Publicado: 20 de dezembro de 2023
contribuidores: Matthew Kosinski, Amber Forrest
2FA, ou autenticação de dois fatores, é um método de verificação de identidade no qual os usuários devem fornecer duas provas, como uma senha e uma senha de uso único, para provar sua identidade e obter acesso a uma conta on-line ou outros recursos sensíveis.
A maioria dos usuários da Internet provavelmente está familiarizada com os sistemas 2FA baseados em texto SMS. Nesta versão, um aplicativo envia um código numérico para o celular do usuário no momento do login. O usuário deve digitar sua senha e este código para continuar. Apenas inserir um ou outro não é suficiente.
2FA é a forma mais comum de autenticação multifatorial (MFA), que se refere a qualquer método de autenticação em que os usuários devem fornecer pelo menos duas provas.
A A2F foi amplamente adotada porque ajuda a fortalecer a segurança da conta. As senhas de usuário podem ser facilmente quebradas ou falsificadas. A A2F adiciona outro nível de segurança, exigindo um segundo fator. Não só os hackers precisam roubar duas credenciais para invadir um sistema, mas o segundo fator geralmente é algo difícil de hackear, como uma impressão digital ou senha por tempo limitado.
A IBM foi reconhecida como líder no último relatório do Gartner Magic Quadrant para gerenciamento de acesso.
Assine a newsletter da IBM
Quando um usuário tenta acessar um recurso protegido por um sistema de segurança 2FA, como uma rede corporativa, por exemplo, o sistema solicita que o usuário insira seu primeiro fator de autenticação. Geralmente, esse primeiro fator é uma combinação de nome de usuário/senha.
Se o primeiro fator for válido, o sistema solicitará um segundo. Tende a haver mais variação nos segundos fatores, que podem variar de códigos temporários a biometria e outros. O usuário só poderá acessar o recurso se ambos os fatores forem confirmados.
Embora a A2F esteja geralmente associada a sistemas de computador, ela também pode proteger ativos físicos e locais. Por exemplo, um edifício restrito pode exigir que as pessoas piscem um crachá de identificação e passem por uma digitalização de impressão digital para entrar.
Existem vários tipos de fatores de autenticação que os sistemas 2FA podem usar, e os sistemas 2FA verdadeiros usam dois fatores de dois tipos diferentes. Usar dois tipos diferentes de fatores é considerado mais seguro do que usar dois fatores do mesmo tipo, pois hackers precisam usar métodos separados para quebrar cada fator.
Por exemplo, hackers podem roubar a senha de um usuário plantando spyware em seu computador. No entanto, esse spyware não pegaria códigos de acesso único no telefone do usuário. Os hackers precisariam encontrar outra maneira de interceptar essas mensagens.
Na maioria das implementações de 2FA, um fator de conhecimento serve como o primeiro fator de autenticação. Um fator de conhecimento é um pouco de informação que, teoricamente, apenas o usuário saberia. Uma senha é o fator de conhecimento mais comum. Os números de identificação pessoal (PINs) e as respostas às perguntas de segurança também são típicos.
Apesar de seu uso generalizado, os fatores de conhecimento em geral - e as senhas em particular - são o tipo mais vulnerável de fator de autenticação. Os hackers podem obter senhas e outros fatores de conhecimento por meio de ataques de phishing, instalação de malware nos dispositivos dos usuários ou ataques de força bruta, nos quais eles usam bots para gerar e testar possíveis senhas em uma conta até que uma delas funcione.
Outros tipos de fatores de conhecimento não representam muito mais um desafio. Respostas a muitas perguntas de segurança, como o clássico "Qual é o nome de solteira da sua mãe?", podem ser facilmente eliminadas por meio de pesquisas básicas ou ataques de engenharia social que enganam os usuários na divulgação de informações pessoais.
É importante notar que a prática comum de exigir uma senha e uma pergunta de segurança não é verdadeira 2FA porque usa dois fatores do mesmo tipo – neste caso, dois fatores de conhecimento. Pelo contrário, este seria um exemplo de um processo de verificação em duas etapas.
A verificação em dois passos pode ser mais segura do que apenas uma senha, pois exige dois fatores. Ainda assim, como esses são dois fatores do mesmo tipo, é mais fácil roubar do que os verdadeiros fatores de 2FA.
Fatores de posse são coisas que uma pessoa possui e que pode usar para se autenticar. Os dois tipos mais comuns de fatores de possessão são tokens de software e tokens de hardware.
Os tokens de software muitas vezes tomam a forma de senhas únicas (OTPs). OTPs são senhas de uso único de 4 a 8 dígitos que expiram após um determinado período de tempo. Os tokens de software podem ser enviados para o telefone de um usuário por mensagem de texto (ou e-mail ou mensagem de voz) ou gerados por um aplicativo autenticador instalado no dispositivo.
Em ambos os casos, o dispositivo do usuário age essencialmente como o fator de posse. O sistema 2FA pressupõe que apenas o usuário legítimo terá acesso a qualquer informação compartilhada ou gerada por esse dispositivo.
Embora os OTPs baseados em SMS sejam alguns dos fatores de posse mais fáceis de usar, eles também são os menos seguros. Os usuários precisam de uma conexão de Internet ou celular para receber esses códigos, e os hackers podem roubá-los por meio de ataques sofisticados de phishing ou intermediários. Os OTPs também são vulneráveis à clonagem de SIM, na qual os criminosos criam uma duplicata funcional do cartão SIM do smartphone da vítima e a utilizam para interceptar suas mensagens de texto.
Os aplicativos autenticadores podem gerar tokens sem conexão de rede. O usuário emparelha o aplicativo com suas contas, e o aplicativo usa um algoritmo para gerar continuamente senhas de uso único baseadas em tempo (TOTPs). Cada TOTP expira em 30-60 segundos, dificultando o roubo. Alguns aplicativos autenticadores usam notificações push em vez de TOTPs; quando um usuário tenta fazer login em uma conta, o aplicativo envia uma notificação push para seu telefone, na qual ele deve tocar para confirmar que a tentativa é legítima.
Os aplicativos autenticadores mais comuns incluem o Google Authenticator, o Authy, o Microsoft Authenticator, o LastPass Authenticator e o Duo. Embora esses aplicativos sejam mais difíceis de serem descobertos do que as mensagens de texto, eles não são infalíveis. Os hackers podem usar malware especializado para roubar TOTPs diretamente dos autenticadores1 ou lançar ataques de fadiga de MFA, nos quais eles inundam um dispositivo com push notifications fraudulentas na esperança de que a vítima acidentalmente confirme uma delas.
Os tokens de hardware são dispositivos dedicados — chaveiros, cartões de identificação, dongles — que funcionam como chaves de segurança. Alguns tokens de hardware se conectam à porta USB de um computador e transmitem informações de autenticação para a página de login; outros geram códigos de verificação para o usuário inserir manualmente quando solicitado.
Embora os tokens de hardware sejam extremamente difíceis de hackear, eles podem ser roubados, assim como os dispositivos móveis dos usuários que contêm tokens de software. Na verdade, dispositivos perdidos e roubados são um fator em até 6% das violações de dados, de acordo com o relatório da IBM Cost of a Data Breach.
Também chamados de "biometria", fatores inerentes são características físicas ou características exclusivas do usuário, como impressões digitais, características faciais e padrões retinianos. Muitos smartphones e notebooks produzidos hoje têm leitores de impressão digital e facial integrados, e muitos aplicativos e sites podem usar esses dados biométricos como um fator de autenticação.
Embora os fatores inerentes sejam os mais difíceis de rachar, pode ser desastroso quando são. Em 2019, um banco de dados biométrico contendo 1 milhões de impressões digitais de usuários foi violado.2 Teoricamente, os hackers podem roubar essas impressões digitais ou vincular suas próprias impressões digitais ao perfil de outro usuário no banco de dados.
Além disso, os avanços na geração de imagens de IA preocupam especialistas em cibersegurança com a possibilidade de hackers usarem essas ferramentas para enganar softwares de reconhecimento facial.
Quando os dados biométricos são comprometidos, eles não podem ser alterados de forma rápida ou fácil, dificultando a interrupção de ataques em andamento.
Fatores comportamentais são artefatos digitais que verificam a identidade de um usuário com base em padrões de comportamento. Exemplos incluem o intervalo de endereços IP típico de um usuário, a localização usual e a velocidade média de digitação.
Os sistemas de autenticação comportamental usam inteligência artificial para determinar uma linha de base para os padrões normais dos usuários e sinalizar atividade anômala, como registrar-se em um novo dispositivo, número de telefone ou local. Alguns sistemas 2FA utilizam fatores comportamentais, permitindo que os usuários registrem dispositivos confiáveis como fatores de autenticação. Embora o usuário possa precisar fornecer dois fatores no início do login, o uso do dispositivo confiável atuará automaticamente como o segundo fator no futuro.
Fatores comportamentais também desempenham um papel nos sistemas de autenticação adaptável, que alteram os requisitos de autenticação com base no nível de risco. Por exemplo, um usuário pode precisar apenas de uma senha para fazer logon em um aplicativo de um dispositivo confiável na rede da empresa, mas talvez precise adicionar um segundo fator para fazer login de um novo dispositivo ou de uma rede desconhecida.
Embora os fatores comportamentais ofereçam uma maneira sofisticada de autenticar os usuários finais, eles exigem recursos e experiência significativos para serem implementados. Além disso, se um hacker obtiver acesso a um dispositivo confiável, ele poderá se passar pelo usuário.
Como os fatores de conhecimento são tão fáceis de comprometer, muitas organizações estão explorando sistemas de autenticação sem senha que aceitam apenas fatores de posse, inerentes e comportamentais. Por exemplo, pedir a um usuário uma impressão digital e um token físico constituiria uma configuração de 2FA sem senha.
Embora os métodos 2FA mais atuais usem senhas, os especialistas do setor antecipam um futuro cada vez mais sem senha. Os principais provedores de tecnologia, como Google, Apple, IBM e Microsoft, começaram a implementar opções de autenticação sem senha.3
De acordo com o relatório Custo de uma violação de dados da IBM, o phishing e as credenciais comprometidas estão entre os vetores de cyberattack mais comuns. Juntos, eles respondem por 31% das violações de dados. Ambos os vetores geralmente funcionam roubando senhas, que os hackers podem usar para sequestrar contas e dispositivos legítimos para causar estragos.
Os hackers geralmente têm como alvo senhas porque elas são muito fáceis de decifrar por meio de força bruta ou engano. Além disso, como as pessoas reutilizam senhas, os hackers muitas vezes podem usar uma única senha roubada para invadir várias contas. As consequências de uma senha roubada podem ser significativas para usuários e organizações, levando a roubo de identidade, roubo monetário, sabotagem do sistema e muito mais.
A 2FA ajuda a impedir o acesso não autorizado adicionando uma camada extra de segurança. Mesmo que os hackers consigam roubar uma senha, eles ainda precisam de um segundo fator para entrar. Além disso, esses segundos fatores geralmente são mais difíceis de roubar do que um fator de conhecimento; os hackers teriam que falsificar a biometria, imitar comportamentos ou roubar dispositivos físicos.
As organizações também podem usar métodos de autenticação de dois fatores para atender aos requisitos de conformidade. Por exemplo, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) exige explicitamente MFA para sistemas que lidam com dados de cartão de pagamento.4 Outras regulamentações como a Lei Sarbanes-Oxley (SOX) e o Regulamento Geral de Proteção de Dados (GDPR) não exigem explicitamente a A2F. No entanto, a A2F pode ajudar as organizações a atender aos rigorosos padrões de segurança definidos por essas leis.
Em alguns casos, as organizações foram obrigadas a adotar a autenticação multifatorial após violações de dados. Por exemplo, em 2023, a Federal Trade Commission encomendou ao vendedor online de bebidas alcoólicas que implementasse o MFA após uma violação que afetou 2,5 milhões de clientes.5
Ofereça contexto, inteligência e segurança profundos às decisões sobre quais usuários devem ter acesso aos dados e aplicativos da sua organização, no local ou na nuvem.
Integre o IAM na nuvem com o contexto profundo necessário para a autenticação baseada em risco. Habilite o acesso seguro e de baixo atrito para seus consumidores e força de trabalho com as soluções IBM Security Verify do IAM na nuvem.
Vá além da autenticação básica com opções sem senha ou autenticação multifator.
O gerenciamento de identidade e acesso (IAM) é uma disciplina de cibersegurança focada no gerenciamento de identidades de usuários e permissões de acesso em uma rede de computadores.
Autenticação multifatorial (MFA) é um método de verificação de identidade que exige que os usuários forneçam duas ou mais provas para provar suas identidades.
Esteja mais bem preparado para violações entendendo suas causas e os fatores que aumentam ou diminuem seus custos.
Notas de rodapé
Todos os links residem fora de ibm.com
1 Malware para Android pode roubar códigos 2FA do Google Authenticator, ZDNET, 26 de fevereiro de 2020
2 Vazamento de dados de “impressão digital de 1 milhão” levanta dúvidas sobre segurança biométrica, ScienceDirect, setembro de 2019
3 Você não precisa mais de uma senha para fazer login na sua conta do Google, The Verge, 3 de maio de 2023
4 PCI DSS: v4.0, Security Standards Council, março de 2022
5 In the Matter of Drizly, LLC, Federal Trade Commission, 10 de janeiro de 2023