O que é a autenticação de multifator e por qual motivo ela é importante?

Também conhecida pela sigla MFA (multi-factor authentication), a autenticação multifator ou autenticação de múltiplos fatores é um método de verificação de usuário que exige dois ou mais processos de identificação para permitir o acesso às contas pessoais ou recursos de empresas.

Geralmente, o processo de MFA envolve diferentes categorias para realizar a autenticação:

• Algo que a pessoa conheça (como uma senha ou código PIN).
• Algo que a pessoa tenha (como um aplicativo de autenticação ou conta de e-mail, por exemplo).
• Algo que faça parte da pessoa (como uma autenticação por digital ou reconhecimento facial).

Através de múltiplos fatores para realizar a autenticação dos usuários, a MFA cria um mecanismo de camadas de segurança que ajuda a reduzir riscos de acessos não-autorizados às contas das pessoas que utilizam este recurso.

Com a autenticação de multifatores ativa, mesmo que um cibercriminoso consiga descobrir os dados de acesso da conta da vítima (seja através de um golpe de phishing, um ataque de força bruta ou outro método de ciberataque), será praticamente impossível prosseguir com a invasão da conta sem a confirmação dos outros processos de autenticação.

Apesar de novos recursos de proteção surgirem no cenário da cibersegurança (como a tecnologia de passkey), a autenticação de múltiplos fatores continua sendo um elemento fundamental para proteger os usuários contra os ataques cibernéticos mais nocivos (como os de phishing, por exemplo).

A autenticação multifator dinâmica ou adaptativa é uma categoria de MFA que tem como vantagem a capacidade de determinar quais mecanismos de autenticação são mais adequados de acordo com o contexto e os atores que tentam o acesso.

Muitas empresas também usam os recursos de MFA para aprimorar sistemas de autenticação que se ajustam de forma dinâmica aos fatores de risco envolvidos. Estes processos são chamados de MFA adaptativa. Estes métodos de autenticação usam informações contextuais e padrões de comportamento aprendidos para determinar o nível de risco associado à conexão e quais fatores de autenticação são mais eficientes para evitar a invasão da conta.

As informações contextuais usadas pela autenticação adaptativa também podem incluir os seguintes tipos de informação:

• A localização na qual a pessoa tenta fazer o acesso.
• O dispositivo usado para fazer log in.
• O horário no qual a pessoa tenta fazer o acesso.
• A identificação da rede usada pelo usuário (se ela é pública ou privada).
• O número de falhas nas tentativas de log in.

A MFA adaptativa exige um método de verificação através da comparação contextual pela qual o usuário tenta fazer a conexão com as circunstâncias normais nas quais a conta é acessada.

Se alguém tentar acessar uma plataforma de uma empresa em um fim de semana em uma rede pública de um café, por exemplo, o sistema pode identificar a ação suspeita ao perceber que o acesso geralmente é feito na rede da empresa durante dias úteis, por exemplo.

Assim, se a tentativa de acesso for arriscada demais, o sistema pode impedir o acesso e solicitar informações adicionais para permitir a entrada na conta.

E então? Como a MFA funciona na prática? No Brasil, muitos bancos adotam os processos de autenticação multifatorial para diminuir os riscos de invasão das contas dos clientes. Quando a pessoa se dirige até um caixa eletrônico, por exemplo, ela precisa informar a senha pessoal e um código específico informado pelo banco para validar o acesso. Este é um exemplo de autenticação multifatorial.

A autenticação multifator exige que o usuário forneça informações específicas para concluir o acesso. Isto envolve dois processos ou mais. Se a pessoa não conseguir confirmar as informações corretas solicitadas, o acesso é bloqueado mesmo que a pessoa saiba a senha da conta, por exemplo.

No geral, a primeira informação exigida é a senha criada pelo usuário. Depois, é solicitada uma OTP (one-time password, ou senha de uso único), um código enviado por SMS. A autenticação por biometria também pode ser exigida – aí, o usuário precisa confirmar o acesso através das digitais cadastradas no sistema.

A MFA ainda pode exigir um código enviado por e-mail e outros procedimentos de autenticação. Algumas plataformas permitem que os usuários definam várias e várias camadas de autenticação. Quanto mais processos de verificação, mais seguro é o sistema de MFA e menores são as chances de uma invasão da conta protegida por autenticação multifatorial.

No geral, o processo de MFA é executado através dos seguintes procedimentos:

1. Quando a pessoa registra uma conta com MFA ativo, ela precisa criar um nome de usuário e uma senha, além de fornecer outro tipo de identificação como, por exemplo, um número de telefone, um endereço de e-mail ou até mesmo o cadastro das digitais.
2. Depois, com a MFA ativa, sempre que o usuário quiser acessar uma conta online ou dados protegidos pela MFA, o sistema vai exigir o nome de usuário, a senha e as informações de verificação adicionais que foram estabelecidas pelo usuário no momento de criação ou de configuração posterior da conta.
3. Então, caso todas as etapas de confirmação sejam concluídas, o usuário consegue acessar o sistema. Se as etapas não forem concluídas, o acesso à conta é bloqueado.

Com a imensa quantidade de golpes online no Brasil, a autenticação de múltiplos fatores é um recurso fundamental para manter a integridade das contas pessoais, informações sigilosas e a privacidade das pessoas.

Hoje, o país já ocupa a terceira colocação no ranking de ambientes digitais mais perigosos entre os países que formam o G20. A falta de investimentos em cibersegurança e de regulações para lidar com crimes online são alguns dos principais fatores para o alto nível de insegurança digital.

A cada 10 brasileiros, 7 já sofreram com algum tipo de ameaça cibernética. Vazamento de dados, invasão e roubo de contas são práticas cada vez mais comuns tanto contra indivíduos quanto contra empresas.

A autenticação multifator é essencial porque adiciona camadas extras de segurança e reduz as chances de acessos indevidos e não-autorizados nas suas contas (como os ataques de força bruta, por exemplo).

Sem o recurso de MFA, por exemplo, basta que um hacker descubra suas informações de login e senhas para entrar no seu e-mail e enviar malware para seus contatos, por exemplo (ou invadir seus perfis em redes sociais, usar seus dados para cometer fraudes e aplicar golpes nos seus contatos).

No Brasil, os métodos mais comuns de autenticação multifatorial são os códigos enviados por SMS, chamada telefônica ou código PIN. Além disto, códigos enviados via WhatsApp também são muito usados.

Há alguns tipos ou categorias de MFA que são usados para validar o acesso dos usuários:

Conhecimento

O fator de conhecimento se refere às informações que só o usuário poderia saber, como, por exemplo:

• Senha pessoal ou código PIN criado pelo usuário.
• Resposta para a pergunta de segurança, como o nome do bichinho de estimação, de um parente ou o time favorito de futebol.

Depois de inserir a informação correta no sistema MFA, aí a pessoa é direcionada para outras etapas de autenticação.

Posse/propriedade

Outro fator usado pelos processos de MFA é o de exigir algo que o usuário tenha ou seja. Por exemplo:

• Digital, reconhecimento facial e/ou da retina (escaneamento ocular) do usuário.
• Reconhecimento de voz do usuário.
• Dinâmicas de digitação, como velocidade da digitação ou padrões de uso específicos ao dispositivo.

O MFA também coleta e armazena dados biométricos do usuário a partir do registro e da criação de uma conta, tudo com o objetivo de definir métodos de autenticação através destes elementos. Os fatores biométricos são únicos e sempre ligados à pessoa proprietária da conta, o que faz com que esta categoria seja uma das formas mais eficientes de impedir acessos indevidos às contas.

Localização

Outro fator fundamental para a MFA é o da localização, que exige a confirmação da localização física do usuário através de uma ou mais destas informações:

• Geolocalização: o local no qual é feita a tentativa de acesso à conta protegida por MFA.
• Endereço IP: a identificação de IP do dispositivo com o qual é feita a tentativa de acesso à conta.

Os métodos de autenticação via localização usam coordenadas de GPS e parâmetros de rede para determinar se a localização da pessoa segue o padrão observado ou se foge do convencional. Os parâmetros de localização, no geral, são feitos em processos de segundo plano (background).

Se o sistema de MFA suspeitar de qualquer atividade estranha, como o acesso a partir de um local muito distante daquele no qual o login geralmente é feito, ele pode bloquear o acesso à conta e/ou solicitar outros processos adicionais de verificação.

Tempo

O fator de tempo ajuda a monitorar quando os acessos são feitos e serve para determinar se o usuário pode acessar a conta com base na seguinte informação:

• Períodos específicos de tempo: os períodos padronizados nos quais o sistema observa que o usuário acessa a conta.

Além disto, muitas plataformas permitem que o usuário defina um prazo específico para o acesso à conta. Assim, qualquer acesso feito fora do prazo configurado é bloqueado pelo sistema, ou o acesso só pode ser feito através de outros procedimentos exigidos para confirmar o login.

Se a pessoa tentar logar no sistema em horários muito diferentes do padrão observado (como alguém que tenta acessar um aplicativo do trabalho, geralmente usado durante a semana, em um horário de madrugada em um sábado, por exemplo), então o MFA pode bloquear a tentativa de conexão e/ou exigir processos adicionais de verificação.

A MFA oferece diversos benefícios tanto para usuários individuais quanto para empresas e organizações. Atualmente, nós podemos considerá-la como um dos recursos de cibersegurança mais eficientes disponíveis às pessoas.

Para os usuários brasileiros, por exemplo, contar com a proteção da autenticação multifatorial ajuda na defesa contra vários tipos de golpes que são muito aplicados no país (como os golpes no Mercado Livre, WhatsApp hackeado e táticas de phishing disseminadas por aplicativos de mensagens instantâneas e redes sociais, por exemplo).

• 

  Individualidade: a MFA fornece códigos de uso único que são descartáveis e intransferíveis, enviados especificamente para o usuário e para o acesso específico.
• 

  Proteção contra vazamento de dados: com a MFA ativa, você consegue proteger suas contas mesmo que seus dados pessoais sejam vazados (como e-mail, senha e informações de login). Mesmo que um hacker descubra sua senha, por exemplo, os processos adicionais de autenticação vão ajudar a bloquear o acesso.
• 

  Autenticação mais complexa: a MFA oferece formas mais complexas e intrincadas de autenticação. Além da senha, um código específico, uma resposta para uma pergunta secreta e até mesmo o reconhecimento facial são exigências que tornam o processo de acesso muito mais complicado para agentes maliciosos.
• 

  Monitoramento das contas: a MFA também ajuda no monitoramento das atividades das suas contas, já que as tentativas de acesso bloqueadas são informadas (através de notificações em algum app, e-mails ou atualizações diversas). Além disto, todos os novos dispositivos conectados são informados, além das solicitações de acesso. Isto proporciona um nível de informação mais elevado em relação ao que acontece com suas contas.

Imagine a MFA como uma proteção na sua casa: um ladrão consegue abrir a fechadura da porta, mas logo em seguida se depara com um cadeado. E outro cadeado, e outra corrente, e outra fechadura. São camadas e mais camadas de proteção que dificultam acessos indevidos e ajudam a manter a integridade das suas contas e das suas informações pessoais.

É exatamente por garantir melhores estruturas de cibersegurança que o MFM, assim como os softwares de VPN, são cada vez mais disseminados entre as pessoas no Brasil e no mundo.

É praticamente impossível impedir que nossos dados pessoais sejam vazados, mas recursos como o MFM permitem que ao menos seja viável reforçar estruturas de autenticação para proteger nossas contas mesmo que nossas informações de login sejam descobertas e roubadas.

Com tantas vantagens e pontos positivos, pode até parecer que a MFA é perfeita. Mas, como todas as outras coisas, ela também tem suas falhas. Nós podemos destacar alguns dos principais problemas (ou desvantagens) relacionadas ao uso da MFA:

• 

  Travamento da conta: se você perder acesso ao seu smartphone cadastrado para fazer a autenticação (ou qualquer outro elemento exigido pela MFA) ou ele for danificado, por exemplo, seu acesso pode ficar bloqueado e a recuperação da conta pode ser bastante difícil, o que pode gerar muitos inconvenientes.
• 

  Maior demora para o processo de login: concluir as solicitações de autenticação leva muito mais tempo do que simplesmente digitar uma senha. Apesar da segurança ser maior, a MFA perde em termos de rapidez e praticidade.
• 

  Dependência em relação a terceiros: muitos processos de verificação de MFA dependem de aplicativos e plataformas usadas por terceiros para gerar códigos de acesso e outras informações únicas de login, o que deixa sua conta dependente em relação a outras plataformas que, se não funcionarem corretamente, podem interferir no seu uso de programas, aplicativos e recursos importantes.
• 

  Vulnerabilidade a ataques direcionados: apesar de ser bastante eficiente para a proteção contra os ataques cibernéticos automáticos, a MFA é menos resistente contra os ataques de hackers visando alvos específicos. Através de padronização de comportamentos dos usuários e táticas de phishing, por exemplo, hackers podem convencer as vítimas a fornecer dados de autenticação exigidos pela MFA.

Outro ponto fraco dos recursos de MFA é a suscetibilidade das vítimas em relação a golpes de engenharia social. É essencial ter em mente que você jamais deve compartilhar códigos de autenticação com terceiros, mesmo que se passem por representantes das plataformas.

Clicar em links maliciosos e baixar anexos suspeitos também fornece mecanismos para que os cibercriminosos consigam burlar os recursos de MFA, principalmente quando conseguem acessar o dispositivo que a vítima usa para fazer a autenticação.

Há muitas semelhanças entre a MFA e a 2FA. Afinal, ambas são métodos de verificação que exigem que os usuários comprovem suas identidades várias vezes antes que o acesso seja permitido. Mas há algumas diferenças entre elas.

A principal diferença é o número de etapas de autenticação que cada sistema exige. Enquanto a 2FA exige duas formas distintas de autenticação (como o nome já diz), a MFA obriga o usuário a completar mais do que duas etapas de verificação.

A 2FA exige duas formas distintas de identificação: uma senha e um dispositivo móvel (ou dados biométricos). Ao usar a 2FA, você vai precisar informar sua senha pessoal e um código enviado por SMS (ou e-mail, chamada telefônica ou outro método), ou fornecer sua digital.

Na MFA, você vai precisar fornecer a senha pessoal, informar um código enviado por SMS ou outro meio especificado, confirmar uma notificação push na tela do seu dispositivo e também fazer uma verificação de localização, além de fornecer a autenticação biométrica – além de outras etapas que dependem da plataforma e das próprias configurações do usuário.

Nós podemos considerar a 2FA como um subgrupo da MFA. A MFA é uma 2FA reforçada e ainda mais robusta.

Você pode configurar a autenticação multifator através das opções de segurança e configurações de privacidade diretamente na conta que você quer proteger. Redes sociais, aplicativos de bancos e serviços de e-mail oferecem a opção da ativação de recursos de 2FA e MFA.

No geral, as plataformas usam aplicativos de autenticação como Auth0, Google Authenticator, Microsoft Authenticator, Authy, Last Pass Authenticator e Duo Mobile, por exemplo. Eles oferecem métodos bem simples de conectar suas contas e fazer a integração para permitir o uso dos recursos de 2FA e MFA.

Como a ativação deste recurso é quase sempre manual, é essencial fazer a configuração para habilitar os processos de MFA e proteger suas contas através de diversas etapas de verificação de identidade.

Nossas informações pessoais são constantemente expostas a vazamentos de dados, ataques contra plataformas e servidores, crimes cibernéticos e uma série de ameaças digitais que colocam nossas contas, perfis e acessos em risco.

A MFA é uma resposta ao avanço das técnicas para roubo e invasão de contas. Hoje, manter senhas fortes continua sendo fundamental para proteger nossas contas, mas não é mais um recurso suficiente por si só. Afinal, nossas informações de login muito provavelmente já fazem parte de algum vazamento na deep web ou na dark web.

Hoje, as ferramentas de inteligência artificial permitem que os sistemas aprendam sobre padrões de comportamento dos usuários, o que permite mecanismos de autenticação cada vez mais individualizados e personalizados. A integração entre recursos de MFA e ferramentas de IA não é uma projeção para o futuro, é uma realidade do presente.

Da mesma forma que os recursos de defesa avançam, as táticas dos cibercriminosos também evoluem: agora, os criminosos recorrem cada vez mais a táticas de engenharia social, usando as ações dos próprios usuários para burlar os mecanismos de segurança digital.

Neste sentido, os recursos de 2FA e MFA também têm como tendência a evolução para compensar e prevenir os erros dos próprios usuários, diminuindo ao máximo o fator de erro humano.