário deve confirmar sua identidade localmente, seja por meio de uma impressão digital, reconhecimento facial ou um PIN de dispositivo. A verificação local desbloqueia a chave privada (ela não substitui o processo criptográfico), que então assina o desafio de autenticação.
A limitação da autenticação de plataforma é que a autenticação está vinculada à máquina que detém a chave.
As chaves de acesso são credenciais criptográficas armazenadas nativamente no dispositivo do usuário que substituem completamente as senhas. Assim como outros autenticadores FIDO2, eles usam uma chave privada que nunca sai do dispositivo para assinar os desafios de autenticação, com o usuário verificando sua identidade por meio de biometria ou PIN do dispositivo.
Diferentemente das chaves de segurança de hardware, as chaves de acesso podem sincronizar credenciais em dispositivos móveis por meio de um provedor de nuvem, como Apple, Google ou Microsoft. Um usuário que cadastra uma chave de acesso em seu telefone também pode se autenticar em seu notebook, desde que ambos estejam conectados à mesma conta.
A experiência de autenticação sem senha é mais tranquila do que qualquer outro método resistente a phishing; nenhuma senha para lembrar, redefinir ou perder em um ataque de phishing. A ressalva é a dependência da plataforma: as chaves de acesso nem sempre são facilmente portáveis entre ecossistemas.
Os cartões inteligentes, como PIV, CAC e outros cartões similares baseados em PKI, são o principal tipo de autenticador para a implementação de PKI. Eles fornecem um hardware resistente a adulterações para a chave privada em um formato portátil. As normas federais relativas aos cartões PIV e CAC também criaram décadas de infraestrutura consolidada em torno deles.
Os cartões inteligentes exigem leitores de cartões e middleware em cada estação de trabalho, junto com uma infraestrutura de gerenciamento de certificados de back-end.
Sua pegada de carbono é mais pesada que a FIDO2, mas a tecnologia é madura e profundamente enraizada em ambientes governamentais e setores regulamentados.
A MFA resistente a phishing resolve o problema do phishing e do roubo de credenciais na origem, tornando as credenciais roubadas inúteis, ao mesmo tempo em que apoia objetivos mais amplos de cibersegurança e conformidade.
Alguns dos benefícios mais significativos da MFA resistente a phishing incluem:
A autenticação resistente a phishing ajuda a eliminar os tipos de ataques que tornaram as soluções tradicionais de MFA cada vez mais insuficientes como medidas de segurança.
Os ataques de troca de SIM não funcionam porque não há um código SMS para interceptar. Os ataques intermediários não funcionam porque não há um código OTP para retransmitir. A tática de "push bombing" não funciona porque não há autorização para manipular.
Mesmo que um cibercriminoso obtenha a senha de um usuário, ele não poderá acessar uma conta ou dados confidenciais sem o dispositivo físico que contém a chave privada.
O zero trust opera sob a premissa de que nenhum usuário ou dispositivo deve ser implicitamente confiável e toda decisão de controle de acesso passa por um processo de verificação. Mas esse modelo se desfaz se o próprio mecanismo de verificação puder ser burlado por um e-mail convincente e uma página de login falsificada.
A MFA resistente a phishing ajuda a fechar essa lacuna, possibilitando a verificação contínua que o zero trust exige.
A CISA chama a MFA resistente a phishing de "padrão de ouro" para autenticação, e muitos órgãos reguladores e órgãos de padrões formalizaram essa posição.
A Publicação Especial 800-63-4 do NIST, finalizada em 2025, torna a autenticação resistente a phishing obrigatória no Nível de Garantia do Autenticador 3, exigindo chaves privadas vinculadas a hardware e não exportáveis para casos de uso de alta garantia.
O memorando M-22-09 do Escritório de Gestão e Orçamento dos EUA atualmente exige que agências do governo federal implementem MFA resistente a phishing para funcionários, contratados e parceiros.
Além das exigências do governo, as organizações estão cada vez mais atentas à qualidade da MFA, e não apenas à sua presença. Programas como o PCI DSS definem explicitamente a MFA resistente a phishing, e muitas seguradoras cibernéticas agora perguntam sobre a robustez da MFA durante a análise de risco.
A MFA resistente a phishing pode dar a impressão de que adiciona atrito. Na prática, as chaves de acesso e os autenticadores de plataforma geralmente reduzem isso. Aproximar o dedo de um leitor de impressões digitais costuma ser mais rápido do que abrir um aplicativo móvel, copiar um código OTP de seis dígitos e digitá-lo antes que expire.
A autenticação sem senha (em que a chave de acesso ou a chave de segurança substitui totalmente a senha) pode levar ainda mais longe: sem senha para esquecer, redefinir ou entregar para uma página de phishing. A funcionalidade que os usuários finais perdem é a senha. O que eles ganham é uma experiência de autenticação que é frequentemente mais rápida e segura.
A MFA resistente a phishing raramente opera de forma isolada. Normalmente, está inserida em uma arquitetura mais ampla de gerenciamento de acesso e identidade (IAM) que inclui várias camadas de suporte.
As políticas de acesso condicional adicionam contexto às decisões de autenticação. Em vez de tratar todos os logins da mesma forma, essas políticas avaliam sinais (integridade do dispositivo, localização da rede, padrões de comportamento do usuário) e ajustam os requisitos conforme necessário.
Por exemplo, um funcionário que faz login a partir de um dispositivo gerenciado na rede corporativa pode ser autenticado com um único toque na chave de acesso. O mesmo funcionário que se conecta de um dispositivo desconhecido em um novo país pode enfrentar etapas de verificação adicionais.
No lado da defensa, a detecção e resposta de endpoint (EDR) detecta ameaças que estão fora do escopo da MFA. A MFA resistente a phishing ajuda a evitar o roubo de credenciais na página de login, porém um malware de roubo de informações em dispositivos comprometidos ainda pode coletar tokens de sessão, credenciais em cache e outras informações sensíveis.
Os feeds de inteligência de ameaças complementam ambas as camadas, identificando a infraestrutura de phishing, sinalizando URLs maliciosos, domínios falsificados e servidores de comando e controle conhecidos antes mesmo que os usuários cheguem a uma página de login falsa.