O que é MFA? Como funciona e por que é importante?

Notícias sobre as mais variadas ameaças digitais, são cada vez mais comuns, não é mesmo?

Diante desse cenário, muita gente se pergunta: “O que fazer e como me manter seguro no ambiente digital?

Parte importante da resposta, é: Use MFA em tudo o que você puder!

Se você não sabe o que é MFA, como usar e por quais razões essa sigla é tão importante, então favorite, compartilhe e leia o que preparamos a respeito.

O que é MFA?

MFA é a sigla para Multi-Factor Authentication, que traduzindo para o português, é Autenticação Multi Fator e que nada mais é do que um sistema de verificação para acesso, que é capaz de utilizar dois ou mais fatores de autenticação.

Se preferir, o uso MFA consiste da utilização de dois ou mais métodos para comprovar a identidade e a permissão que um usuário tem para acessar um sistema, um documento ou uma informação.

Em termos mais práticos, um sistema dotado de autenticação multi fator, pode pedir duas ou mais provas de que você é quem diz ser, para que você consiga utilizá-lo, com o objetivo de impedir acessos por parte de usuários não autorizados, ou seja, melhorar a segurança cibernética.

Quando você acessa alguma das suas redes sociais ou as suas contas de e-mail, se o dispositivo que usa para o acesso não tem seus dados de login gravados, é necessário informar um usuário e uma senha.

Essa é a primeira etapa e um método de autenticação de apenas um fator.

No entanto, a maior parte das redes sociais, os principais serviços de e-mail gratuitos, entre os mais diversos que usamos diariamente na Internet e mesmo no mundo físico, como no caixa eletrônico do seu banco, já são capazes de usar mais de um método para garantir que o usuário que está tentando ingressar no serviço, de fato é autorizado a fazê-lo.

Assim, nas configurações de segurança do Facebook, bem como de outros serviços, é possível selecionar um método de segurança adicional, além dos tradicionais usuário e senha e que no caso pode ser:

  • Uma chave de segurança física compatível e que consiste de um hardware dedicado ao procedimento de autenticação de um serviço ou até mesmo de outro dispositivo, como por exemplo, um notebook;

  • Códigos temporários de login, gerados por aplicativos de autenticação de terceiros, como por exemplo, Google Authenticator ou LastPass;

  • Códigos enviados via SMS para o número celular associado à conta.

Nesse caso e em muitos outros serviços que adotam uma segunda camada de proteção, por meio de outros métodos de autenticação, costuma-se chamar essa segunda etapa de verificação, de TFA (Two-Factor Authentication, que em português significa Autenticação de Dois Fatores) ou 2FA, mas que também pode ser considerada como uma MFA, visto que além do método convencional, há uma alternativa que podem ser utilizada quando necessário.

No caso de um site, adotar MFA ou TFA, significa fortalecer os protocolos de segurança quanto ao acesso ao seu painel de controle ou à área de administração do site (ex: plugin de autenticação 2FA para WP), um recurso que está disponível para os clientes HostMídia.

Por que o MFA é importante?

Parece desnecessário responder a essa pergunta, uma vez que é evidente até, aqui que reforçar a segurança é o principal objetivo do MFA.

Todavia, os menos atentos, podem acreditar que usuários e senhas suficientemente fortes, bastam em termos de segurança e por isso, supor que é desnecessário ir além.

Porém, devido à transformação digital nas empresas e especialmente em virtude da variedade de serviços baseados na Web, todos temos acesso a uma quantidade crescente e imensa de serviços, sendo que muitos dos quais, contém informações sensíveis a nosso respeito, que podem ser muito valiosas para os criminosos cibernéticos e acarretar prejuízos diversos se expostas.

A verdade, é que os tradicionais nomes de usuário e senhas, podem ser obtidos por meio de uma variedade de ameaças digitais, como por exemplo, phishing, ataques de força bruta ou de dicionário, ou ainda os cada vez mais comuns, vazamento de dados.

Sendo assim, independentemente do quão complexos sejam o usuário e senha usados e mesmo que você os altere com frequência, toda a privacidade e inviolabilidade que você imaginaria ter, vai por água abaixo se alguma das situações acima ocorrer, como foi o caso da Data Deposit Box, que expôs dados de mais de 270000 usuários e que usava o serviço Amazon S3, ou as dezenas de milhões de usuários da Origin, a plataforma online da Eletronic Arts.

Mesmo nos casos de usuários precavidos, de empresas muito empenhadas na segurança cibernética, de sistemas consagrados, confiar a segurança online apenas ao usuário e senha, é muito pouco.

Eis algumas situações nas quais a implementação de MFA é importante:

  • Phishing – ao adotar MFA, ainda que um cracker (hacker do mal) consiga obter os dados de acesso da primeira camada de autenticação (normalmente o usuário e a senha), sem acesso ao segundo fator de autenticação, não será possível o acesso à conta, tornando o ataque ineficiente;

  • Ataques diversos – se uma conta ou serviço é alvo de ataques de força bruta ou ataques de dicionário, a adoção de MFA consegue conter o acesso à conta atacada;

  • Vazamento de dados – nos casos de vazamentos de dados que expõem dados de acesso primário, os mesmos se tornam inúteis diante de sistemas / contas que exijam um fator de autenticação adicional;

  • Ransomware – a depender da forma que ocorre o ataque de ransomware, um sistema que contenha mais de uma etapa de autenticação, pode impedir que os dados sejam criptografados;

  • Senhas compartilhadas – é razoavelmente comum que os usuários utilizem uma mesma senha em vários serviços / sistemas, o que constitui uma grave ameaça caso a senha seja descoberta e exposta. Com o MFA, todos os sistemas que o utilizam são capazes de impedir o acesso indevido;

  • Legislação – muitas regulamentações de proteção de dados, como a LGPD no Brasil e o GDPR na União Europeia, exigem que as empresas adotem medidas para proteger os dados pessoais e medidas de segurança como a autenticação multi fator, é uma ação crucial nesse sentido;

  • Acesso remoto – com a popularização do home office / teletrabalho, ou mesmo os acessos remotos por outras razões, o MFA constitui uma camada extra de proteção aos sistemas corporativos;

  • Imagem – as empresas que adotam boas práticas e implementam políticas de segurança abrangentes e robustas, são vistas como mais confiáveis e comprometidas com a proteção de dados, seja por seus parceiros, seja por seus fornecedores, seja por seus clientes.

  • Custo – o custo – ou prejuízo, se preferir – que muitas ameaças digitais representam, pode ser tão severo, que a depender do caso pode comprometer seriamente a reputação da empresa ou até significar o fim de um negócio.

Sendo assim, mais do que simplesmente incluir um ou mais etapas de autenticação, a variedade de métodos e as suas características, podem tornar praticamente inacessível os dados guardados sob o MFA, por parte de um cibercriminoso.

Como funciona o MFA?

A implantação de um método de dois ou mais fatores de autenticação, pode variar de acordo com as necessidades e as tecnologias disponíveis.

Um exemplo, dentre alguns possíveis, é a autenticação adaptativa, por meio da qual são incluídos fatores diferentes dependendo do cenário no qual está inserido o usuário, incrementando a segurança e as exigências, conforme o risco de violação varia.

Na autenticação adaptativa, o sistema que solicita as credenciais primárias (usuário e senha) para conceder acesso, tem condições de verificar cada tentativa de acesso e estimar a probabilidade de ser um acesso não autorizado, ao avaliar fatores como:

  • Geolocalização – se a tentativa de acesso é feita de uma localização geográfica diferente das usuais;

  • Dispositivo – quando a autenticação primária ocorre por dispositivo (notebook, desktop, smartphone, etc) diferente do que habitualmente o usuário utiliza ou por algum que não esteja na lista de dispositivos autorizados;

  • Tentativas – sempre que um determinado número de tentativas de acesso é feito, indicando que o usuário não tem certeza das suas credenciais;

  • Endereço IP – quando o acesso ao sistema de se dá por endereço IP diferente do regularmente utilizado ou se o IP revela uma localização distinta das costumeiras;

  • Meio de acesso – alterações no meio de acesso, como por exemplo, ao usar outro navegador ou programa para tentar ingressar no sistema;

  • Horários – solicitações de ingresso em dias e horários nos quais normalmente o usuário não se loga.

Logo, ao ser implantado um modelo de autenticação adaptativa, o sistema coleta dados históricos para definição de perfis de cada um dos usuários, contendo informações e particularidades de cada um, como por exemplo, que dispositivos têm acesso (dispositivos registrados), de que locais ele realiza os acessos, quais os dias e horários habitualmente usa o sistema, os programas utilizados, a frequência de acessos, entre outras informações.

Quando cada usuário tenta ingressar no sistema, todos os dados dessa tentativa de acesso (endereço IP, dispositivo usado, navegador, etc) são confrontados com o perfil, determinando assim uma pontuação associada ao risco do acesso e a partir daí, o usuário pode ser submetido a fatores de autenticação adicionais e/ou variáveis.

O modelo adaptativo, é o ideal, mas nem sempre pode ser aplicado, porque os recursos e custos de implementação são maiores, já que nos sistemas mais complexos, normalmente há inteligência artificial e até mesmo machine learning, que nesse caso serve para aprender mais sobre cada usuário e atualizar o perfil de acordo com o seu comportamento ao longo do tempo, fortalecendo ainda mais a segurança do ambiente e dos dados nele contidos.

O mais comum, é adotar um modelo preestabelecido ou fixo, no qual por padrão sempre haverá pelo menos dois fatores de autenticação já previamente conhecidos para todo e qualquer acesso.

Há ainda modelos intermediários, como o utilizado pela Microsoft em alguns dos seus serviços, como por exemplo, o Outlook.

Nele, há a autenticação padrão e o serviço é capaz de identificar os dispositivos cadastrados previamente no seu perfil.

Se um acesso é feito por um dispositivo não cadastrado, um segundo método de autenticação é requerido do usuário, como por exemplo, a geração de um código numérico de verificação no Microsoft Authenticator ou o envio de um SMS para o número celular previamente cadastrado.

O acesso ao perfil / conta na Microsoft, é um outro exemplo de autenticação de dois fatores e sempre que o usuário acessa seu perfil para alterar dados relevantes, como por exemplo, o endereço de e-mail secundário, que também é usado como alternativa de verificação, constituindo outro fator que é exigido ao usuário para que a atualização seja efetuada.

Eis algumas alternativas que podem ser adotadas em um segundo, terceiro ou enésimo fator de autenticação:

  • Respostas a perguntas secretas, as quais são previamente armazenadas no sistema;

  • Verificações biométricas diversas, como leitura de digitais, leitura íris ou retina, reconhecimento facial, usando um dispositivo confiável e previamente registrado;

  • Códigos de verificação enviados para uma conta de e-mail ou SMS, sendo que ambas alternativas precisam ter sido anteriormente configuradas;

  • Tokens por hardware (ex: dispositivos USB) ou software. No caso de hardware, o mais comum é o uso de chaves de segurança física, cujo chip é responsável por ter o sistema que faz o gerenciamento das transações e do algoritmo envolvido, bem como os dados armazenados, como por exemplo, as chaves públicas criptografadas;

  • Aplicativos como Microsoft Authenticator ou Google Authenticator, os quais geram códigos temporários de utilização única;

  • Notificações push, as quais consistem de uma notificação que o usuário recebe em seu celular, reconhecendo ou não o acesso. Ao não reconhecer o acesso, o sistema bloqueia e derruba o acesso não autorizado;

  • Chamadas de voz, geralmente intermediadas por um assistente virtual inteligente;

  • Senhas temporárias e/ou variáveis, baseadas em padrões e algoritmos;

  • Autenticação por NFC ou Bluetooth de dispositivos registrados – geralmente um smartphone – e próximos, para validar a identidade do usuário;

  • O sistema de autenticação gera um QR Code único para cada sessão de login. O usuário escanea o QR Code com um smartphone e a informação contida no QR Code é enviada para o servidor de autenticação, que verifica a identidade do usuário;

  • Certificados digitais embutidos em smart cards, que contém diversos protocolos de segurança, como criptografia, por exemplo. Os smart cards precisam ser inseridos em leitores conectados ao sistema.

Conclusão

A MFA ou autenticação multi fator, é um método que inclui duas ou mais etapas de autenticação, reforçando a segurança de sistemas e dados sensíveis.

Artigos relacionados

WordPress
Os melhores plugins gratuitos para um blog WordPress
WordPress
Wordpress é seguro? Como melhorar a sua segurança?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})