Embora sejam apenas uma faceta da segurança cibernética, os métodos de autenticação são a primeira linha de defesa. Este é o processo de determinar se um usuário é quem ele diz ser. Não deve ser confundido com a etapa que o precede, a autorização. A autenticação é puramente o meio de confirmar a identificação digital, para que os usuários tenham o nível de permissões para acessar ou executar uma determinada tarefa.
Existem muitos métodos de autenticação, desde senhas até impressões digitais, para confirmar a identidade de um usuário antes de permitir o acesso. Isso adiciona uma camada de proteção e evita lapsos de segurança, como violações de dados, embora muitas vezes seja a combinação de diferentes tipos de autenticação que fornece reforço seguro ao sistema contra possíveis ameaças.
Métodos de autenticação
A autenticação mantém usuários inválidos fora de bancos de dados, redes e outros recursos. Esses tipos de autenticação usam fatores, uma categoria de credencial para verificação, para confirmar a identidade do usuário. Aqui estão alguns métodos de autenticação.
Autenticação de fator único/primária
Historicamente, a forma mais comum de autenticação, a autenticação de fator único, também é a menos segura, pois requer apenas um fator para obter acesso total ao sistema. Pode ser um nome de usuário e senha, número PIN ou outro código simples. Se por um lado são fáceis de usar, os sistemas autenticados de fator único são, por outro lado, relativamente fáceis de se infiltrar por phishing, inserção de chaves ou mera adivinhação. Como não há outro portão de autenticação para passar, essa abordagem é altamente vulnerável a ataques.
Autenticação de dois fatores (2FA)
Com o acréscimo de um segundo fator para verificação, a autenticação de dois fatores reforça os esforços de segurança. É uma camada adicional que essencialmente verifica se um usuário é, na realidade, o usuário que está tentando fazer login, tornando muito mais difícil a invasão. Com esse método, os usuários inserem suas credenciais de autenticação primárias (como o nome de usuário/senha mencionado acima) e, em seguida, devem inserir uma informação de identificação secundária.
O fator secundário geralmente é mais difícil, pois normalmente requer algo ao qual o usuário válido tenha acesso e que não seja relacionado ao sistema fornecido. Os fatores secundários podem ser uma senha de uso único de um aplicativo autenticador, um número de telefone ou dispositivo que pode receber uma notificação por push ou código SMS, ou uma impressão digital biométrica (Touch ID) ou facial (Face ID) ou reconhecimento de voz.
A 2FA minimiza significativamente o risco de comprometimento do sistema ou dos recursos, pois é improvável que um usuário inválido conheça ou tenha acesso a ambos os fatores de autenticação. Embora a autenticação de dois fatores seja agora mais amplamente adotada por esse motivo, ela causa alguns inconvenientes ao usuário, o que ainda é algo a ser considerado na sua implementação.
Logon único (SSO)
Com o SSO, os usuários só precisam fazer login em um aplicativo e, ao fazê-lo, obtêm acesso a muitos outros aplicativos. Esse método é mais prático para os usuários, pois elimina a obrigação de reter vários conjuntos de credenciais e cria uma experiência mais cômoda durante as sessões operacionais.
As organizações podem fazer isso identificando um domínio central (ou, o que seria ainda melhor, um sistema de IAM) e, em seguida, criando links de SSO seguros entre os recursos. Esse processo permite a autenticação do usuário monitorado por domínio e, com o logon único, pode garantir que, quando os usuários válidos terminarem sua sessão, eles se desconectarão com sucesso de todos os recursos e aplicativos vinculados.
Autenticação multifator (MFA)
A autenticação multifator é um método de alta segurança, pois usa mais fatores independentes de sistema para legitimar os usuários. Como a 2FA, a MFA usa fatores como biometria, confirmação baseada em dispositivo, senhas adicionais e até mesmo informações baseadas em localização ou comportamento (por exemplo, padrão de pressionamento de teclas ou velocidade de digitação) para confirmar a identidade do usuário. No entanto, a diferença é que, embora a 2FA sempre utilize apenas dois fatores, a MFA pode usar dois ou três, com a capacidade de variar entre as sessões, adicionando um elemento elusivo para usuários inválidos.
Quais são os protocolos de autenticação mais comuns?
Os protocolos de autenticação são as regras designadas para interação e verificação que os endpoints (laptops, desktops, telefones, servidores, etc.) ou sistemas usam para se comunicar. Assim como existem vários aplicativos diferentes que os usuários precisam acessar, existem variados padrões e protocolos. Selecionar o protocolo de autenticação correto para sua organização é essencial para garantir operações seguras e compatibilidade de uso. Aqui estão alguns dos protocolos de autenticação mais usados.
Protocolo de autenticação de senha (PAP)
Embora seja comum, o PAP é o protocolo menos seguro para validar usuários, principalmente devido à sua falta de criptografia. É essencialmente um processo de login de rotina que requer uma combinação de nome de usuário e senha para acessar um determinado sistema, o que valida as credenciais fornecidas. Agora é mais usado como uma última opção na comunicação entre um servidor e um desktop ou dispositivo remoto.
Protocolo de Autenticação de Aperto de Mão de Desafio (CHAP)
O CHAP é um protocolo de verificação de identidade que verifica um usuário para uma determinada rede com um padrão mais alto de criptografia usando uma troca de três vias de um “segredo”. Primeiro, o roteador local envia um “desafio” para o host remoto, que então envia uma resposta com uma função hash MD5. O roteador compara a resposta esperada (valor de hash) e, se o roteador determinar que existe uma correspondência, ele estabelece uma conexão autenticada - o “aperto de mão” - ou nega o acesso. É inerentemente mais seguro que o PAP, pois o roteador pode enviar um desafio a qualquer momento durante uma sessão, e o PAP só opera com a aprovação de autenticação inicial.
Protocolo de autenticação extensível (EAP)
Este protocolo suporta muitos tipos de autenticação, desde senhas únicas até cartões inteligentes. Quando usado para comunicações sem fio, o EAP é o mais alto nível de segurança, pois permite que um determinado ponto de acesso e dispositivo remoto realizem autenticação mútua com criptografia integrada. Ele conecta os usuários ao ponto de acesso que solicita credenciais, confirma a identidade por meio de um servidor de autenticação e, em seguida, faz outra solicitação de uma outra forma de identificação do usuário para confirmar novamente por meio do servidor – concluindo o processo com todas as mensagens transmitidas e criptografadas.
Veja como o SailPoint se integra com os provedores de autenticação certos.