Autenticação Multifator: tudo sobre essa ferramenta de segurança
O aumento dos ciberataques e a vigência da Lei Geral de Proteção de Dados (LGPD) tem levado empresas de todos os tamanhos e segmentos a investirem mais em segurança e, nesse contexto, a autenticação multifator é um recurso de grande destaque.
Ela tem a missão de impedir a exposição de credenciais a partir, por exemplo, do roubo de dados e disponibilização para venda na deep web.
No contexto da pandemia da Covid-19, o ano de 2020 foi alarmante no que diz respeito à quantidade de credenciais expostas no Brasil.
Conforme o relatório da Axur sobre atividades criminosas online no Brasil, naquele ano ocorreram 397,42 milhões de exposições de credenciais.
Levantamentos como este tem deixado gestores de tecnologia em alerta mesmo nas pequenas e médias empresas, já que os ciberataques há tempos já não são exclusividade das grandes corporações.
Os primeiros passos para evitar esse tipo de situação são a utilização de senhas fortes e a variação das senhas para diferentes categorias de acesso.
Ou seja, além de não utilizar senhas óbvias como datas ou expressões simples, também é necessário evitar a utilização da mesma senha para diversas atividades.
Esses são cuidados básicos que precisam ser tomados, mas estão longe de serem suficientes para a proteção dos dados do seu negócio.
Os cuidados e recursos de segurança da informação funcionam bem quando empregados conjuntamente, integrando uma cultura organizacional voltada para a segurança.
Nesse sentido, a autenticação multifator, também conhecida como MFA, é um recurso altamente recomendável.
Trata-se de uma medida de segurança que possibilita a exigência de um ou mais fatores de autenticação extras após a autenticação com usuário e senha.
Por exemplo, além da senha, pode ser solicitado um PIN, uma impressão digital ou um outro dispositivo de segurança.
Essa vinculação do acesso do usuário a diversos fatores de autenticação torna mais difícil para os cibercriminosos a possibilidade de acesso indevido às contas ou sistemas de uma empresa.
Suponhamos que uma pessoa mal-intencionada tenha acesso à senha de um usuário a partir do roubo de uma base de dados.
Nesse caso, se a empresa utiliza a autenticação multifator, serão mínimas as chances de o cibercriminoso conseguir acertar, por exemplo, um código do aplicativo de autenticação.
Sendo assim, podemos dizer que a autenticação multifator cria um mecanismo de multicamadas de segurança necessário e muito bem-vindo nas organizações.
Vamos nos aprofundar neste assunto ao longo dos próximos tópicos. Continue a leitura para entender o que é, como funciona e como implementar a autenticação multifator em sua empresa.
O que é autenticação multifator?
Chamamos de autenticação o processo que ocorre quando, para acessar suas contas online, você precisa provar para o serviço em questão que você é quem diz ser.
Normalmente, essa prova é dada a partir do fornecimento de um nome de usuário e uma senha. Mas, esta é uma forma de autenticação simples que já não é eficiente por si só diante do avanço do cibercrime.
Em primeiro lugar, precisamos lembrar que os nomes de usuário são muito fáceis de serem descobertos, pois costumam ser um endereço de e-mail ou o próprio nome da pessoa.
Já as senhas podem ser um pouco mais difíceis de serem descobertas por pessoas mal-intencionadas. Porém, elas não são tão seguras assim.
Isso porque, além da possibilidade de roubo de um banco de dados, os cibercriminosos podem descobrir uma senha a partir de tentativas, o que não é tão difícil quanto parece.
Isso porque, para não terem dificuldades em lembrar suas senhas, as pessoas tendem a escolher as combinações mais simples e utilizar a mesma senha para acessar diversos sites e plataformas.
Por essa razão, muitos serviços online, como os bancos e as redes sociais adicionaram um novo dispositivo de segurança no acesso a suas contas.
O novo recurso é a verificação em duas etapas ou autenticação multifator.
Essas duas possibilidades seguem o mesmo princípio: quando o usuário entra em sua conta pela primeira vez em um novo aplicativo ou dispositivo, além de se identificar com nome de usuário e senha, ele precisa fornecer uma segunda informação para provar quem realmente é.
Essa informação extra é chamada de segundo fator de autenticação e pode consistir em diversos tipos de informação.
As possibilidades mais utilizadas são as seguintes:
- Algo que a pessoa sabe, como um código extra ou PIN, que pode ser memorizado ou recebido por SMS ou e-mail, ou uma pergunta secreta para a qual somente o usuário saberá a resposta (como por exemplo, qual era o nome do seu primeiro bicho de estimação? ou qual é o nome do seu livro favorito?);
- Algo que a pessoa tem, ou seja, um item específico sob posse do usuário, como um smartphone, token de segurança ou chave USB segura;
- Algo que a pessoa é, ou seja, uma verificação de identidade a partir de características individuais, como a impressão digital, o reconhecimento facial ou vocal ou, ainda, a leitura da íris.
O processo de autenticação multifator pode, inclusive, exigir dois ou três desses itens e esta é a diferenciação entre autenticação multifator e verificação em duas etapas.
Enquanto a primeira pode corresponder a múltiplos fatores de autenticação, a segunda se limita a dois fatores no ato de efetuar o login.
Ou seja, as variações da autenticação multifator tornam a segurança ainda mais eficiente, pois é possível exigir dois ou mais tipos de fatores de autenticação para que pessoas mal-intencionadas não tenham acesso aos seus dados.
Por que utilizar a autenticação multifator?
O principal argumento para a implementação da autenticação multifator é sua alta eficiência no que diz respeito à segurança de dados.
Mas este benefício pode se desdobrar em vários outros. Por exemplo, a autenticação multifator quando bem aplicada não interfere nos processos diários de trabalho.
Ou seja, não se trata de uma solução complicada. Até existe o argumento da dificuldade de lembrar de novas senhas ou códigos. Porém ela cai por terra quando se pensa na possibilidade de utilização de um aplicativo gerador de senhas, por exemplo.
Além disso, quando os fatores de autenticação são, por exemplo, a impressão digital, o código enviado por e-mail ou a confirmação pelo próprio smartphone da pessoa, não há dificuldade com as múltiplas senhas.
Muitas soluções possibilitam, inclusive, que o próprio usuário escolha quais serão os métodos de autenticação mais convenientes.
Consequentemente, podemos dizer que a autenticação multifator melhora a experiência do usuário, já que, além de tornar suas rotinas mais seguras, não representa uma dificuldade ou atraso no momento da autenticação.
Em poucos segundos é possível acessar o sistema em questão, com a agilidade necessária ao ritmo dos negócios nos tempos atuais.
Outro benefício é que, sendo baseado na nuvem, esse tipo de autenticação pode ser facilmente integrado a uma infraestrutura já existente nas empresas, sem a necessidade de altos investimentos.
Também temos que citar que a autenticação multifator ajuda as empresas a se manterem em conformidade com a legislação e outras diretrizes vigentes.
Isso porque, mesmo que uma empresa seja vítima de um ciberataque, ela tem obrigações no que diz respeito às medidas de proteção dos dados com que lida diariamente.
Então, é importante pensar na autenticação multifator como um recurso mais do que necessário para o seu negócio, pois manter os dados dos seus clientes e parceiros seguros é fundamental tanto para cumprir a legislação quanto para manter a credibilidade e a lucratividade da empresa.
Cabe lembrar também que as boas soluções de autenticação multifator descomplicam o processo de desbloqueio de contas e de redefinição de senhas.
As consequências disso podem ser a eliminação da sobrecarga para as equipes de TI e a redução dos tíquetes de atendimento e da possível frustração dos usuários.
Quando se pensa no avanço do trabalho remoto, a autenticação multifator torna-se ainda mais essencial em razão do trânsito intensificado de informações entre diferentes dispositivos e da dificuldade de controle da segurança de todos os recursos e equipamentos utilizados pelos colaboradores.
Por fim, é importante destacar a relevância deste recurso no combate ao cibercrime. É muito difícil desencorajar as pessoas mal-intencionadas, mas é possível dificultar bastante sua missão criminosa.
Como podem ser várias as chaves solicitadas, mesmo em casos de invasão, os hackers dificilmente conseguirão o acesso aos dados que pretendem roubar.
Em um cenário de avanço vertiginoso do cibercrime, este é um dos recursos que devem compor a sua estrutura de segurança.
É importante lembrar também da necessidade de variação das senhas e demais fatores de autenticação e do constante aprimoramento dos esforços para a manutenção da cibersegurança.
Como implementar a autenticação multifator?
A maioria dos serviços com funcionalidades oferecidas no ambiente virtual já oferece a seus usuários a autenticação multifator.
No caso dos sites e aplicativos, para habilitar esta opção, basta procurar pelo menu “configurações” e você receberá a orientação necessária.
A partir dessa mudança de configuração, sempre que você fizer a autenticação a partir de um novo dispositivo ou aplicativo, além de informar nome de usuário e senha, será necessário inserir um segundo fator de verificação da sua identidade.
Pode ser necessário informar este segundo fator (ou até mesmo um terceiro) periodicamente ou quando você ficar um certo tempo sem acessar o sistema em questão.
Por exemplo, se o usuário se ausentar por um mês em razão de seu período de férias, pode ser que, ao retornar ao trabalho, o sistema solicite os fatores extras de autenticação.
O processo é muito simples em comparação com o tamanho da camada de segurança que ele insere nos processos organizacionais.
Portanto, caso ainda não tenha adotado a autenticação multifator nos sistemas e aplicativos utilizados para a comunicação interna e externa da sua empresa, é hora de efetuar essas configurações.
É importante que todos os colaboradores, não somente os do departamento de TI, estejam cientes e engajados na questão da segurança.
No caso dos sistemas desenvolvidos especificamente para a empresa ou oferecidos por ela a seus clientes, é importante incluir a autenticação multifator já na concepção dos projetos ou, quando o sistema já estiver disponível, oferecer uma nova versão que acrescente essa camada de segurança.
Vamos ver, em seguida, alguns dos métodos de autenticação multifator mais utilizados dentro das organizações.
Principais métodos de autenticação multifator
Vimos anteriormente que a autenticação multifator consiste em acrescentar um ou mais fatores ao processo de autenticação ou de login em sistemas ou sites.
Esses novos fatores podem ter diferentes origens e é sobre as possibilidades mais utilizadas que falaremos em seguida.
Aplicativos de autenticação
Os aplicativos de autenticação são aqueles que geram códigos ou PIN instantaneamente no momento em que o usuário deseja acessar um sistema.
Eles são muito recomendados para quem tem dificuldades de memorizar diferentes códigos, pois são capazes de gerar códigos instantâneos que só podem ser utilizados uma vez.
Além disso, os códigos de validação gerados por esse tipo de aplicativo costumam ser válidos por um período limitado de tempo, o que favorece ainda mais a cibersegurança.
Na prática, o processo de autenticação ocorre da seguinte forma: após a validação do usuário e da senha, é solicitado um PIN para efetivação do login.
Então, o usuário deverá informar o código que é gerado automaticamente com o intermédio do aplicativo ou então fazer a leitura de um QR Code.
São muitas as possibilidades de aplicativos de autenticação disponíveis atualmente no mercado, mas existem alguns mais conhecidos, como o Microsoft Authentication e o Google Authentication.
SMS
As velhas mensagens de SMS também podem ser utilizadas como PIN para a realização da autenticação multifator.
Nesse caso, o código de verificação é enviado via SMS para um número de telefone cadastrado pelo usuário.
Muitos gestores preferem utilizar os aplicativos de autenticação ao invés do SMS, pois esta última possibilidade pode contar com problemas no envio ou um tempo maior de espera até o recebimento do código, já que o usuário precisa estar conectado à rede da operadora.
Também existe o argumento de que a autenticação através de um código enviado por SMS sofre problemas de segurança.
Isso porque a mensagem pode ser interceptada por um malware disfarçado no smartphone, por exemplo.
De todo modo, é melhor utilizar o código enviado por SMS do que abrir mão da autenticação multifator.
Código enviado por e-mail
Semelhante ao que ocorre com as mensagens de SMS, os códigos enviados por e-mail são utilizados como segundo fator de autenticação.
Este é o mais comum entre os métodos de autenticação multifator, sendo considerado mais seguro do que o SMS, já que o acesso ao e-mail também depende de uma autenticação prévia.
Chaves físicas de segurança
Uma chave física de segurança é um dispositivo físico previamente cadastrado para validar a identidade do usuário.
Ela se conecta, quase sempre, por meio de uma entrada USB e o cadastro é feito a partir da inserção da chave no momento solicitado pelo sistema.
Pode haver, inclusive, uma solicitação para que o usuário pressione um botão existente na própria chave.
Ou seja, após o devido cadastro da chave, todas as vezes que o usuário for acessar um serviço ou sistema, basta inserir a chave física, pressionar o botão e, em poucos segundos, a autenticação será efetuada.
Biometria
A biometria é uma forma prática de coletar informações vindas do próprio corpo do usuário a fim de identificá-lo.
A impressão digital é a mais utilizada entre as possibilidades de biometria, que também incluem o reconhecimento facial, o reconhecimento por voz e a leitura da íris.
Esse recurso tem sido amplamente utilizado em sistemas financeiros e em sistemas anti-fraudes, mas vem ganhando força também entre empresas de outros segmentos.
Enfim, dos mais básicos aos mais avançados em termos tecnológicos, são muitos os métodos da MFA, todos eles incrementando a estrutura da cibersegurança.
Mas, como mencionamos, a autenticação multifator aplicada isoladamente não garante a segurança dos dados de uma empresa.
É preciso contar com uma ampla estrutura de cyber security em constante aprimoramento para que sua empresa esteja protegida dos criminosos digitais.
Para saber mais sobre a criação dessa estrutura, acesse nosso artigo sobre cyber security e entenda a relevância desse investimento.