Nos últimos anos, questões relacionadas à autenticação de usuários estão cada vez mais em evidência, considerando que esta é a razão ou o meio de prevenção de um dos maiores medos de qualquer organização: o vazamento de dados de clientes, fornecedores e colaboradores. Nesse contexto, senhas não são mais suficientes para proteger um sistema. Múltiplos fatores de autenticação, apesar de ser um conceito utilizado há algum tempo como solução à questão da proteção às senhas, ainda traz dúvidas para muitos usuários que precisam de proteção para credenciais em diversos sistemas. 

A fim de garantir que quem está querendo acessar o sistema é de fato o usuário, é possível exigir a inserção de dois ou mais códigos de autenticação, além da senha. O objetivo é assegurar a legitimidade do acesso e evitar fraudes, uma vez que senhas podem ser obtidas de forma indevida, a impressão digital pode ser copiada através de um vidro ou o token pode ser roubado. Essa medida dificulta ações de atacantes que possam comprometer mais de um fator de autenticação, ao mesmo tempo. 

Fatores de Autenticação

Fatores de autenticação são categorias usadas para verificar e validar a identidade da solicitação do acesso, sendo divididos em três tipos: 

  • Fator de conhecimento: algo que o usuário tenha conhecimento. 
  • Fator de possessão: algo que o usuário possua. 
  • Fator de herança: algo que o usuário seja.

Estes fatores consideram dois tipos de processos para validar a identidade do usuário: a autenticação em duas etapas e a autenticação com duplo ou múltiplos fatores, os quais, muitas vezes, são confundidos como sendo o mesmo processo, porém possuem abordagem e níveis de segurança diferentes. 

Autenticação em duas etapas

O processo de autenticação em duas etapas (2FA) é muito simples: no momento da autenticação, quando as credenciais são solicitadas e o usuário insere sua senha, um código é enviado por SMS, e-mail ou ligação telefônica para um dispositivo pré-cadastrado para verificação da solicitação do acesso. Como a validade deste código é curta, caso o usuário não o utilize de imediato, será necessário gerar outro código para realizar a sua autenticação e obter o acesso, em outro momento. 

O processo através de SMS ou ligação telefônica requer o cadastro de um número de telefone para receber o código, o que torna este tipo de autenticação vulnerável a ataques como o SIM-Swap (golpe que transfere a linha do chip da vítima para outro chip, em posse de um atacante malicioso). 

Além do SMS, e-mail e ligação telefônica, os códigos para validação de usuário também podem ser gerados por aplicativos de autenticação, como o Google Authenticator. Para realizar esta autenticação, o usuário precisa inserir a sua senha e o código gerado através do aplicativo. 

Este tipo de autenticação utiliza apenas um tipo de fator: de conhecimento. Muitas pessoas entendem que se trata de mais de um fator porque requer tanto a senha para acesso quanto o código de verificação, contudo é um tipo formado por dois pedaços de uma mesma informação baseada no conhecimento do usuário, que só ele sabe.

A autenticação em duas etapas é definida por etapas seguidas do mesmo fator de autenticação, ou seja, para se autenticar, o usuário deve inserir duas informações que somente ele sabe ou algo que ele possui. 

Autenticação em dois fatores (2FA) ou múltiplo fator de autenticação (2FV)

Este processo de autenticação é considerado o mais seguro, já que exige que o usuário insira no mínimo dois tipos de fatores de autenticação diferentes, como algo que ele tenha conhecimento e algo que ele tenha herdado. 

  • Algo que o usuário tenha conhecimento: senhas, PIN e códigos.
  • Algo que o usuário possua: smartcards, USB Token, chave.
  • Algo que o usuário tenha herdado: impressões digitais ou características físicas, como a íris. 

A autenticação para acessar um datacenter, por exemplo, pode exigir que o usuário aproxime seu smartcard do visor da fechadura e, em seguida, insira suas credenciais (usuário e senha). Ou seja, é mandatório realizar uma autenticação em dois fatores para entrar na sala. 

A Autoridade de Bancos da Europa (EBA), em seu guia sobre pagamentos on-line, orienta que, no mínimo, um dos fatores não deve ser replicado, exceto o de herança, e que também não seja suscetível a roubos através da internet. Neste tipo de autenticação, cada pedaço de informação inserido é independente um do outro, porém as duas informações devem ser corretas para que o acesso seja liberado. Caso uma das informações inseridas esteja incorreta, somente esta deverá ser gerada novamente. Por conta disso, tokens baseados em tempo são muito usados, pois mudam constantemente em um intervalo de tempo, a cada cinco minutos, por exemplo. 

É uma grande preocupação quando um desses fatores, principalmente e de possessão, é perdido ou por algum motivo destruído. Neste caso, o usuário não perde o acesso, pois quando o processo é implementado, uma chave mestra ou senha mestra é requisitada para a recuperação da conta. A maior preocupação é quando esta chave ou senha mestra é perdida ou roubada, pois pode comprometer a segurança e a recuperação da conta. 

Senhas robustas são difíceis de se lembrar. Por este motivo, inserir mais de um fator de autenticação é um bom controle de segurança, ainda que possa tornar o processo de autenticação um pouco demorado, caso o usuário não tenha familiaridade com os fatores de autenticação ou com o processo. Existem ferramentas que, além de tornar o processo mais usual, gerenciam esses fatores e preenchem automaticamente senhas e informações de autenticação complexas. 

No contexto do gerenciamento de credenciais, as soluções PAM (Privileged Access Management ou Gestão de Acessos Privilegiados) trazem os seguintes benefícios para os usuários e organizações:

  • Aumento da segurança na autenticação de usuários e execução de tarefas.
  • Integração com diversos métodos e dispositivos para autenticação com multifator.
  • Autenticação em ambientes sem necessidade de inserir a senha do usuário.
  • Integração com regras de GPO (Group Policy ou Diretiva de Grupo) implementadas.
  • Exigência de senhas fortes para todos os usuários.
  • Possibilidade de executar sessões remotas, sem que o usuário conheça a senha.
  • Avaliação dos dados que necessitam de mais proteção e outros benefícios.

Uma vez que o processo seja implantado, é possível facilitar a resposta em casos de solicitações de autenticação duvidosas. Além disso, este tipo de solução permite que uma sessão remota seja interrompida caso haja dúvida quanto à veracidade dos fatores. 

Existem muitos mecanismos que podem auxiliar na gestão desses fatores e da própria autenticação. Agentes maliciosos que conseguem obter algum fator de autenticação têm mais chances de falsificar as verificações do sistema, e por isso são pedaços de informações que devem ser protegidos. 

Utilizar um único fator de autenticação não garante que quem está querendo acessar o sistema é, de fato, o respectivo usuário. Então, tentar tornar o processo de autenticação mais seguro e difícil de ser explorado por atacantes é um desafio para as organizações, independentemente do porte e segmentos em que atuam. Entre autenticação em duas etapas (2FA) e múltiplos fatores de autenticação (2FV), cabe a cada organização entender o que é mais adequado e seguro em relação às suas necessidades.