Pular para o conteúdo principal
padrão hexadecimal roxo

O que é 2FA?

A autenticação de dois fatores, ou verificação em duas etapas, é uma medida de segurança que requer duas formas distintas de identificação (também conhecidas como fatores) antes de conceder acesso a um sistema ou serviço. O segundo fator de autenticação adiciona outra camada de proteção, tornando mais difícil obter acesso não autorizado.

Tradicionalmente, a autenticação do usuário requer apenas um endereço de e-mail ou nome de usuário e senha. Embora isso envolva uma combinação de credenciais de login, ainda é tecnicamente apenas um fator de autenticação.

Além disso, sem uma boa limpeza de senha, é muito fácil para as ameaças cibernéticas contornarem a segurança e comprometerem uma conta, aplicativo ou recurso on-line. Nesse caso, não há como saber quanta informação sensível poderão obter.

Resumindo, é por isso que a 2FA ganhou destaque. Ela não só reduz o risco de violação de dados, mas também protege funcionários e consumidores contra roubo de identidade e outras ameaças.

Fatores da autenticação 2FA

Um fator de autenticação é um identificador exclusivo associado a um usuário específico. A maioria dos sistemas 2FA usa dois dos três fatores de autenticação tradicionais:

  • Fator de conhecimento: Algo que apenas o usuário saberia, como uma senha, um PIN ou a resposta a uma pergunta de segurança.
  • Fator de posse: Algo que somente o usuário teria, como uma chave de segurança, um dispositivo móvel ou um documento de identificação.
  • Fator de inerência: Algo que somente o usuário poderia ser. Como forma de autenticação biométrica, o sistema usa o reconhecimento facial, impressões digitais e leitura de íris para verificar a identidade.

Além dos acima mencionados, muitas das soluções de ponta atuais usam dois novos fatores de autenticação adaptável:

  • Comportamento: analisa artefatos digitais relacionados a padrões comportamentais. Por exemplo, os sistemas 2FA podem considerar uma tentativa de login suspeita se ela for feita a partir de um novo telefone celular e não do dispositivo confiável do usuário.
  • Localização: este fator considera a localização geográfica para autenticação do usuário, analisando endereço de IP e localização GPS.

Normalmente, as organizações podem configurar sistemas 2FA para exigir uma combinação dos fatores acima. Os usuários devem enviar corretamente as informações solicitadas, seja de forma ativa ou passiva, para acessar a conta, serviço ou sistema on-line.

2FA X MFA

Por que parar em dois fatores quando você pode, teoricamente, agregar vários autenticadores? Resumindo, essa é a ideia por trás da autenticação multifator (MFA). 

A MFA é uma extensão da 2FA, envolvendo dois ou mais fatores de autenticação. Traduzindo, a 2FA é um subconjunto da MFA.

Uma diferença crítica entre as duas é que a MFA pode ser mais adaptável. Em outras palavras, pode impor dinamicamente a verificação progressiva, desafiando os usuários a fornecer um terceiro fator de autenticação baseado no contexto.

Embora a 2FA possa ser uma medida de segurança eficaz, a MFA costuma ser uma solução mais abrangente. É por isso que, de acordo com uma pesquisa conduzida com profissionais de TI, 83% das empresas exigem que os funcionários usem a MFA para acessar todos os recursos corporativos.

Casos de uso

A autenticação de dois fatores é a forma mais onipresente da MFA, o que a torna perfeita para casos de uso em que várias pessoas precisam de acesso aos dados. Por exemplo, os aplicativos de saúde geralmente usam 2FA porque permite que médicos e outros clínicos acessem dados confidenciais de pacientes sob demanda - geralmente de dispositivos pessoais.

Outras aplicações notáveis da indústria incluem:

  • Finanças: Bancos e outras instituições financeiras utilizam a 2FA para se protegerem contra roubo de identidade e fraude, permitindo aos clientes que acessem suas contas on-line e usem os serviços bancários móveis de forma segura.
  • Governo: Nos Estados Unidos, a 2FA é obrigatória para todos os sites federais, garantindo que informações sensíveis e dados dos cidadãos permaneçam trancados a sete chaves.
  • Ensino superior: as universidades contam com a 2FA para proteger portais de estudantes onde são armazenadas notas, horários e informações pessoais.
  • Redes sociais: plataformas como Facebook e X (antigo Twitter) oferecem serviços 2FA para proteger informações pessoais e aumentar a segurança da conta.

Como a 2FA funciona?

O processo 2FA é simples. As especificações podem variar de acordo com o método de autenticação, mas o fluxo de trabalho básico é o seguinte:

  • Login de usuário: o usuário insere seu nome de usuário e senha.
  • Solicitação de autenticação: se o login principal der certo, o sistema acionará um segundo fator de autenticação.
  • Verificação de fator: o usuário fornece o segundo fator, como um token único ou uma senha gerada por um aplicativo autenticador.
  • Acesso concedido: se ambos os fatores forem verificados, o usuário ganha acesso ao sistema. Normalmente, isso acontece em segundos, com impacto praticamente nulo na experiência do usuário.

Métodos de autenticação de dois fatores

Existem várias maneiras pelas quais um sistema 2FA pode solicitar fatores de autenticação. Cada um tem seus altos e baixos, mas todos são um passo em direção a uma maior segurança da conta.

Vamos dar uma olhada nos métodos de autenticação mais comuns, como funcionam e o valor que agregam:

Autenticação por e-mail e SMS

Este método envia ao usuário uma senha de uso único (OTP) para a caixa de entrada de e-mail ou como uma mensagem de texto para o telefone celular. Resumindo, a OTP é um código de verificação de 5 a 10 dígitos que concede acesso ao recurso solicitado quando inserido corretamente.

A autenticação por SMS é uma das soluções mais convenientes e fáceis de usar. E, dada a disponibilidade dos dispositivos móveis, é fácil para os usuários começarem.

No entanto, também é vulnerável a ameaças cibernéticas. Os hackers podem interceptar facilmente mensagens SMS, que muitas vezes não são criptografadas. Além disso, se um invasor obtiver acesso físico ao celular da vítima, ele poderá ler diretamente as OTPs.

Token de hardware

Um token de hardware é um dispositivo físico, como uma chave de segurança, cartão inteligente ou dongle USB. Isso gera um token exclusivo de forma dinâmica, que normalmente só é válido por um tempo limitado.

Durante o login, o usuário pressiona um botão no token, que utiliza um algoritmo para criar uma OTP. O usuário insere esse código de verificação no prompt de autenticação do dispositivo ou aplicativo. O servidor, utilizando o mesmo algoritmo e chave de segurança, gera sua própria OTP e a compara com a inserida pelo usuário. Se corresponderem, o usuário será autenticado e receberá acesso. Esse processo garante que, mesmo que uma senha seja comprometida, o acesso não autorizado seja evitado sem o token físico.

No entanto, a desvantagem óbvia é que a autenticação por token de hardware nem sempre é prática ou aplicável a todos os casos de uso. Sua configuração e manutenção podem ser caras, e os dispositivos podem ser perdidos ou roubados.

Token de software

Um token de software é uma OTP baseada em tempo ou evento, que é enviada por meio de um aplicativo autenticador no computador ou telefone celular do usuário. Como um token de hardware, esse método gera dinamicamente um código de verificação que dura apenas um breve período.

No geral, é um processo simples e fácil de usar, mas exige que o usuário baixe mais um software nos seus dispositivos.

Notificações push

Uma notificação push verifica a identidade do usuário enviando um alerta diretamente para um aplicativo móvel seguro em seu dispositivo confiável. Essa mensagem inclui detalhes sobre a tentativa de autenticação, permitindo ao usuário aprovar ou negar a solicitação de acesso com um único toque.

Em teoria, esse processo confirma que o dispositivo cadastrado no aplicativo de autenticação está em posse do usuário. As notificações push eliminam o risco de ataques man-in-the-middle, garantindo que sua conta esteja segura. Esse método de 2FA é altamente seguro, mas depende da conectividade com a internet.

Autenticação biométrica

Por último, existem várias formas de autenticação sem senha – principalmente a biometria. Em termos básicos, a autenticação biométrica verifica a identidade utilizando características biológicas.

Por exemplo, os usuários do iPhone estão familiarizados com o reconhecimento facial, que pode ser usado para acessar informações da conta Apple ID, entre outros serviços. Outros sistemas usam a leitura da impressão digital, íris ou retina.

Por sua vez, essa é inegavelmente uma das opções 2FA mais seguras disponíveis. Ela não apenas usa o usuário como token, mas também é altamente conveniente e quase impossível de decifrar.

Por que a 2FA é importante?

Resumindo, a 2FA é um grande avanço em relação ao status quo. A segurança baseada em senha não é mais suficiente para manter contas, sites e serviços protegidos contra acesso não autorizado.

Vejamos algumas estatísticas surpreendentes:

  • Mais de 24 bilhões de combinações de nome de usuário e senha estão circulando na dark web. Esse número aumentou 65% entre 2020 e 2022 e só continuará a crescer. Como a maioria das pessoas reutiliza senhas antigas, uma única violação de dados pode comprometer várias contas simultaneamente.
  • O relatório Threat Horizons de 2023 do Google descobriu que 86% das violações envolveram credenciais roubadas. Em outras palavras, quase sempre são a causa raiz de ameaças cibernéticas muito maiores e devastadoras.
  • O relatório 2024 Data Breach Investigations da Verizon concluiu que o “aspecto humano” — como senhas fracas — levou a 68% das violações registradas.

Pior ainda, mesmo com uma boa limpeza de senhas, não é preciso muito para invadir uma conta. Por exemplo, os hackers podem navegar facilmente pelas redes sociais para encontrar as informações pessoais necessárias para responder a uma pergunta básica de segurança.

A boa notícia: a 2FA e a MFA podem ajudar. Na verdade, elas mitigam uma série de ameaças cibernéticas, incluindo:

  • Roubo de senhas: Como mencionado acima, o pouco cuidado com a senha facilita o roubo de credenciais. A 2FA garante que uma senha roubada não seja o necessário para violar uma conta.
  • Ataques de força bruta: Os hackers usam o poder da computação cada vez mais acessível para gerar senhas aleatoriamente até decifrarem o código. Mas o poder de computação não consegue hackear um segundo fator.
  • Phishing: A 2FA protege contra acesso não autorizado caso um nome de usuário e uma senha sejam roubados por meio de um ataque de phishing.
  • Engenharia social: Hackers inteligentes usam cada vez mais as redes sociais para fazer ataques que induzem os usuários a cederem voluntariamente suas credenciais. No entanto, sem o segundo fator, este esforço é inútil.

2FA e confiança zero

É fundamental que a autenticação forte seja uma parte importante do gerenciamento de identificação e acesso (IAM) e, por sua vez, da arquitetura de confiança zero. A 2FA pode ajudar as empresas a implementar a confiança zero aplicando rigorosamente a verificação de identificação e baseando as decisões de acesso não apenas na função ou nas permissões do usuário, mas no dispositivo, no comportamento, na localização e muito mais.

Implementação da 2FA: dicas e práticas recomendadas

Está pensando em adotar a autenticação de dois fatores? Confira algumas etapas importantes que não pode esquecer:

1. Escolha os fatores de autenticação certos

Mesmo dentro de cada tipo de autenticador, há muitas opções diferentes para escolher – e novas tecnologias são lançadas constantemente. Como escolher quais fatores usar para o protocolo de 2FA?

Veja algumas perguntas para ajudá-lo a considerar a escolha certa:

  • Você quer que a autenticação seja transparente para o usuário?
  • Você prefere que o usuário precise de um dispositivo físico ou que a autenticação seja feita on-line?
  • Você quer que o site também faça sua autenticação para o usuário?
  • Qual é a importância das informações que você está protegendo e qual é o risco associado?
  • O acesso físico (link) a escritórios, laboratórios ou outras áreas faz parte do seu requisito de usuário?

Na Entrust, oferecemos suporte à mais ampla variedade de autenticadores de segurança de 2FA, permitindo escolher a melhor opção que atenda às suas necessidades de segurança e casos de uso. Mais importante, a Entrust pode fornecer orientação especializada e consultiva para ajudá-lo a selecionar as opções certas e simplificar sua mudança para a autenticação de dois fatores de alta garantia.

2. Crie estratégias para a experiência do usuário (UX)

Embora a 2FA seja geralmente um fluxo de trabalho contínuo, a última coisa que você deseja é sobrecarregar seus usuários com etapas inconvenientes. A experiência do usuário é especialmente importante para a integração digital, pois um processo complicado pode afastar os clientes da abertura de conta.

Procure uma solução 2FA que equilibre segurança, velocidade e UX.

3. Proteja sua infraestrutura 2FA

Garanta que as comunicações que envolvem a transmissão de códigos ou tokens 2FA sejam criptografadas usando protocolos de criptografia seguros, como o Transport Layer Security.

4. Opte pela autenticação adaptável

Dependendo do caso de uso, você pode precisar de uma solução multifatorial mais robusta. A autenticação adaptável, ou verificação redobrada baseada em risco, é uma forma dinâmica de confirmar a identidade. Como método sensível ao contexto, ela ajusta o nível e o tipo de autenticação necessária com base no risco observado.

Por exemplo, a MFA adaptável só pode exigir um nome de usuário e uma senha se todas as condições parecerem normais. Mas, se o login vier de um endereço IP anormal, poderá gerar desafios crescentes, como um código de verificação único. Ela equilibra segurança com praticidade, permitindo que usuários legítimos acessem recursos com o mínimo de atrito e, ao mesmo tempo, aplicando medidas mais rigorosas para atividades suspeitas.

Fortaleça a segurança com a Entrust

Entrust Identity, nosso portfólio unificado de IAM, pode fornecer a base que sua organização precisa para alcançar uma arquitetura de confiança zero eficaz. Com nosso conjunto de ferramentas de segurança, você pode aproveitar:

  • Identificação como serviço: Soluções IAM baseadas em nuvem com MFA resistente a phishing, autenticação sem senha e logon único (SSO).
  • Identity Enterprise: Recursos de IAM locais com autenticação altamente confiável da equipe e dos consumidores, incluindo emissão de cartão inteligente.
  • Identity Essentials: Solução rápida e econômica de autenticação multifator (MFA) que permite que as organizações baseadas em Windows realizem uma abordagem de Confiança Zero.

Saiba mais sobre como a Entrust pode ajudar sua empresa a aproveitar o poder da autenticação multifator.