BR +55 11 3069 3925 | USA +1 469 620 7643

Múltiplo Fator de Autenticação: como se beneficiar dessa estratégia de segurança

por | jan 4, 2022 | Blog

O múltiplo fator de autenticação é uma solução inteligente que proporciona proteção de ataques cibernéticos a pessoas físicas e jurídicas. 

Essa estratégia é especialmente importante nos dias atuais, considerando o aumento expressivo de tentativas de invasão.

Uma pesquisa efetuada pela Kaspersky, organização especializada em segurança, e divulgada no site da CNN Brasil, aponta números alarmantes. De acordo com esse levantamento, em 2020, houve um aumento de 330% nas tentativas de ataques cibernéticos. Ao todo, mais de 370 milhões de sistemas corporativos foram invadidos.

Com a adoção do trabalho remoto por grande parte das companhias durante a pandemia de covid-19, seus sistemas ficaram mais vulneráveis à ação de hackers. 

Isso aumentou a necessidade de tecnologias como o múltiplo fator de autenticação, conforme abordamos em um dos tópicos a seguir.

Neste artigo, explicamos do que se trata esse recurso, qual sua importância e como implantá-lo, entre outras informações. Para facilitar sua compreensão, ele está dividido nos seguintes tópicos:

  • O que é múltiplo fator de autenticação?
  • Qual é a importância do múltiplo fator de autenticação?
  • As empresas são obrigadas a utilizar esse recurso?
  • Duplo fator de autenticação e múltiplo fator de autenticação: qual é a diferença?
  • Senhas complexas têm a mesma eficácia do MFA?
  • Tipos de autenticação digital
  • Métodos utilizados em tentativas de quebrar a segurança do MFA
  • Múltiplo fator de autenticação e o trabalho remoto

Acompanhe a matéria. Boa leitura!

 

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

Newsletter Blog PT

3 + 11 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

  • O que é o múltiplo fator de autenticação?

O múltiplo fator de autenticação (MFA) é um recurso que inibe a ação de invasores unindo diferentes mecanismos para a autenticação de usuários. Dessa forma, garante a segurança necessária aos dados que poderiam ser acessados pelo dispositivo de computação, evitando inúmeros transtornos e prejuízos.

Na prática, deve haver uma identificação de usuário exclusiva, que esteja em conformidade com o Requisito 8.1.1 do PCI DSS, além de, no mínimo, dois dos três critérios previstos no Requisito 8.2 do PCI DSS. São eles:

  • Fator de conhecimento: algo que o usuário saiba, como uma senha;
  • Fator de posse: algo que ele possua, como um token; e
  • Fator de herança: algo que se relaciona a quem ele é, como é o caso da biometria.

 

Para que o múltiplo fator de autenticação funcione como deve é fundamental que os mecanismos sejam independentes entre si. Ou seja, caso um dos fatores conceda acesso ao outro, a segurança desejada será comprometida.

  • Qual a importância do múltiplo fator de autenticação?

O múltiplo fator de autenticação é um mecanismo que combate o roubo de dados e cibercrimes em geral. Para as organizações, essa proteção é de extrema importância por diversos motivos.

Contribui para evitar perdas financeiras por meio de roubos e impacto na produtividade, uma vez que esse tipo de ocorrência pode paralisar as operações do negócio.

Além disso, impede que a companhia seja exposta e processos judiciais ocasionados por vazamento de dados. 

Isso pode ocorrer, por exemplo, por desrespeito à Lei Geral de Proteção de Dados (LGPD), que passou a vigorar em 18 de setembro. Essa legislação impõe às empresas a adoção de uma série de procedimentos com o objetivo de proteger dados individuais. 

Não agir em conformidade com a lei pode acarretar sanções administrativas com oito tipos diferentes de punição, que incluem multas de até R$ 50 milhões.

  • As empresas são obrigadas a utilizar esse recurso?

O múltiplo fator de autenticação não é uma solução obrigatória para todas as companhias. Porém, seu uso é fortemente recomendado para organizações de qualquer porte ou segmento, afinal combate uma série de riscos.

Além disso, pessoas físicas podem se beneficiar desse recurso, uma vez que também são alvo de ações maliciosas como ataques cibernéticos.

Para algumas auditorias, porém, já se trata de uma imposição e é possível que em um futuro próximo deixe de ser opcional em contextos diversos.

  • Duplo fator de autenticação e múltiplo fator de autenticação: qual é a diferença?

Assim como o múltiplo fator de autenticação, o duplo fator de autenticação ou autenticação de dois fatores (2FA) tem a finalidade de dificultar o hackeamento das contas de uma pessoa física ou jurídica. Ambos exigem que o usuário utilize mais do que uma senha tradicional para efetuar o login.

 A diferença é que no duplo fator de autenticação pode ser utilizado mais de uma vez o mesmo método, como uma senha e um código de segurança, dois fatores de conhecimento.

 Já o múltiplo fator de autenticação é um sistema mais complexo, que requer ao menos dois métodos para permitir o acesso a determinada conta. Na prática, isso significa que o indivíduo deverá combinar elementos como uma senha e o escaneamento da impressão digital. Perceba que estamos falando, respectivamente, de um fator de conhecimento e um fator de herança.

  • Senhas complexas têm a mesma eficácia do MFA?

Especialistas recomendam o uso do múltiplo fator de autenticação sempre que um provedor de serviços oferecer esse mecanismo. 

Isso porque o MFA possibilita bloquear 99,9% dos ataques automatizados de bots e estudos apontam sua eficácia em barrar ações maliciosas. 

Conforme o Google, o simples fato de atrelar um número de telefone à conta Google, como forma de recuperar a senha, possibilita bloquear até 100% dos bots automatizados, 99% dos ataques de phishing em massa e 66% dos ataques direcionadas.

Utilizar apenas uma senha, ainda que complexa, como mecanismo de segurança, já se mostra uma ação ineficiente, na medida em que os hackers têm acesso a ferramentas cibernéticas cada vez mais sofisticadas e o número de contas violadas é alarmante.

Em contrapartida, utilizar o múltiplo fator de autenticação inibe essas invasões porque, além da senha, é necessário o uso de um método adicional de autenticação.

Além disso, comprometer tokens MFA é tão caro que só gera interesse em hackers que pretendem ter acesso a valores exorbitantes.

  • Tipos de autenticação digital

Existem inúmeras maneiras eficientes de impedir ações on-line maliciosas por meio de autenticação digital com diferentes níveis de complexidade. Neste tópico, abordamos as mais conhecidas. Confira a seguir:

  • Senhas: as senhas são o modo de autenticação mais comum. Para que cumpram sua função e proporcionem segurança, alguns serviços solicitam a adequação a critérios como número mínimo de caracteres e uso de números ou caracteres especiais.


  • Informações pessoais: determinados sistemas podem solicitar informações do usuário, como nome da mãe, data ou cidade de nascimento e nome completo.


  • PIN: trata-se de um código gerado para identificar o usuário de um site, por exemplo. Conforme mencionado anteriormente, essa informação é enviada a um smartphone específico.


  • Token:  Fator de posse, o token é um item muito utilizado por bancos para gerar senhas e evitar fraudes. Esse método tem a desvantagem de possibilitar o acesso compartilhado, o que pode reduzir a segurança, especialmente se não for aliado a outro modo de autenticação.


  • Reconhecimento facial: essa forma de autenticação altamente avançada é capaz de identificar o rosto de uma pessoa por meio de algoritmos e softwares. Primeiramente, os traços são detectados por uma câmera. Em seguida, são analisados tamanhos, formatos, proporções e distâncias. 

Todas essas informações são armazenadas em um banco de dados e utilizadas na hora da identificação.

Você deve estar se perguntando: e quando envelhecemos ou nos apresentamos com outro ângulo e iluminação? Na realidade, essa tecnologia, antes limitada, tem evoluído cada vez mais e hoje já é possível o reconhecimento em três dimensões.

Além disso, a câmera captura a forma da cabeça do usuário, justamente para identificar seus traços, independentemente do ângulo em que ele se encontre.

 

  • Reconhecimento de voz: existem determinados aplicativos com a finalidade de identificar a voz dos usuários. Os áudios são divididos em bits, convertidos em formato digital e transformados em textos.

O reconhecimento de voz cumpre sua finalidade analisando entonação, pronúncia e vocabulário, entre outras características da fala do usuário. Sua fragilidade se encontra em contemplar sotaques e mudanças no tom de voz, por exemplo.

 

  • Impressão digital: essa forma de autenticação é muito comum entre os fatores de herança. Consiste no desenho único que cada pessoa apresenta na ponta dos dedos e pode diferenciá-la de outras.

Nenhum tipo de autenticação digital é 100% seguro se aplicado isoladamente. Por esse motivo, recomenda-se fortemente o múltiplo fator de autenticação.

  • Métodos usados em tentativas de quebrar a segurança do MFA

O múltiplo fator de autenticação é amplamente utilizado pelas empresas para evitar ataques. Porém, nem mesmo esse mecanismo, com toda a sua complexidade e eficácia, garante 100% de proteção. Veja, a seguir, alguns métodos utilizados por hackers para corromper sua segurança:

  • Desativam o MFA

Usuários mal intencionados podem alterar configurações a fim de desabilitar a aplicação do múltiplo fator de autenticação. Dessa forma, não precisam passar por uma segunda etapa de autenticação ao se conectar.

  • Ignoram o múltiplo fator de autenticação

Nesse caso, o hacker aplica técnicas que possibilitam acesso sem MFA. Ele pode fazer isso de dois modos: controlando um aplicativo malicioso baixado e autenticado pelo usuário ou se aproveitando de alguma vulnerabilidade do múltiplo fator de autenticação.

Um exemplo é a possibilidade de interceptar uma mensagem de SMS com o código de autenticação.

  • Aproveitam-se de exceções autorizadas do MFA

Isso acontece quando o agente malicioso encontra contas operando sem os critérios do MFA. Sua ação consiste em se aproveitar de aplicativos legados que não fornecem esse mecanismo de proteção. É o caso de servidores de e-mail POP/SMTP.

  • Roubam certificado de assinatura SAML

Essa técnica é bastante conhecida e muito difícil de detectar. Consiste em roubar a chave privada ou ter uma chave forjada para assinar certificados e aponta para a necessidade de monitoramento constante. 

  • Reutilizam uma sessão

É possível comprometer um sistema com uma sessão autenticada porque grande parte dos recursos MFA tem como padrão um prazo de 30 dias para exigir a reautenticação de um usuário, sistema ou aplicativo. Com isso, há tempo o suficiente para acessar uma conta.

  • Múltiplo fator de autenticação e o trabalho remoto

O uso do múltiplo fator de autenticação se tornou mais urgente com a pandemia de covid-19. Isso porque boa parte das organizações tiveram que aderir ao home office, com os colaboradores acessando os sistemas de qualquer ambiente e dispositivo.

De acordo com esta publicação, 90% das empresas que atuam no Brasil adotou o trabalho remoto devido ao covid-19. Além disso, muitas irão manter esse modo de atuação mesmo após o fim da pandemia.

Essa nova condição trouxe vulnerabilidade para as companhias, uma vez que facilitou a ação      de indivíduos mal-intencionados.

Neste artigo, você viu o que é múltiplo fator de autenticação e sua importância para pessoas físicas e jurídicas. Caso nosso conteúdo tenha esclarecido suas dúvidas, compartilhe este texto com outras pessoas que também se interessam pelo tema.

 

Leia outros textos no blog da senhasegura

HIPAA: cinco dicas para estar em conformidade com a certificação

ISO 27001: 4 motivos para implantar na sua empresa

Uma Visão Geral sobre a Lei Geral de Proteção de Dados (PDPL) da Arábia Saudita

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Indústria 4.0 – O que é, e por que você precisa começar a pensar sobre isso?

Nos últimos anos, a adoção das tecnologias da Indústria 4.0, como automação, impressoras 3D, robótica e IoT está ganhando muita força entre os fabricantes. Essas tecnologias que fazem interface com o ciclo de vida da produção permitem que os negócios melhorem a...

Saiba como proteger sua empresa contra ameaças internas

 Imagine-se em uma sala de jantar em sua empresa com colegas e amigos desfrutando de uma refeição. De repente, as luzes piscam e os pertences de todos desaparecem misteriosamente. Os únicos suspeitos são aqueles no ambiente, incluindo você. Mas como encontrar o...

Resolvendo questões da conformidade com a LGPD com a Gestão de Acesso Privilegiado

Em razão do crescente desenvolvimento tecnológico no mercado, podemos perceber claramente o quanto mudou a tendência de compra dos consumidores de produtos e serviços. Por meio de tecnologias mais práticas, como é o caso de celulares, notebooks e tablets, a facilidade...

O que é a ISO 27001 e como ela pode beneficiar seu negócio?

A International Organization for Standardization é uma agência internacionalmente conhecida e respeitada que gerencia e estrutura padrões para várias áreas, incluindo segurança cibernética.  A ISO 27001 é uma abordagem sistemática para gerenciar informações...

Acesso de terceiros: um problema crescente para as organizações de hoje

 A extensão do uso de terceiros para execução de atividades nas empresas hoje é realmente surpreendente. As empresas estão procurando cada vez mais terceirizar funções e operações internas e serviços externos.  De acordo com um estudo do governo Britânico, um quarto...
Copy link
Powered by Social Snap