O que é a autenticação multifator? Exemplos de MFA

A autenticação multifator (MFA – multi-factor authentication) é um método de verificação do utilizador que requer duas ou mais formas de identificação para permitir o acesso a contas ou recursos da empresa. Os fatores que a MFA usa para autenticação enquadram-se em diferentes categorias e normalmente envolvem:

• Algo que os utilizadores sabem (como uma password ou um PIN).
• Algo que eles tenham (por exemplo, apps de autenticação ou contas de email).
• Algo deles próprios (como uma impressão digital ou reconhecimento facial).

Com vários fatores para autenticar os utilizadores, a MFA cria um mecanismo de segurança em camadas que reduz o risco de um acesso não autorizado. Mesmo que um agente de ameaça ultrapasse o primeiro elemento de verificação (a password), dificilmente conseguirá corresponder aos restantes requisitos de autenticação e obter acesso à conta.

Muitas empresas também perceberam os benefícios de usar um sistema de autenticação que se ajusta dinamicamente aos fatores de risco envolvidos, chamado de MFA adaptativa. Ela utiliza informação contextual e padrões de comportamento do utilizador para determinar o nível de risco associado à conexão e quais os fatores de autenticação a aplicar.

A informação contextual usada pela autenticação adaptativa pode incluir o seguinte:

• A localização de onde o utilizador está a tentar conectar-se.
• Dispositivos usados para fazer login.
• Horário em que o utilizador está a tentar conectar-se.
• Se o utilizador está a tentar conectar-se a partir de uma rede privada ou pública.
• Número de tentativas de login falhadas.

A MFA adaptativa apresenta um método de verificação específico comparando o contexto no qual o utilizador tenta conectar-se e as circunstâncias habituais para essa conexão. Se a tentativa de conexão parecer muito arriscada, o sistema pode não autorizar o utilizador a fazer login ou pode pedir-lhe informações adicionais.

A autenticação multifator pede ao utilizador que forneça informações específicas para atender a pelo menos dois pedidos de natureza diferente. Estes pedidos enquadram-se em diferentes categorias: o primeiro é tipicamente uma password criada pelo utilizador, seguida, por exemplo, de um pedido para indicar uma password ou código de utilização única (one-time password – OTP) enviado via SMS, ou uma leitura de impressão digital. Provar a identidade do utilizador através de várias evidências diminui as possibilidades de os agentes de ameaça se fazerem passar pelo utilizador e conseguirem aceder a dados pessoais ou da empresa.

Vejamos em detalhe como funciona a MFA desde as suas etapas iniciais.

1. Quando o utilizador se regista numa conta com MFA, ele tem de criar um username (nome de utilizador) e uma password, e indicar qualquer outro tipo de possível autenticação como, por exemplo, o seu número de telefone, endereço de email ou impressão digital.
2. Sempre que o utilizador quiser aceder à sua conta ou aos seus dados online protegidos com MFA, ele terá de fornecer o seu nome de utilizador, password e o item de verificação adicional que configurou na etapa inicial de criação da sua conta. Pode ser um código de autenticação enviado por SMS, a sua impressão digital ou reconhecimento facial.
3. Depois de concluídos todos os passos de verificação, o utilizador obtém acesso ao sistema.

A autenticação multifator é importante porque adiciona outra camada de proteção e reduz as probabilidades de entidades não autorizadas conseguirem aceder a dados confidenciais. À medida que mais informações são armazenadas em várias plataformas baseadas na nuvem, protegê-las apenas com uma password deixou de ser seguro.

Isto porque, por exemplo, os utilizadores podem criar password fracas que os hackers facilmente conseguem quebrar durante ataques de força bruta ou intrusões de malware. Perder a sua password para hackers pode levar a consequências ainda mais graves caso utilize a mesma senha em várias contas, comprometendo-as todas. Considerando isso, a proteção adicional conseguida com a MFA pode ajudar a bloquear acessos não autorizados às suas contas, mesmo quando a sua password tiver sido roubada.

A MFA pode trazer benefícios tanto para as empresas como para particulares, fornecendo uma abordagem em camadas para um acesso seguro. Vamos conhecer as suas principais vantagens:

• Melhor segurança. Ao empregar vários fatores de autenticação, a MFA pode proteger as contas mesmo que a primeira camada de verificação — uma password — tenha sido violada ou perdida. É uma ferramenta eficaz para reduzir possíveis danos causado por ataques de phishing: mesmo que um scammer engane o utilizador para que este revele a sua senha, as camadas secundárias de autenticação vão restringir o acesso do golpista à conta. A MFA minimiza os riscos associados a passwords comprometidas, erro humano ou ciberataques que visam informações confidenciais.
• Flexibilidade e compatibilidade. A MFA permite vários métodos de verificação que variam conforme a sua natureza, tais como códigos de autenticação e dados biométricos. As empresas podem escolher quais os métodos de MFA que melhor atendem as suas necessidades e recursos, e o que é mais conveniente para os seus utilizadores. É a principal razão pela qual a Nord Account implementou a segurança da MFA. As empresas podem também implementar a MFA em várias aplicações e pontos de acesso, protegendo uma ampla gama de recursos.
• Confiança do cliente. A utilização da MFA pode aumentar a confiança e interesse do cliente porque o seu método de verificação dá menos ênfase às passwords e mais a outras formas de autenticação. Isto torna o sistema de MFA mais tolerante a erros humanos.

Os métodos de MFA podem ser classificados dependendo de quais os recursos que o utilizador usa para aceder à conta. Vamos verificar os métodos de autenticação mais comuns.

Conhecimento

O fator conhecimento refere-se a informações que só o utilizador poderia saber, como por exemplo:

1. Password ou um PIN criado pelo utilizador.
2. Pergunta de segurança, como o nome do animal de estimação ou de um familiar do utilizador.

Depois de o utilizador inserir estas informações no sistema de MFA, ele é conduzido aos passos seguintes de autenticação.

Posse

O método de autenticação diz respeito à posse de um item/objeto; os utilizadores identificam-se por algo que possuem. Isto pode incluir:

• Dispositivos físicos, como telemóveis, tablets ou comandos à distância de hardware.
• Recursos digitais, incluindo contas de email ou serviço de SMS.
• Aplicações de autenticação, como o Google Authenticator ou o Authy, que geram códigos únicos baseados em tempo (TOTPs).

No momento da autenticação, o utilizador recebe um código temporário para inserir numa aplicação de MFA ou uma notificação push que precisa de confirmar. Depois de cumprir com esta solicitação, o utilizador poderá entrar na conta ou receberá outro pedido de verificação.

Inerência

O fator inerência indica algo que é próprio do utilizador. Aqui estão alguns exemplos:

• Impressão digital ou scan do olho.
• Reconhecimento de voz ou facial.
• Dinâmicas de keystroke (pressionamento de teclas), incluindo velocidade de digitação ou utilização específica do dispositivo.

A MFA tem de recolher e armazenar os dados biométricos do utilizador no momento do registo para usar este modo de autenticação. Os fatores biométricos são únicos e estão sempre vinculados ao utilizador, o que faz com que esta categoria de inerência seja uma das barreiras mais determinantes para se entrar numa conta.

Localização

O fator localização depende da localização física do utilizador, incluindo:

• Geolocalização de onde o utilizador está no momento do login.
• Endereço de IP do dispositivo através do qual o utilizador está a tentar conectar-se.

O método de autenticação através da localização usa coordenadas GPS e parâmetros de rede para determinar se a localização do utilizador não parece estranha. Os parâmetros de localização são normalmente executados em segundo plano. Se o sistema de MFA suspeitar de atividade incomum, pode impedir que o utilizador aceda à conta ou solicitar o cumprimento de etapas de verificação adicionais.

Tempo

O fator tempo rastreia o momento em que o utilizador está a tentar fazer login. Ele determina se o utilizador pode aceder à conta com base em:

• O período de tempo específico durante o qual o utilizador está autorizado a aceder aos recursos.

Se o utilizador tentar fazer login no sistema em horários estranhos, por exemplo, a meio da noite, a MFA pode bloquear a sua tentativa de conexão ou solicitar verificação adicional.

Apesar de a MFA ser uma ótima ferramenta para melhorar a segurança das contas dos utilizadores e dos recursos das empresas, tem algumas desvantagens. Aqui estão as desvantagens da MFA a considerar:

• Bloqueios (lockouts). Se o utilizador perder ou danificar o seu telefone ou outro hardware para verificar a sua identidade, a MFA irá bloquear o seu acesso à conta. Tal pode causar atrasos significativos e obrigar a recorrer a ajuda externa para recuperar o acesso à conta.
• Aumento do tempo de login. Atender à solicitação da MFA pode requerer algum tempo, especialmente se o sistema identificar a sua ligação como arriscada.
• Dependente de terceiros. Alguns passos de verificação podem exigir a instalação de apps adicionais para que seja enviado aos utilizadores um TOTP (código único baseado em tempo) ou notificações push, ocupando espaço nos seus dispositivos.
• Vulnerável a ataques direcionados. Apesar de a MFA ser um sistema eficaz contra ciberataques automatizados, é menos resistente a hackers com alvos específicos. Os atacantes podem explorar o comportamento dos utilizadores ou recorrer a golpes elaborados de phishing para os convencer a colaborar quando estão a aceder a contas restritas.

A MFA e a autenticação de dois fatores (2FA) são ambas métodos de verificação que exigem que os utilizadores provem a sua identidade várias vezes antes de terem permissão para aceder a uma conta. A principal diferença entre as duas reside no número de passos de autenticação que o sistema exige.

A 2FA requer duas formas distintas de identificação, que normalmente envolve o fator conhecimento (password) em combinação com o fator posse (dispositivo móvel) ou fator inerência (dados biométricos). Por exemplo, ao usar a 2FA, ser-lhe-á pedido que coloque uma password e que insira o código que lhe é enviado por SMS ou use a sua impressão digital.

Já a MFA pode solicitar dois ou mais métodos de identificação que acompanham a password. Por exemplo, quando é solicitado ao utilizador para aceitar notificações push enviadas para o seu dispositivo móvel, o sistema de MFA pode também verificar a localização a partir da qual o utilizador está a tentar conectar-se e avaliar o risco.

A 2FA é um subgrupo da MFA, com a MFA a fornecer soluções mais flexíveis e robustas que ajudam a determinar se a conexão à conta é legítima.

Conclusão

A MFA pode fornecer uma camada robusta de segurança que vai além dos tradicionais sistemas de acesso baseados numa password. A tecnologia da MFA usa métodos de autenticação que são personalizados e baseados em circunstâncias em tempo real, tornando-se mais desafiante para os agentes de ameaças comprometer contas. Esta característica ajuda a reduzir significativamente o risco de acessos não autorizados a contas e recursos, com mínimos inconvenientes para o utilizador.