O que é autenticação de dois fatores?

As violações de dados são mais comuns hoje em dia e têm um impacto alarmante nas empresas em todo o mundo, totalizando mais de US$ 2 trilhões em danos anuais. À medida que as organizações trabalham para proteger sua infraestrutura e ativos digitais, fica claro que a autenticação de fator único (e especialmente a autenticação baseada em senha) está longe de ser suficiente. As senhas são facilmente comprometidas, especialmente devido à falta de higiene das senhas, mas também porque raramente são alteradas, são reutilizadas nas contas, compartilhadas com frequência e muitas vezes armazenadas em um local não seguro.

Adicionar um segundo fator para autenticar usuários é necessário em praticamente todos os casos de uso corporativo da atualidade.

A autenticação de dois fatores fornece uma camada adicional de proteção contra muitos dos tipos mais comuns de ameaças cibernéticas, incluindo:

• Roubo de senhas: Como mencionado acima, o pouco cuidado com a senha facilita o roubo de senhas. A 2FA garante que uma senha roubada não seja o necessário para violar uma conta.
• Ataques de força bruta (hacking de senha): Os hackers usam o poder de computação cada vez mais acessível para gerar senhas aleatoriamente até “quebrar” o código. Mas o poder de computação não consegue hackear um segundo fator.
• Phishing: O phishing continua sendo um dos meios mais comuns – e mais eficazes – de roubar credenciais de usuários. Novamente, a 2FA protege contra acesso não autorizado caso um nome de usuário e uma senha sejam roubados por meio de um ataque de phishing.
• Engenharia social: Hackers inteligentes usam cada vez mais as redes sociais para fazer ataques que induzem os usuários a cederem voluntariamente suas credenciais. Mas, com o segundo fator, o hacker não consegue acessar a conta.

O fluxo de trabalho de login de 2FA básico já é familiar para quase todos. Embora as especificidades sejam diferentes com base nos fatores usados, o processo básico é o seguinte:

1. Aplicativo/site solicita que o usuário faça login.
2. O usuário fornece o primeiro fator. Esse primeiro fator é quase sempre algo que o usuário “sabe”, como a combinação de nome de usuário/senha ou uma senha de uso único gerada por um token de hardware ou aplicativo de smartphone.
3. O site/aplicativo valida o primeiro fator e, em seguida, solicita que o usuário forneça o segundo fator. Esse segundo fator geralmente é algo que o usuário “tem”, como um token de segurança, cartão de identificação, aplicativo de smartphone etc.
4. Depois que o site/aplicativo validou o segundo fator, o usuário recebe acesso.

Os autenticadores e tokens de autenticação abrangem quatro categorias principais: algo que você tem, algo que você sabe, algo que você é ou onde você está.

• Algo que você tem: Um cartão de acesso físico, um smartphone ou outro dispositivo ou um certificado digital
• Algo que você sabe: Um código PIN ou senha
• Algo que você é: Biometria, como impressões digitais ou leituras de retina

A combinação clássica de nome de usuário/senha é tecnicamente uma forma rudimentar de autenticação de dois fatores. Mas como o nome de usuário e a senha se enquadram na categoria “algo que você sabe”, essa combinação é mais facilmente comprometida.

Tokens de hardware

Os tokens de hardware são pequenos dispositivos físicos que os usuários apresentam para ter acesso a um recurso. Os tokens de hardware podem ser conectados (ou seja, por USB, smart card, tags com senha única) ou sem contato (ou seja, tokens por Bluetooth). Estes tokens são portados pelo usuário. A primeira forma de 2FA moderna, introduzida em 1993 pela RSA, usava um dispositivo portátil com uma pequena tela que exibia números gerados aleatoriamente que eram comparados com um algoritmo para validar o titular do dispositivo. Os tokens de hardware também podem ser perdidos ou roubados.

Tokens baseados em SMS

À medida que os telefones celulares se tornaram mais comuns, a 2FA baseada em SMS se tornou rapidamente popular. O usuário insere seu nome de usuário e, em seguida, recebe uma senha de uso único (OTP) via mensagem SMS (texto). Uma opção semelhante usa uma chamada de voz para um telefone celular para fornecer a OTP. Em ambos os casos, a transmissão da OTP é relativamente fácil de hackear, tornando esta uma forma de 2FA a menos ideal.

Tokens baseados em aplicativo

O advento de smartphones e outros dispositivos móveis inteligentes tornou a 2FA baseada em aplicativo muito popular. Os usuários instalam um aplicativo em seu dispositivo (também pode ser usado em um desktop). Ao fazer login, o aplicativo fornece um “soft token”, como uma OTP, que é exibido no dispositivo e deve ser inserido na tela de login. Como o soft token é gerado pelo aplicativo no dispositivo, isso elimina o risco de a OTP ou soft token ser interceptado na transmissão.

Notificações push

Talvez a mais simples e conveniente do ponto de vista do usuário, a 2FA via notificação por push não solicita que o usuário insira um soft token. Em vez disso, um site ou aplicativo envia diretamente uma notificação por push para o dispositivo móvel do usuário. A notificação alerta o usuário sobre a tentativa de autenticação e solicita que o usuário aprove ou negue o acesso com um único clique ou toque. Esse método de 2FA é altamente seguro e extremamente conveniente, mas depende da conectividade com a internet.

Autenticação com acesso sem senha

Os tipos de autenticações disponíveis evoluíram para incluir opções sem senha, como FIDO, biometria e credenciais digitais baseadas em PKI para autenticação.

2FA X MFA: Qual é a diferença?

A autenticação de dois fatores (2FA) exige que os usuários apresentem dois tipos de autenticação, enquanto a autenticação multifator (MFA) exige que os usuários apresentem pelo menos dois, se não mais, tipos de autenticação. Isso significa que toda 2FA é uma MFA, mas nem toda MFA é uma 2FA. Embora a autenticação multifator possa exigir qualquer combinação de autenticadores e tokens de autenticação para obter acesso a um recurso, aplicativo ou site, a autenticação 2FA requer apenas dois autenticadores predefinidos para acessar um recurso. Dependendo das necessidades da sua organização, a autenticação 2FA pode fornecer o avanço na segurança que sua organização está procurando, ao mesmo tempo em que permite uma experiência sem atritos para os usuários finais.

Os vários tipos de fatores que podem ser usados para habilitar a autenticação de dois fatores são discutidos acima. Mas mesmo dentro de cada tipo de autenticador, há muitas opções diferentes para escolher – e novas tecnologias são lançadas constantemente. Como escolher quais fatores usar para o protocolo de 2FA? Veja algumas perguntas para ajudá-lo a considerar a escolha certa:

• Você quer que a autenticação seja transparente para o usuário?
• Você prefere que o usuário precise de um dispositivo físico ou que a autenticação seja feita on-line?
• Você quer que o site também faça sua autenticação para o usuário?
• Qual é a importância das informações que você está protegendo e qual é o risco associado?
• O acesso físico (link) a escritórios, laboratórios ou outras áreas faz parte do seu requisito de usuário?

A Entrust fornece orientação especializada para aumentar sua segurança com autenticação multifator de alta garantia. Oferecemos suporte à mais ampla variedade de autenticadores de segurança de 2FA, permitindo escolher a melhor opção que atenda às suas necessidades de segurança e casos de uso. Mais importante, a Entrust pode fornecer orientação especializada e consultiva para ajudá-lo a selecionar as opções certas e simplificar sua mudança para a autenticação de dois fatores de alta garantia.

A autenticação de dois fatores é a forma mais onipresente de autenticação multifator, o que a torna perfeita para casos de uso em que várias pessoas precisam de acesso aos dados. Por exemplo, os aplicativos de saúde geralmente usam 2FA porque permite que médicos e outros médicos acessem dados confidenciais de pacientes sob demanda - geralmente de dispositivos pessoais.

Da mesma forma, os aplicativos bancários e financeiros de 2FA podem ajudar a proteger as informações da conta contra ataques de phishing e engenharia social, ao mesmo tempo em que permitem serviços bancários móveis para os consumidores.

Aplicações do setor para 2FA:

• Saúde
• Serviços bancários
• Varejo
• Ensino superior
• Rede social
• Instituições governamentais/federais

Quais são as ameaças/os riscos da autenticação de dois fatores?

Existem várias abordagens que os hackers empregam na tentativa de impedir a MFA e a 2FA. Elas incluem:

• Engenharia social: Em um ataque de engenharia social, os hackers se apresentam como uma fonte legítima solicitando informações de identificação pessoal.
• Ataques técnicos: Os ataques técnicos incluem malware e cavalos de Troia.
• Roubo físico: A posse física de um smartphone ou outro dispositivo móvel por um agente mal-intencionado pode representar uma ameaça à 2FA.
• Subversão de recuperação da conta: Como o processo de redefinição de senha geralmente ignora a 2FA, os hackers às vezes podem aproveitar apenas um nome de usuário para subverter a 2FA.

A 2FA oferece um grande avanço em relação à autenticação de fator único – particularmente a autenticação tradicional baseada em senha e todas as suas falhas de fator humano. É segura o suficiente, mas a autenticação multifator (MFA) agora é considerada a verdadeira solução para autenticar usuários. Requisitos de conformidade como PCI DSS também substituíram 2FA por MFA e entidades governamentais estão exigindo MFA em instituições federais. Com a MFA, há a capacidade de adicionar mais fatores de forma (não senhas) para aumentar a segurança. O uso da biometria para autenticação do usuário em combinação com a verificação do dispositivo e a adição de controles contextuais baseados em risco permite a avaliação da postura de risco do usuário e do dispositivo antes de conceder acesso. A MFA com opções de acesso sem senha e autenticação adaptável baseada em risco é o caminho a seguir para aumentar a segurança.

Quais são os autenticadores/tokens de autenticação mais comuns?