Multi-Factor Authentication ou Autenticação Multi-Factor (MFA), é o processo pelo qual várias tecnologias são utilizadas para autenticar a identidade de um utilizador. Isto significa que é necessária mais do que uma credencial para fazer login em sistemas, aplicações e/ou outros activos digitais.
É parte integrante da abordagem de segurança de Zero Trust (confiança zero) que uma organização poderá adoptar, por serem cada vez mais frequentes incidentes de credenciais roubadas sendo fundamental combater estas situações com todas as ferramentas e tecnologias possíveis e disponíveis no mercado.
A metodologia de autenticação MFA é baseada em pelo menos 3 tipos principais de informação adicional, sendo eles:
- Coisas que o utilizador sabe (conhecimento) como uma password ou um código pin;
- Coisas que o utilizador possui (posse) como um telemóvel;
- Coisas que o utilizador é (inerência), como impressões digitais, biometria ou reconhecimento de voz.
A Origem do MFA
Para se entender por que a Autenticação Multi-Factor aumenta a segurança, vamos primeiro dar um passo atrás e ver algumas mudanças no mundo da tecnologia, que aconteceram desde o seu nível inicial de autenticação por passwords.
Uma grande mudança no mundo das TI foi a introdução de aplicações baseadas na WEB. De repente, os utilizadores descobriram que precisavam de várias senhas para fazer login nas suas diversas aplicações. A conveniência é muitas vezes preferida à segurança e, portanto, reutilizar senhas para esses recursos tornou-se um hábito popular. O problema é que, se essa senha for comprometida, todas as contas que usam a mesma senha também serão comprometidas.
Outra grande mudança foi a introdução das redes sociais. As redes sociais tornaram muito mais fácil encontrar as respostas para perguntas de segurança que geralmente acompanham uma redefinição de password. Por exemplo, com que frequência a sua password é o nome do seu animal de estimação? Se você já mencionou o seu animal de estimação nas redes sociais, essa senha está um passo mais perto de ser descoberta.
Saber apenas as credenciais já não é, por si só, um procedimento de login seguro, e os directórios modernos, como por exemplo em cloud, tornam mais fácil e simples começar a implementar a Autenticação Multi-Factor na sua organização.
Exemplos de MFA
Exemplos de Autenticação Multi-Factor incluem o uso de uma combinação dos seguintes elementos para autenticar:
Conhecimento
- Respostas a perguntas de segurança pessoal;
- Password;
- One Time Password (OTP) – pode ser conhecimento e posse – o utilizador pode conhecer a OTP e precisa ter algo em sua posse para obtê-lo, como o seu telefone.
Posse
- OTPs gerados por aplicações de telemóvel;
- OTPs enviados por texto ou e-mail;
- Access badges, dispositivos USB, cartões inteligentes, porta-chaves ou chaves de segurança;
- Tokens e certificados de software.
Inerência
- Impressões digitais, reconhecimento facial, digitalização de voz, retina ou íris ou outra biometria;
- Análise Comportamental.
Outros Tipos de Elementos de MFA
À medida que vão evoluindo as tecnologias, integrando inteligência artificial (IA), também os métodos de autenticação vão ficando mais sofisticados:
Geolocalização
A MFA baseada em geolocalização geralmente analisa o endereço IP de um utilizador e, se possível, sua localização geográfica. Essas informações podem ser usadas para simplesmente bloquear o acesso de um utilizador se suas informações de localização não corresponderem ao que está especificado numa lista de permissões ou podem ser usadas como uma forma adicional de autenticação, além de outros factores, como uma senha ou OTP para confirmar a identidade do utilizador.
Autenticação Adaptativa ou Autenticação Baseada em Risco
Outro subconjunto de MFA é a Adaptive Authentication ou Autenticação Adaptativa, também conhecida como autenticação baseada em risco. A autenticação adaptativa analisa factores adicionais, considerando o contexto e o comportamento ao autenticar e, geralmente, usa esses valores para atribuir um nível de risco associado à tentativa de login.
Por exemplo:
- De onde está o utilizador a tentar aceder às informações?
- Quando é que está a aceder às informações da empresa? Durante o horário normal ou fora de horas?
- Que tipo de dispositivo é usado? É o mesmo usado ontem?
- A conexão é via rede privada ou pública?
O nível de risco é calculado com base em como essas perguntas são respondidas e pode ser usado para determinar se um utilizador será solicitado a fornecer um factor de autenticação adicional ou se terá ou não permissão para fazer login. Portanto, outro termo usado para descrever este tipo de autenticação é a autenticação baseada em risco.
Com a Autenticação Adaptativa em vigor, um utilizador que faça login a partir de um coffee shop ao final do dia, uma actividade que normalmente não faz, pode ser obrigado a digitar um código enviado por mensagem de texto para o seu telefone, além de ter que fornecer o seu nome de utilizador e password. Por outro lado, quando se conectar do escritório todos os dias às 9h, é simplesmente solicitado que se forneça o seu nome de utilizador e password.
Qual é a Diferença entre MFA e Autenticação de Dois Factores (2FA)?
O MFA é frequentemente usado de forma intercambiável com a autenticação de dois factores (2FA). 2FA é basicamente um subconjunto de MFA, visto que 2FA restringe o número de factores necessários a apenas dois factores, enquanto MFA pode ser dois ou mais.
Conclusão
Os hackers estão constantemente a tentar roubar informações e uma estratégia de MFA é a primeira linha de defesa contra eles. Um plano de segurança de dados eficaz economizará tempo e dinheiro para a sua organização no futuro.
Existe um leque alargado de soluções no campo da autenticação que nos permitem responder aos desafios actuais da identificação dos utilizadores, que dependendo do ambiente real de cada empresa, podem aplicar-se ou não.
Sendo especialistas nesta área, com experiência na implementação das melhores soluções de cibersegurança no nosso mercado, estamos disponíveis para:
- Realização de sessões de esclarecimento adicionais;
- Demonstração de soluções, adequadas a necessidades específicas;
- Disponibilização de tecnologia adequada ao contexto de cada ambiente corporativo.