Autenticação multifatorial: 5 exemplos e casos de uso estratégico

5 exemplos de MFA

Todas as ferramentas de MFA exigem que os usuários forneçam pelo menos dois fatores de autenticação. Os fatores podem ser divididos em três categorias:

1. Algo que o usuário sabe. Por exemplo, uma senha ou PIN.
2. Algo que o usuário é. Por exemplo, uma impressão digital ou escaneamento da íris.
3. Algo que o usuário possui. Por exemplo, um token de hardware.

As ferramentas de MFA devem usar fatores de diferentes categorias — por exemplo, uma frase-senha e uma varredura facial, mas não uma senha e um PIN.

O ideal é que cada fator de autenticação seja forte. No entanto, na maioria dos casos, o primeiro método de autenticação multifator (MFA) é uma senha ou PIN, ambos altamente suscetíveis a phishing e outros ataques. Isso significa que os outros fatores precisam ser ainda mais fortes.

Exemplos comuns de MFA a serem considerados incluem os seguintes.

Senhas, frases-senha e PINs

São códigos, frases e números que verificam os usuários. Os três geralmente são inseguros. Um segundo ou terceiro fator de autenticação forte é crucial para proteger contas e acessos.

Senhas de uso único

Existem diversas variações de OTPs — códigos que um usuário recebe e insere em outro sistema como fator de autenticação. A maioria das OTPs são baseadas em tempo, o que significa que mudam ou expiram a cada 30 segundos, aproximadamente.

• OTPs por e-mail. Envolvem o envio de um código para o endereço de e-mail registrado do usuário. Em seguida, ele deve inserir o código para acessar o aplicativo, os dados ou o sistema. Esse fator é fácil de usar, mas vulnerável se a conta de e-mail do usuário for comprometida.
• SMS OTPs. São códigos de texto enviados para um telefone. São conhecidos por serem inseguros e não devem ser usados ​​para autenticação multifator (MFA).
• Ligue para OTPs. Códigos enviados por telefone também são conhecidos por serem inseguros e não devem ser usados ​​para MFA.
• OTPs de aplicativos autenticadores. Gerados por um aplicativo, como o Google Authenticator ou o Microsoft Authenticator, eles se correlacionam com o recurso no qual o usuário está tentando se autenticar. Geralmente, são mais fortes do que OTPs de e-mail, SMS e chamadas, e garantem que a pessoa que insere a OTP está de posse do smartphone do usuário. Geralmente, são seguros, desde que o dispositivo do usuário não seja comprometido.

Biometria

A biometria, como leitores de impressão digital embutidos em laptops e scanners faciais embutidos em smartphones, tornou-se um método de autenticação rápido e conveniente. No entanto, esses métodos não são infalíveis e podem ser afetados por mudanças na aparência do indivíduo, cortes nos dedos e outras circunstâncias. Eles também exigem que os usuários tenham dispositivos equipados com recursos biométricos, que não são onipresentes.

Autenticação baseada em localização

Os usuários são verificados com base em sua localização física. Se o login for feito de um local desconhecido, métodos de autorização adicionais serão necessários. Embora isso garanta que apenas usuários de determinadas regiões possam fazer login, pode ser inconveniente para os usuários e complexo para as equipes de segurança gerenciarem.

Autenticação criptográfica

Os usuários comprovam que possuem uma chave criptográfica secreta ou privada. Por exemplo, o uso de tokens de hardware criptográficos, como YubiKeys (que também podem ser usados ​​para OTPs). Embora os fatores de autenticação criptográfica possam ser fortes, eles só são eficazes se estiverem com o usuário. São fáceis de esquecer acidentalmente.

MFA adaptável e resistente a phishing

Muitas ferramentas de MFA adicionaram recursos de MFA resistente a phishing e MFA adaptável.

• O MFA resistente a phishing é um tipo de processo de autenticação que atenua ataques de bypass de MFA, como push bombing, SIM swapping e phishing, usando autenticação FIDO/WebAuthN e MFA baseado em PKI.
• A MFA adaptável ajusta a autenticação com base em quem acessa o aplicativo, os dados ou o sistema e no perfil de risco dessa pessoa. Por exemplo, a MFA adaptável fornece autenticação mais forte para situações de maior risco, solicitando métodos de autenticação adicionais.

Casos de uso de MFA empresarial

A MFA faz parte de um número crescente de casos de uso hoje em dia, em parte devido ao aumento de ataques de phishing e outras ameaças de roubo de credenciais. Considere os seguintes casos de uso de MFA para empresas.

Fornecendo acesso remoto seguro

Este é um dos primeiros usos da MFA, especialmente para usuários em locais sem controles de segurança física rigorosos. Teletrabalhadores e funcionários que viajam a negócios ou trabalham remotamente frequentemente contam com a MFA para segurança.

Permitir o acesso dos funcionários a recursos confidenciais

Este tem sido um pilar da MFA há muitos anos. Inclui acesso a dados pessoais sensíveis de funcionários e clientes, informações financeiras, propriedade intelectual e segredos comerciais da organização. Permite que os usuários realizem ações sensíveis, como transferências bancárias e qualquer outro procedimento em que a separação de funções seja normalmente aplicada.

Protegendo o acesso do cliente a recursos confidenciais

Este é um caso de uso de MFA cada vez mais popular. Clientes de instituições financeiras, provedores de saúde e outros serviços esperam que essas organizações restrinjam o acesso às contas dos clientes, e isso inclui oferecer suporte a MFA resistente a phishing. Isso dificulta o roubo de dinheiro e o acesso a informações altamente pessoais.

Melhores práticas de implementação de MFA

A chave para uma implementação bem-sucedida de MFA é avaliar as opções possíveis com antecedência. Essa etapa permite que CISOs e equipes de segurança identifiquem problemas e abordem casos de uso de MFA antes da implementação completa.

A seguir estão algumas dicas úteis para a implementação do MFA:

• Utilize MFA resistente a phishing. Considere biometria, senhas de uso único (OTPs) e autenticação criptográfica, além de outros métodos. Por exemplo, se os funcionários já possuem cartões emitidos pela empresa para fins de segurança física, esses cartões inteligentes também podem ser usados ​​para MFA.
• Pense bem no que os usuários farão se esquecerem ou perderem um de seus métodos de MFA. Como, por exemplo, um usuário viajando para o exterior poderá acessar os recursos necessários se esquecer sua YubiKey em casa?
• Considere a segurança da implementação do MFA em si. Se um invasor conseguir comprometer uma implementação do MFA, como assumir o controle de serviços de autenticação, o jogo acaba. Garanta que a implementação do MFA seja bem protegida e monitorada de perto para identificar e interromper possíveis ataques o mais rápido possível.

Sobre a autora: Karen Scarfone é consultora principal da Scarfone Cybersecurity em Clifton, Virgínia. Ela fornece consultoria em publicações sobre segurança cibernética para organizações e foi cientista da computação sênior do NIST.