A autenticação multifator (MFA) é uma estrutura de autenticação avançada e dividida em camadas que requer pelo menos duas formas independentes de verificação para validar a identidade de um usuário e conceder acesso a um recurso, como aplicativos, servidores ou VPNs. O objetivo da autenticação multifator é fornecer uma defesa em camadas para impedir que uma pessoa não autorizada acesse um alvo (por exemplo, localização física, dispositivo de computação, rede, banco de dados), tornando-o mais difícil de acessar. Com a autenticação multifator, se um fator for comprometido, há pelo menos mais uma barreira ao acesso.
Um componente central das estruturas de gerenciamento de identidade e acesso (IAM), a autenticação multifator aumenta o limiar de acesso aos recursos. Embora a autenticação de dois fatores seja tecnicamente uma forma de autenticação multifator, geralmente são usados mais de dois fatores.
Por que a autenticação multifator é necessária
A principal razão pela qual a autenticação multifator é necessária é que ela aprimora a postura geral de segurança das organizações. Ela leva as credenciais de nome de usuário / senha a um novo patamar que aumenta drasticamente a eficácia da proteção de acesso. Acrescentar mais fatores além da senha ajuda a evitar violações de senha, impedindo a entrada na conta de hackers que usam credenciais roubadas.
Além disso, a autenticação multifator ajuda a superar comportamentos não seguros que são naturais para os usuários, mas tornam suas credenciais suscetíveis a ataques de força bruta. Esses comportamentos são naturais para os usuários:
- Reutilizar de senhas
- Salvar informações de senha em notas adesivas ou em locais digitais (por exemplo, documentos, planilhas, contatos)
- Usar senhas previsíveis
Benefícios da autenticação multifator
- Adapta-se a diferentes casos de uso
- Adiciona camadas de segurança nos níveis de hardware, software e identificação pessoal
- Permite que os administradores imponham políticas que restrinjam o acesso com base no horário ou local
- Pode ser facilmente configurada pelos usuários
- Reduz os custos de gerenciamento de administração, concentrando esforços no comportamento que foi sinalizado como suspeito, em vez de exigir que os administradores monitorem todas as atividades
- Elimina a necessidade de que os usuários armazenem, se lembrem e administrem senhas diferentes em várias contas
- Utiliza um sistema de defesa multicamadas que impede que usuários não autorizados ou criminosos cibernéticos acessem recursos, como uma conta, dispositivo, rede ou banco de dados
- Permite o uso de senhas de uso único (OTPs) que são geradas aleatoriamente em tempo real e enviadas por texto ou e-mail
- Garante a conformidade com as regras estabelecidas pela governança corporativa, governos e padrões do setor
- Melhora a confiança do usuário, protegendo informações pessoais
- Inclui uma opção de acesso off-line para usuários que não têm conexão à Internet
- Aumenta a produtividade, facilitando o acesso dos usuários aos recursos, não importando o dispositivo ou o local, sem comprometer a segurança como um todo
- Monitora a atividade do usuário para identificar anomalias, como processar transações de alto valor ou acessar informações confidenciais de redes e dispositivos desconhecidos
- Oferece uma estrutura de custos escalável para se adaptar a orçamentos de todos os tamanhos
- Evita fraudes, garantindo que os usuários são mesmo quem dizem ser
- Reduz as violações de segurança muito mais do que apenas as senhas
- Remove as barreiras à adoção criando um processo de baixo atrito para os usuários
- Rastreia o uso conforme vários fatores de risco, como geolocalização, endereço de protocolo de Internet (IP) e tempo desde o último login
Modo de funcionamento da autenticação multifator
Quando um usuário tenta acessar um recurso, a autenticação multifator exige informações de verificação adicionais, conhecidas como fatores, além das credenciais padrão de nome de usuário e senha. Uma vez autenticado, o usuário é conectado ao recurso.
A autenticação multifator é classificada para dispositivos e aplicativos:
- A MFA para dispositivos verifica um usuário quando ele faz login.
- A MFA para aplicativos verifica um usuário para conceder a ele o acesso a um ou mais aplicativos.
Autenticação multifator adaptativa
A autenticação multifator adaptativa, também conhecida como autenticação baseada em risco, analisa fatores adicionais levando em conta o contexto e o comportamento. A autenticação multifator adaptativa usa inteligência artificial (IA) para coletar e processar dados contextuais para calcular uma pontuação de risco associada à tentativa de login usando análises em tempo real.
Com base na pontuação de risco, pode ser determinado o método ideal de autenticação do usuário. Por exemplo:
- Baixo risco exige apenas uma senha
- Risco médio exige autenticação multifator
- Alto risco exige ainda outros processos de autenticação
A autenticação multifator adaptativa é dinâmica, em vez de usar uma lista estática de regras para logins. Usando a IA, ela pode se adaptar ao comportamento e às características dos usuários e, em seguida, aplicar o tipo mais adequado de verificação de identidade para cada sessão de usuário. Os fatores considerados são:
- Dispositivo O usuário está tentando fazer login usando um dispositivo não autorizado?
- Endereço IP Este é o mesmo endereço IP que o usuário normalmente usa ao fazer login em um recurso?
- Local O usuário tentou efetuar login em uma conta de dois locais diferentes em um curto período de tempo? O local de login é incomum para o usuário? O usuário está tentando efetuar login em uma rede pública em vez de uma rede corporativa?
- Confidencialidade O usuário está tentando acessar informações confidenciais?
- Horário do login O horário de login corresponde aos horários normais de login do usuário?
Exemplo de autenticação multifator adaptativa
A autenticação multifator adaptativa pode identificar um usuário que está tentando fazer login em um bar tarde da noite, o que é um comportamento incomum. Em seguida, o usuário é solicitado a inserir uma senha única que é enviada por mensagem de texto para o telefone, além de fornecer seu nome de usuário e senha.
Isso seria diferente de se o usuário tentasse fazer login no escritório às 8h, como faz todos os dias. Nesse caso, ele poderá ser solicitado a fornecer apenas seu nome de usuário e senha.
Inteligência artificial (IA) e autenticação multifator
A adição de inteligência artificial (IA) à autenticação multifator aprimora essa prática de segurança em termos de eficácia e eficiência. Os cibercriminosos evoluem constantemente e se tornaram hábeis em roubar as credenciais dos usuários. Adicionar IA à combinação torna muito mais difícil para os ladrões passarem por proteções de autenticação multifator.
Os sistemas de autenticação multifator baseados em IA aprendem e se adaptam ao longo do tempo para se antecipar aos cibercriminosos, evitando prejuízos para os usuários finais.
A MFA habilitada para IA pode ser usada para verificar as identidades do usuário com base em seu comportamento. Por exemplo, a biometria comportamental pode rastrear tudo, desde como o usuário segura o telefone até seu modo de andar.
A autenticação multifator dotada de IA também engloba:
- Autenticação biométrica
- Reconhecimento facial
- Reconhecimento de impressão digital
- Reconhecimento de íris
- Reconhecimento da palma da mão
- Reconhecimento de voz
Exemplos de autenticação multifator
Verificação biométrica
Dispositivos inteligentes ou computadores com recursos de autenticação biométrica têm a capacidade de verificar a identidade. A biometria é cada vez mais usada como parte da autenticação multifator, pois fornece aos usuários uma etapa de login de baixo atrito e aumenta a segurança, pois é impossível de falsificar.
Autenticação de token de e-mail
Com a autenticação de token de e-mail, os usuários recebem um e-mail com uma senha de uso único (OTP). Essa OTP, combinada com um ou mais métodos de autenticação, é usada para verificar a identidade do usuário. Muitas vezes, essa autenticação é oferecida como alternativa à autorização de token de SMS para usuários que não têm um telefone celular à mão.
Autenticação de token de hardware
Os tokens de hardware são usados para autenticação multifator para adicionar um nível a mais de segurança. Embora isso seja mais caro do que usar autenticação de e-mail ou token de texto, esse é considerado o método de autenticação mais seguro. Os tokens de hardware devem ser inseridos em um dispositivo para validar a identidade do usuário e obter acesso ao dispositivo.
Autenticação de login social
O login social, ou verificação de identidade social, pode ser usado para autenticação multifator se um usuário já estiver conectado a uma plataforma de mídia social. Embora seja considerado mais arriscado do que outros fatores de autenticação, pode ser eficaz quando usado com outros métodos de verificação de identidade.
Autenticação de token de software
Aplicativos de autenticação em dispositivos inteligentes podem ser usados para autenticação multifator. Esse aplicativo transforma o dispositivo inteligente em um token que pode ser vinculado a serviços de autenticação multifator.
Autenticação baseada em risco
A autenticação baseada em risco (RBA) oferece suporte à autenticação multifator pelo monitoramento do comportamento e a atividade (por exemplo, local, dispositivo, pressionamentos de tecla). Com base nas descobertas, a RBA pode informar a frequência de verificações de autenticação multifator para aumentar a segurança e minimizar o risco.
Perguntas de segurança
Um tipo de autenticação baseada em conhecimento (KBA), segurança estática ou perguntas dinâmicas pode ser usado para autenticação multifator. Com perguntas estáticas, os usuários fornecem respostas a perguntas durante a configuração da conta e posteriormente elas são apresentadas de forma aleatória para verificação de identidade durante o processo de login.
As perguntas dinâmicas são geradas em tempo real usando informações disponíveis publicamente. Normalmente, o usuário recebe uma pergunta e uma série de respostas (por exemplo, em que cidade nasceu, se morou em algum desses endereços, se já teve algum desses números de telefone). Para verificar sua identidade, ele deve selecionar a resposta correta.
Autenticação por mensagem de texto (SMS)
Para autenticação de token de SMS, é enviada uma mensagem de texto com um número de identificação pessoal (PIN). O PIN é usado como um OTP com um ou mais fatores.
A autenticação de token de SMS é um método de autenticação multifator relativamente simples de implementar. É comumente oferecido como um método de entrega alternativo à autenticação de token de e-mail.
Autenticação de código de uso único baseada em tempo
As senhas de uso único baseadas em tempo (TOTPs) são geradas quando um usuário tenta fazer login e expiram após um determinado tempo. As TOTPs são enviadas para o smartphone ou computador do usuário por SMS ou e-mail.
Métodos de autenticação multifator
A autenticação multifator funciona por meio da combinação vários métodos de autenticação. Os principais métodos de MFA são baseados em três tipos de informações usadas para verificação de identidade:
- Conhecimento ou coisas que o usuário sabe
- Posse ou coisas que o usuário tem
- Inerência ou características do usuário
- Autenticação baseada em tempo
Categoria de conhecimento de autenticação multifator
Com a autenticação multifator, a verificação de identidade baseada em conhecimento exige que o usuário responda a uma pergunta de segurança. Aqui estão alguns exemplos de conhecimento da autenticação multifator:
- Respostas a perguntas de segurança (por exemplo, onde o usuário nasceu, sua cor favorita, mascote do ensino médio, nome de solteira da mãe)
- OTPs
- Senhas
- PINs
Categoria de posse de autenticação multifator
Um fator de posse com autenticação multifator exige que um objeto em posse do usuário faça login, pois isso seria difícil de ser adquirido por um cibercriminoso. Os objetos incluídos na categoria de posse de MFA são:
- Emblemas
- Chaveiros
- Porta-chaves
- Telefones celulares
- Tokens físicos
- Cartões inteligentes
- Tokens de software
- Chaves de barramento serial universal (USB)
Categoria de inerência de autenticação multifator
Na autenticação multifator, qualquer uma das características biológicas do usuário pode ser confirmada para verificação de identidade. Os fatores de inerência incluem os seguintes métodos de verificação biométrica:
- Reconhecimento facial
- Digitalização de impressão digital
- Autenticação de voz
- Retina ou varredura de íris
- Autenticação de voz
- Geometria da mão
- Scanners de assinatura digital
- Geometria do lóbulo da orelha
Autenticação multifator baseada em tempo
O tempo também pode ser usado para autenticação multifator. A autenticação baseada em tempo pode provar a identidade de uma pessoa, detectando sua presença em um momento específico e concedendo acesso a um determinado sistema ou local. Por exemplo, um cartão de caixa eletrônico seria bloqueado se uma retirada fosse feita nos EUA e uma segunda fosse tentada na China dez minutos depois.
Melhores práticas de autenticação multifator
A autenticação multifator não é difícil de implementar, mas levar em consideração as melhores práticas permite uma implantação eficiente e eficaz. A seguir estão as melhores práticas citadas com mais frequência para implementar e gerir sistemas de MFA.
Explicar aos usuários sobre a importância da autenticação multifator e como usá-la. Considerado o elo mais fraco das cadeias de segurança, os usuários desempenham um papel fundamental no sucesso de uma implantação de MFA. Dedicar tempo para explicar-lhes sobre como o sistema funciona e a importância de seguir as regras fornece um forte apoio ao programa.
Implementar a autenticação multifator em toda a empresa. Evite lacunas que possam prejudicar a autenticação multifator, incluindo nas implantações todos os pontos de acesso em toda a organização. Não se esqueça de incluir o acesso remoto à rede em implantações de MFA para contabilizar usuários remotos e distribuídos em todos os sistemas.
Incluir autenticação multifator adaptativa. Use o contexto para criar uma abordagem adaptativa e intensificada para a MFA que apenas solicite aos usuários fatores adicionais com base em pontuações de risco, e não como padrão.
Oferecer aos usuários uma variedade de fatores de autenticação. Facilite o uso e promova a aceitação pelos usuários oferecendo-lhes opções entre vários fatores de autenticação. Essa flexibilidade evita uma abordagem única que os usuários geralmente consideram complicada e restritiva. Dar opções aos usuários aumenta a satisfação deles com o sistema e a aceitação geral.
Reavaliar as implantações de autenticação multifator. Realize avaliações regularmente para garantir que as implantações de autenticação multifator sejam otimizadas para lidar com as ameaças atuais e continuem a cobrir todos os pontos de acesso.
Adotar uma abordagem baseada em padrões. Siga padrões para garantir que o sistema de autenticação multifator opere de maneira ideal dentro da infraestrutura de TI existente. Os padrões que devem ser considerados são o Remote Authentication Dial In User Service (RADIUS) e a Autenticação Aberta (OAuth), que permitem a autenticação de todos os usuários em todos os dispositivos em todas as redes.
Usar a autenticação multifator em conjunto com ferramentas de segurança complementares. Combinada com outras soluções de controle de acesso, como logon único (SSO) e acesso com menos privilégios, a autenticação multifator fornece segurança aprimorada.
A MFA oferece uma excelente primeira linha de defesa
Os ataques cibernéticos são originários de vários vetores, mas os usuários finais são alvos frequentes. Com o fortalecimento dos pontos de acesso do usuário final com autenticação multifator, mesmo que os pontos fracos sejam explorados e as credenciais roubadas, existem camadas adicionais de proteção.
Aproveitando a IA e outras tecnologias emergentes, a autenticação multifator persiste como uma das soluções mais eficientes para a segurança do acesso do usuário final. As soluções de MFA fornecem proteção eficaz com impacto mínimo aos usuários finais e aos administradores de TI que já estão sobrecarregados.