MFA: Você sabe o que é Autenticação Multifator?
- #AWS
- #Azure
- #Segurança da informação
Recentemente eu passei por uma situação que me impediu de continuar acessando minha conta no Linkedin.
Me levaram o celular que usava pra fazer a autenticação na rede social. E isso me levou a escrever este artigo alertando sobre a importância da autenticação de vários fatores.
A segurança acima de tudo
A segurança é um aspecto crucial em qualquer sistema de informação. Com o aumento do número de ameaças cibernéticas, é importante garantir que os dados e informações confidenciais estejam protegidos contra acesso não autorizado.
A autenticação é um dos principais mecanismos de segurança que ajuda a garantir que apenas usuários autorizados tenham acesso a sistemas e informações confidenciais. O método de autenticação mais comum é o uso de senhas. No entanto, as senhas podem ser facilmente comprometidas por meio de ataques de phishing, engenharia social e outras técnicas. É aqui que entra o MFA.
O MFA é um método de autenticação que exige que os usuários forneçam mais de uma forma de autenticação para acessar um sistema ou aplicativo.
O que é MFA (Multi-Factor Authentication)?
O Multi-Factor Authentication (MFA) é um método de autenticação que requer que o usuário forneça dois ou mais fatores de verificação para acessar um recurso, como um aplicativo, conta online ou VPN. O MFA é um componente fundamental de uma política forte de gerenciamento de identidade e acesso (IAM). Em vez de apenas solicitar um nome de usuário e senha, o MFA exige um ou mais fatores de verificação adicionais, o que diminui a probabilidade de um ataque cibernético bem-sucedido.
Por que o MFA é importante?
O principal benefício do MFA é que ele aumentará a segurança da sua organização ao exigir que seus usuários se identifiquem por mais de um nome de usuário e senha. Embora importantes, nomes de usuário e senhas são vulneráveis ataques de força bruta e pode ser roubado por terceiros. Impondo o uso de um Fator MFA, como uma impressão digital ou chave de hardware física, significa aumento confiança de que sua organização permanecerá a salvo de criminosos cibernéticos.
Enquanto a MFA combina qualquer número total de fatores de autenticação para validar a identidade de alguém, o mais comum é a autenticação de dois fatores (2FA). Além disso, a MFA pode ser acionada por um processo de autenticação em duas etapas com falha ou por algum tipo de comportamento suspeito do usuário.
Isso é comum para sistemas 2FA capazes de MFA. Também pode ser necessário apenas para segurança adicional ao acessar arquivos mais importantes ou dados confidenciais, como registros de saúde ou financeiros.
Camadas adicionais de segurança no processo de login podem proporcionar tranquilidade de que suas informações pessoais permanecerão protegidas e fora das mãos erradas.
Como funciona o MFA?
O MFA funciona exigindo informações adicionais de verificação (fatores). Um dos os fatores de MFA mais comuns que os usuários encontram são senhas únicas (OTP). OTPs são aqueles códigos de 4-8 dígitos que você costuma receber via e-mail, SMS ou algum tipo de aplicativo móvel. Com as OTPs um novo código é gerado periodicamente ou sempre que uma solicitação de autenticação for enviada. O código é gerado com base em um valor de semente que é atribuído ao usuário quando ele é o primeiro registro e algum outro fator que poderia ser simplesmente um contador que é incrementado ou um valor de tempo.
É importante notar que existem dois tipos principais de autenticação multifator.
- Aplicação MFA: O processo de autenticação que é ativado quando um usuário tenta obter acesso a um ou mais aplicativos.
- MFA do dispositivo: O processo de autenticação que ativa imediatamente o MFA no ponto de login em um sistema.
Embora sejam processos separados, o MFA é basicamente o mesmo para ambos os tipos. Quando um usuário tenta obter acesso a algo, (telefone, laptop, servidor, etc.) ele é recebido com autenticação multifator e é forçado a inserir dois ou mais fatores de autenticação. Se os fatores forem considerados corretos por um provedor de identidade principal (IdP), eles receberão acesso.
Um dos fatores de autenticação mais solicitados é o seu número de telefone. Normalmente, com MFA, você insere seu nome de usuário e senha no login e, em seguida, um código exclusivo que é enviado via mensagem de texto.
Isso prova que você se lembra tanto do seu nome de usuário e senha, mas também que está de posse do seu smartphone, que está "cadastrado" como um dispositivo para receber esses tipos de códigos.
O que são fatores de autenticação?
Um fator de autenticação é uma categoria de credenciais para identificar a verificação. Quando esses fatores são usados no MFA, cada fator adicional aumenta a certeza de que a pessoa que está tentando acessar a conta é quem ou o que declarou ser.
Suas credenciais se enquadram em três categorias diferentes:
- Coisas que você sabe (conhecimento): Algo que só o usuário sabe, como sua senha ou número PIN.
- Coisas que você tem (posse): Algo que só o usuário tem, como um smartphone ou um token de hardware.
- Coisas que você é (inerência): Algo que é apenas daquele usuário, como sua impressão digital ou sua voz.
Por exemplo, ao fazer login em um aplicativo bancário em um smartphone, o aplicativo envia ao usuário um código para digitar antes que ele possa acessar sua conta. Este método de MFA se enquadra na categoria "algo que você sabe", pois é um número PIN que o usuário precisa inserir antes de poder se conectar totalmente à sua conta bancária online.
Exemplos de MFA
Exemplos de autenticação multifator incluem o uso de uma combinação desses elementos para autenticar:
Conhecimento
- Respostas a perguntas de segurança pessoal
- Senha
- OTPs (Pode ser tanto Conhecimento e Posse - Você conhece a OTP e você tem que ter algo em sua posse para obtê-lo como seu telefone)
Posse
- OTPs geradas por aplicativos de smartphone
- OTPs enviadas por texto ou e-mail
- Crachás de acesso, dispositivos USB, cartões inteligentes ou fobs ou chaves de segurança
- Tokens e certificados de software
Inerência
- Impressões digitais, reconhecimento facial, varredura de voz, retina ou íris ou outros dados biométricos
- Análise comportamental
Outros tipos de autenticação multifator
À medida que o MFA integra aprendizado de máquina e inteligência artificial (IA), os métodos de autenticação se tornam mais sofisticados, incluindo:
Baseado em localização
A MFA baseada em localização geralmente analisa o endereço IP de um usuário e, se possível, sua localização geográfica. Essas informações podem ser usadas para simplesmente bloquear o acesso de um usuário se suas informações de localização não corresponderem ao que é especificado em uma lista branca ou podem ser usadas como uma forma adicional de autenticação, além de outros fatores, como uma senha ou OTP para confirmar a identidade desse usuário.
Autenticação adaptável ou autenticação baseada em risco
Outro subconjunto da MFA é a Autenticação Adaptativa, também conhecida como Autenticação Baseada em Risco. A Autenticação Adaptativa analisa fatores adicionais considerando o contexto e o comportamento ao autenticar e geralmente usa esses valores para atribuir um nível de risco associado à tentativa de logon. Por exemplo:
- De onde está o usuário ao tentar acessar informações?
- Quando você está tentando acessar informações da empresa? Durante o seu horário normal ou durante o "horário de folga"?
- Que tipo de dispositivo é usado? É o mesmo usado ontem?
- A conexão é via rede privada ou rede pública?
O nível de risco é calculado com base em como essas perguntas são respondidas e pode ser usado para determinar se um usuário será solicitado a fornecer um fator de autenticação adicional ou se ele terá ou não permissão para fazer login. Assim, outro termo usado para descrever esse tipo de autenticação é a autenticação baseada em risco.
Com a Autenticação Adaptável em vigor, um usuário que faz login em um café tarde da noite, uma atividade que normalmente não faz, pode ser obrigado a inserir um código enviado por mensagem de texto para o telefone do usuário, além de fornecer seu nome de usuário e senha. Considerando que, quando eles fazem login no escritório todos os dias às 9 da manhã, eles são simplesmente solicitados a fornecer seu nome de usuário e senha.
Os criminosos virtuais passam a vida tentando roubar suas informações e uma estratégia de MFA eficaz e imposta é sua primeira linha de defesa contra eles. Um plano de segurança de dados eficaz economizará tempo e dinheiro da sua organização no futuro.
Qual é a diferença entre MFA e autenticação de dois fatores (2FA)?
A MFA é frequentemente usada de forma intercambiável com a autenticação de dois fatores (2FA). 2FA é basicamente um subconjunto de MFA, uma vez que 2FA restringe o número de fatores que são necessários a apenas dois fatores, enquanto MFA pode ser dois ou mais.
Por que usar a autenticação multifator?
Embora alguns sintam que esse processo é um pequeno inconveniente, ou leva muito tempo para configurar, vale a pena a longo prazo ter um nível mais alto de segurança. Em 2016, cerca de um bilhão de contas e registros foram comprometidos em todo o mundo, o que equivale a cerca de três para cada cidadão americano. O MFA pode ajudar a evitar isso.
O objetivo final do MFA é criar uma linha de defesa entre suas informações e os hackers. O MFA torna muito mais difícil o acesso de pessoas não autorizadas. Embora eles possam saber sua senha, eles não poderão recriar um segundo fator de autenticação (sua impressão digital, um código de texto, uma resposta a uma pergunta de segurança).
No passado, os sistemas MFA implementavam apenas uma autenticação de dois fatores, mas com o número crescente de ataques cibernéticos, as pessoas estão recorrendo ao uso de dois ou mais fatores para camadas adicionais de proteção. Embora não possamos prevenir todos os crimes online, tomar medidas simples como usar 2FA ou MFA pode reduzir massivamente a chance de hacking.
Se o MFA estiver disponível, você deve usá-lo, especialmente quando se trata de suas informações mais confidenciais, como suas contas financeiras, registros de saúde e seu endereço de e-mail principal.
Algumas estatísticas no uso do MFA
Estatísticas de mercado Multi-Factor Authentication (MFA)
- De acordo com a Grand View Research, o mercado de autenticação multifator deve atingir US$ 17,76 bilhões até 2025, impulsionado por avanços em tecnologias biométricas e nuvem, entre outros. [1]
- O tamanho do mercado global de autenticação multifator foi avaliado em US $ 10.300 milhões em 2020 e está projetado para atingir US $ 40.000 milhões até 2030, registrando um CAGR de 18% de 2021 a 2030. [2]
- Após COVID19, o tamanho do mercado global de autenticação multifator é estimado em US$ 10.300 milhões em 2020 e deve chegar a US$ 40.000 milhões até 2030. [2]
Estatísticas de adoção de autenticação multifator (MFA)
- Weinert afirmou que, entre os usuários de nuvem corporativa, há apenas uma taxa de adoção de MFA de 11%. [4]
- No entanto, apesar da escassa taxa de adoção, o Twitter viu um número crescente de usuários que permitem que a 2FA proteja suas contas de tentativas de sequestro, com um aumento de 9,1% de julho a dezembro de 2020. [5]
Multi-Factor Authentication (MFA) Últimas Estatísticas
- Considerando que até 73% das senhas são duplicadas, essa tem sido uma estratégia bem-sucedida para muitos invasores e é fácil de fazer. [6]
- Ao fornecer uma barreira extra e uma camada de segurança que torna incrivelmente difícil para os invasores passarem, a MFA pode bloquear mais de 99,9% dos ataques de comprometimento da conta. [6]
- A Microsoft descobriu que a autenticação multifator bloqueia 99,9% dos ataques cibernéticos automatizados em plataformas, sites e outros serviços online da Microsoft. [1]
- As estatísticas mais recentes da Microsoft mostram que 99,9% das contas comprometidas não usavam multi. [1]
- E apenas 11% das organizações usam MFA, no geral. [1]
- De acordo com o Protenus Breach Barometer, incidentes internos comprometeram 3,8 milhões de registros em 2019. [1]
- O que é pior, 55% das organizações dos EUA sofreram um ataque de phishing bem-sucedido no ano passado, levando ao comprometimento de credenciais. [1]
- O principal objetivo de 70% desses ataques sofisticados em 2018 era obter credenciais de usuários, de acordo com a pesquisa da Proofpoint. [1]
Obs: a fonte das estatísticas se enconta em: https://webinarcare.com/best-multi-factor-authentication-software/multi-factor-authentication-statistics/
A Evolução da Multi-Factor Authentication (MFA)
Benefícios da autenticação multifator
Hoje em dia, as pessoas esperam que a autenticação multifator seja separada de qualquer configuração de conta. Ele foi integrado à experiência moderna de atendimento ao cliente e agora é o padrão para segurança on-line básica.
As pessoas adoram MFA porque:
- Ele fornece um nível mais alto de proteção do que apenas um nome de usuário e senha.
- Os usuários podem se sentir mais valorizados pelas empresas que usam MFA.
- O MFA pode se conectar com o software de logon único e oferecer aos usuários um processo de login mais simplificado e seguro.
No final das contas, só está ficando mais perigoso manter informações confidenciais online ou na nuvem. O aumento da autenticação multifator facilitou a mente de clientes e empresas e fortaleceu significativamente a proteção geral contra usuários não autorizados.
Muito obrigado por você ter ficado até aqui e prestigiado o meu trabalho!
Agora que tal você deixar um comentário falando da sua experiência com o MFA?