Tópicos técnicos

O que é autenticação multifatorial?

Ilustração de itens de TI com foco em uma lâmpada

Visão geral

Ao acessar um recurso protegido, você se autentica em um armazenamento de dados com suas informações de credenciais. Elas consistem em uma identidade reivindicada e um segredo associado a ela. Tradicionalmente, isso é feito apenas com um nome de usuário e uma senha simples, e é o método de autenticação mais comum atualmente. Infelizmente, a autenticação por nome de usuário/senha tem se mostrado bastante vulnerável a phishing e hacking de credenciais. Como as senhas podem ser difíceis de lembrar, as pessoas tendem a escolher uma senha simples e reutilizá-la em seus vários serviços on-line e na nuvem. Isso significa que, quando uma credencial é hackeada em um serviço, pessoas mal-intencionadas de fora a testam em outros serviços digitais pessoais e profissionais. 

A autenticação multifatorial (MFA) foi criada para proteger contra esses e outros tipos de ameaças, exigindo que o usuário forneça dois ou mais métodos de verificação antes de obter acesso a um recurso específico, como um aplicativo, armazenamento de dados ou rede privada.

O termo "fator" descreve os diferentes tipos ou métodos de autenticação usados para verificar a identidade reivindicada de alguém. Os diferentes métodos são:

  • Algo que você conhece, como uma senha, um PIN memorizado ou perguntas de desafio.
  • Algo que você tenha - embora historicamente fosse um hard token, hoje é mais comum que seja um smartphone ou uma chave USB segura.
  • Algo que você é - biometria comum é a impressão digital e o reconhecimento facial; menos comuns são biometrias como voz ou outras tecnologias de reconhecimento.

Autenticação multifatorial

Como decido quantos fatores devo configurar para um recurso protegido?

Os requisitos de segurança e usabilidade determinam o processo usado para confirmar a reivindicação de identidade do solicitante. A autenticação multifatorial permite que as equipes de segurança respondam ao contexto ou à situação do solicitante (pessoa ou processo programático), sendo a remoção do acesso o cenário mais comum. Além de determinar quantos tipos de autenticação devem ser exigidos, a TI também precisa equilibrar o custo dos requisitos de usabilidade com o custo de implementá-los.

Autenticação de fator único (SFA)

A SFA foi e ainda é o padrão para garantir o acesso a informações e instalações móveis, on-line e outras informações e instalações seguras. Por ser tão onipresente e barato, o tipo mais comum de SFA é o nome de usuário e a senha. Ainda assim, as tecnologias sem senha estão sendo adotadas em um ritmo cada vez maior para evitar as ameaças representadas por vários ataques de phishing. Por exemplo, a maioria dos aplicativos móveis permite o uso de impressão digital ou reconhecimento facial no lugar do tradicional nome de usuário e senha. 

Atualmente, os serviços on-line oferecidos pela Microsoft e pelo Yahoo oferecem uma opção de SFA sem senha, e outros fornecedores, como a Apple e o Google, oferecerão a mesma opção no próximo ano.

Como são usados para verificar identidades, os tokens de autenticação precisam ser protegidos contra pessoas de fora. Além da forte segurança dos tokens, eles geralmente são configurados para expirar com bastante frequência, aumentando sua taxa de atualização. Embora a implementação de tokens de curta duração usados na interface sem senha aumente a segurança, ela não atinge o nível oferecido pela autenticação de dois fatores.

Autenticação de dois fatores (2FA)

A 2FA reforça a segurança exigindo que o usuário forneça um segundo tipo (saber, ter, ser) para verificação de identidade. Uma prova de identidade pode ser um token físico, como uma carteira de identidade, e a outra é algo memorizado, como um desafio/resposta, código de segurança ou senha. Um segundo fator eleva significativamente o nível para que agentes mal-intencionados e outros agentes externos consigam violar a segurança. 

Aqui está uma lista comum de métodos de autenticação populares: 

  • Senhas de uso único - TOTP, HOTP, YubiKey e outros dispositivos compatíveis com FIDO
  • Outros fora de banda - chamada de voz, push móvel
  • PKI - certificados
  • Biometria - impressão digital, reconhecimento facial e de voz
  • Proximidade - cartões, geo-fencing de aplicativos móveis
  • O que você sabe - senhas, perguntas de desafio
  • Credenciais sociais

Autenticação de três fatores (3FA) 

Adiciona outro fator a dois fatores para dificultar ainda mais a falsificação de uma identidade reivindicada. Um cenário típico pode ser adicionar a biometria a um nome de usuário/senha existente, além de um login com cartão de proximidade. Como ela acrescenta um nível notável de atrito, deve ser reservada para situações que exijam um alto nível de segurança. Os bancos podem encontrar situações em que a 3FA faz sentido, assim como vários órgãos governamentais. Áreas específicas de alto controle dentro de uma parte de um aeroporto ou hospital também são áreas em que as equipes de segurança consideram a 3FA necessária.

Onde a MFA é normalmente usada?

Embora muitas organizações considerem a verificação do usuário como uma reflexão tardia, é importante observar que o DBIR anual da Verizon mostra consistentemente o hacking de credenciais como uma das principais estratégias de violação. É simplesmente uma questão de tempo até que praticamente todas as organizações sofram um evento de perda de informações confidenciais que resulte em uma perda financeira tangível e na possível perda da confiança do cliente.

O que torna essas tendências notáveis é o fato de que nunca houve um momento em que a autenticação multifator fosse tão conveniente e acessível de implementar como hoje. Tradicionalmente, as organizações têm limitado suas implementações de MFA a um pequeno subconjunto de usuários especializados que trabalham com informações que representam um nível mais alto de risco para a empresa. O custo e a usabilidade costumam ser os fatores limitantes que impedem implementações mais amplas da tecnologia de autenticação forte. Historicamente, os métodos de autenticação forte eram caros para comprar, implementar (incluindo a inscrição dos usuários) e administrar. Mas, recentemente, houve uma série de mudanças radicais nos setores, nas próprias organizações, em seus clientes (ou pacientes, cidadãos, parceiros etc.) e na tecnologia à qual eles têm acesso.

Quais são os principais motivadores comerciais para a implementação da autenticação multifator?

Embora cada organização tenha seus próprios requisitos concretos, há fatores de negócios de alto nível que são frequentemente comuns a todas elas: 

  • A maioria dos setores precisa estar em conformidade com algum tipo de lei de privacidade referente a informações de clientes, pacientes ou financeiras. Além disso, os órgãos governamentais continuam a firmar suas políticas que exigem MFA para verificação da identidade do usuário.
  • Trabalho remoto - mais do que nunca, os profissionais estão trabalhando fora do escritório, seja como guerreiros das estradas ou como funcionários remotos. Seja como parte de suas práticas de gerenciamento de riscos ou como parte de uma iniciativa de conformidade que abrange informações (cliente, paciente, cidadão, RH etc.) sujeitas a exigências de autenticação do governo.
  • Os usuários avançados e as organizações em que trabalham fazem isso em um mundo conectado de forma generalizada, o que significa que, quando suas credenciais são violadas, a vulnerabilidade exposta ao empregador é uma força convincente para proteger suas contas com a MFA.
  • Praticamente todas as pessoas têm um computador conectado (smartphone) no bolso, a partir do qual conduzem suas vidas: mídia social, conteúdo personalizado para o consumidor e comércio eletrônico. Como os clientes esperam interagir com as empresas digitalmente em seus dispositivos, as organizações geralmente adotam uma estratégia agressiva de aplicativos móveis que precisam de MFA para gerenciar seus riscos. 

Quais mandatos exigem que as organizações usem MFA para estar em conformidade?

  • Em outubro de 2005, o Federal Financial Institutions Examination Council (FFIEC) emitiu uma orientação exigindo que os bancos reavaliassem seus protocolos de login, considerando que a autenticação de fator único, quando usada como único mecanismo de controle, é inadequada para transações de alto risco que envolvem acesso ou movimentação de fundos, e que aprimorassem a autenticação com base no risco de seu serviço. Além do mandato, as instituições financeiras também estão sujeitas a um alto padrão para ganhar a confiança de seus clientes.
  • Lei Gramm-Leach-Bliley (GLBA) - As instituições financeiras dos EUA devem garantir a segurança e a confidencialidade dos registros de seus clientes.
  • A Seção 404 da Lei Sarbanes-Oxley (SOX) exige que o CEO e o CFO de empresas de capital aberto atestem a eficácia dos controles internos da organização.
  • O Requisito 8.2 do PCI DSS define os requisitos de autenticação que incluem MFA para acesso remoto ao ambiente de dados do titular do cartão (CDE). Ele também recomenda quais métodos devem ser usados.

Quais são algumas maneiras de tornar a MFA menos intrusiva na experiência do usuário?

A TI tem acesso a algumas tecnologias para reduzir o atrito que a MFA pode potencialmente impor aos usuários:

  • Logon único.
  • Avaliação de risco de uma solicitação de acesso.
  • Combine o melhor tipo de autenticação com o usuário.

Logon único (SSO)

O logon único (SSO) permite que um usuário se autentique em vários recursos a partir de uma única interação do usuário, o que significa que o usuário insere uma única credencial a partir da qual a infraestrutura abaixo dele se autentica em cada um dos recursos protegidos em seu nome durante essa sessão. A abordagem mais segura para o SSO é que o mecanismo de autenticação use um conjunto exclusivo de credenciais para cada recurso configurado para SSO. Isso aumenta a segurança em um nível alto porque:

  • O usuário não conhece a credencial real do recurso, mas apenas a credencial usada fornecida ao gateway de autenticação. Isso força o usuário a usar o gateway de autenticação em vez de ir diretamente ao recurso. Isso também significa que cada recurso tem uma credencial exclusiva, portanto, se o armazenamento de identidade de um deles for violado, isso não comprometerá os outros. Essa abordagem permite que a TI esteja em conformidade com os requisitos de MFA enquanto realiza autenticações em série para recursos protegidos.  
  • Ao aproveitar o contexto do usuário, a tecnologia baseada em risco (RBA) pode ser usada para invocar a MFA somente quando necessário. Seja para cumprir uma exigência governamental ou para aplicar a política de gerenciamento de riscos da organização, a RBA pode ser usada para diminuir as instâncias em que uma solicitação de autenticação é imposta a um usuário. As políticas geralmente são uma combinação de local, dispositivo e horário de acesso. 

Opções de autenticação de baixo atrito

Embora as OTPs/TOTPs tradicionais continuem a ser o tipo mais comum de autenticação de segundo fator, pode haver outras opções que façam mais sentido para uma determinada situação. Os aplicativos móveis push fora de banda oferecem uma opção de baixo atrito para a OTP, pois tudo o que o usuário precisa fazer é apertar o botão de aceitação. Para situações de maior risco, alguns aplicativos push têm a opção Os aplicativos móveis push podem ser configurados para exigir uma impressão digital para verificar a identidade da pessoa, bem como uma confirmação de informações, como um número, apresentada no desktop para verificar ainda mais se o usuário possui o desktop e o smartphone.

O reconhecimento facial está se tornando rapidamente a autenticação biométrica preferida. A natureza de baixo atrito do Windows Hello, observando que ele melhora com o tempo, oferece uma experiência de usuário conveniente. O maior desafio é que o Windows Hello não funciona bem em várias situações de iluminação. Essa incapacidade de reconhecer rostos em todas as condições de iluminação pode ser gerenciada com registros faciais adicionais. Mais recentemente, alguns aplicativos móveis oferecem a capacidade de registrar os padrões da íris dos olhos de uma pessoa. Usadas em conjunto (facial, impressão digital, íris), as opções de autenticação biométrica elevam bastante o nível de segurança para que um estranho possa ser derrotado. Os métodos biométricos também são uma excelente opção para as organizações que buscam uma forma de baixo atrito para se proteger contra ataques de phishing.

O reconhecimento de voz ganhou popularidade no setor de serviços financeiros. As instituições gostam dele porque é totalmente passivo para os clientes enquanto eles falam com um representante de atendimento. O representante é notificado quando a identidade do cliente é verificada. Elas usam o reconhecimento de voz no lugar de perguntas de desafio com clientes que frequentemente têm dificuldade para lembrar as respostas corretas. Nesse caso, a segurança e a usabilidade são otimizadas.

FIDO/FIDO2 são opções atraentes para os casos em que os usuários se deslocam por vários dispositivos. Parte do que torna a FIDO uma opção de autenticação atraente é seu amplo suporte a fornecedores e seu foco na usabilidade. A FIDO ganhou notável força nas universidades que lidam com um grande número de alunos que usam uma variedade de serviços digitais. A FIDO permite a portabilidade da autenticação sem senha em diferentes dispositivos e plataformas.

O perfil de gestos de smartphones é um tipo de análise comportamental que executa heurísticas sobre como o proprietário manuseia e interage fisicamente com seu dispositivo. O resultado são classificações de confiança com base nos padrões de gestos de rastreamento. Com o passar do tempo, a criação de perfis aumenta a confiança e desenvolve a fidelidade dos gestos. Embora inicialmente não seja forte o suficiente para ser a principal forma de verificação de identidade, o perfil de gestos pode servir como um método adequado usado em conjunto com outros tipos de autenticação.

Como o NetIQ é diferente de outras soluções de MFA?

As equipes de segurança geralmente implementam o software de suporte que acompanha a autenticação que estão adotando. Isso parece funcionar bem até que sejam adquiridos dispositivos diferentes que exijam uma implementação de software diferente, criando mais um silo. Em grandes organizações, é bem possível ter vários silos de tecnologias sem senha usadas para autenticação multifatorial ou para atender a algum outro requisito de autenticação. O ponto fraco dessa situação é que cada silo de autenticação tem seu próprio conjunto de políticas. Manter esses vários armazenamentos de políticas atualizados exige uma sobrecarga administrativa maior e introduz o risco de ter políticas desiguais.

OpenText™ O NetIQ™ Advanced Authentication foi projetado para atender até mesmo às necessidades de autenticação multifatorial das maiores organizações. Sua abordagem baseada em padrões oferece uma arquitetura aberta, livre dos riscos de dependência de fornecedores. A estrutura oferece suporte a uma variedade de dispositivos e métodos adicionais prontos para uso, mas também pode ser expandida à medida que novas tecnologias são lançadas no mercado.

Independentemente da plataforma (Web, móvel, cliente), o AA também oferece suporte imediato para as plataformas e os aplicativos mais comuns. Além de servir como mecanismo de política central para autenticações em toda a empresa, o AA também oferece um mecanismo baseado em risco para controlar quando a MFA é invocada, bem como para controlar quais tipos de autenticação são oferecidos em diferentes níveis de risco. Além de seu próprio mecanismo incorporado, o AA integra-se ao NetIQ Access Manager, que oferece um conjunto robusto de opções de logon único e métricas de risco que podem ser usadas como parte de casos de uso de gerenciamento de acesso adaptável.

Notas de rodapé