A autenticação multifator (MFA) é um método de verificação de identidade, que exige que os usuários forneçam pelo menos um fator de autenticação além de uma senha ou pelo menos dois fatores de autenticação em vez de uma senha, para ter acesso a um Web site, aplicativo ou rede.
Uma vez que é mais trabalhoso hackear diversos fatores de autenticação do que uma única senha, e como outros tipos de fatores são mais difíceis de roubar ou falsificar do que senhas, a MFA protege melhor uma organização contra acesso não autorizado em relação a autenticação de fator único (nome de usuário e senha).
O MFA tornou-se um componente básico da estratégia de gerenciamento de identidade e acesso de diversas organizações. É frequentemente um método de autenticação obrigatório ou recomendado em diversos setores e agências governamentais. A maioria dos funcionários ou usuários da Internet já tiveram contato com um subtipo de MFA, chamado autenticação de dois fatores (2FA), que exige que os usuários forneçam uma senha e um segundo fator , normalmente um código para um telefone celular ou e-mail , para fazer login em um sistema ou Web site. Mas qualquer pessoa que já tenha acessado um caixa eletrônico com um cartão de banco e um número de identificação pessoal (PIN) já utilizou uma forma de MFA.
A MFA confunde os hackers em dois níveis. Eu seu nível mais básico, é mais difícil hackear dois ou mais fatores do que apenas um. Mas, em última análise, a força de qualquer esquema de MFA depende dos tipos de fatores de autenticação exigidos de um usuário.
Fatores de conhecimento: algo que o usuário sabe
Fatores de conhecimento são informações que, teoricamente, apenas o usuário saberia, como senhas, PINs e respostas a perguntas de segurança. Os fatores de conhecimento são os tipos de fator de autenticação mais usados e também os mais vulneráveis. Os hackers podem obter senhas e outros fatores de conhecimento por meio de ataques de phishing, instalando gravadores de pressionamento de tecla ou spyware nos dispositivos dos usuários ou executando scripts ou bots que geram e testam senhas em potencial até que uma funcione.
Outros fatores de conhecimento não apresentam desafios muito maiores. As respostas de algumas perguntas de segurança podem ser descobertas por um hacker que conheça o usuário ou que faça um pouco de pesquisa em redes sociais. Outros podem ser relativamente fáceis de adivinhar. Portanto, não é de se admirar que credenciais comprometidas foram o vetor de ataque inicial mais explorado em 2022, de acordo com o estudo Cost of a Data Breach de 2022 da IBM.
Um equívoco comum é que exigir dois fatores de conhecimento, como uma senha e a resposta a uma pergunta de segurança, constitui MFA. A exigência de um segundo fator de conhecimento oferece segurança adicional, mas a verdadeira MFA exige o uso de dois ou mais tipos de fatores.
Fatores de posse: algo que o usuário tem
Os fatores de posse são objetos físicos que os usuários possuem, como um token ou crachá, que concede acesso a um trava física, um dispositivo móvel com um aplicativo autenticador instalado ou um cartão inteligente que contém informações de autenticação.
Muitas implementações MFA usam um método chamado "phone-as-a-token", em que o telefone celular do usuário recebe ou gera a informação necessária para se tornar um fator de posse. Conforme observado acima, a MFA geralmente envia uma senha descartável (OTP) para o telefone de uma pessoa por meio de mensagem de texto, e-mail ou chamada telefônica. Mas as OTPs também podem ser geradas por aplicativos especiais para telefones celulares, conhecidos como apps autenticadores. E alguns sistemas de autenticação enviam notificações por Push em que os usuários podem simplesmente dar um toque para confirmar sua identidade.
Outros sistemas de soluções MFA utilizam tokens físicos, ou chaves de segurança de hardware dedicadas. Alguns tokens físicos se conectam à porta USB de um computador e transmitem informações de autenticação para a página de login. Outros geram OTPs para serem inseridas pelo usuário.
Os fatores de posse oferecem diversas vantagens sobre os fatores de conhecimento. Agentes maliciosos precisam ter o fator em sua posse no momento do login para personificar um usuário. Como eles operam em uma rede (SMS) diferente do aplicativo (IP), um hacker teria de interceptar dois canais de comunicação diferentes para roubar as credenciais. Mesmo que um hacker pudesse obter uma OTP, seria necessário obtê-la e usá-la antes que expirasse, sem que fosse possível usá-la novamente.
Mas existem riscos. Por serem objetos (e geralmente pequenos), os tokens físicos podem ser roubados, perdidos ou extraviados. Embora as OTPs sejam mais difíceis de roubar do que senhas tradicionais, elas ainda são suscetíveis a ataques sofisticados de phishing ou man-in-the-middle, ou clonagem de cartão SIM, em que agentes maliciosos criam uma duplicata funcional do cartão SIM do smartphone da vítima.
Fatores inerentes: Algo particular do usuário
Fatores inerentes, também chamados de biometria, são características físicas ou traços exclusivos do usuário. As impressões digitais de uma pessoa, voz, características faciais ou padrões da retina e íris são exemplos de fatores inerentes. Atualmente, diversos dispositivos móveis podem ser desbloqueados por meio de impressões digitais ou reconhecimento facial; alguns computadores podem usar impressões digitais para inserir senhas em web sites ou aplicativos.
Fatores inerentes são os fatores mais difíceis de roubar. Eles não podem ser esquecidos, perdidos ou extraviados e são extraordinariamente difíceis de replicar.
Mas isso não significa que eles são à prova de falhas. Se os fatores inerente estiverem armazenados em um banco de dados, eles podem ser roubados. Por exemplo, em 2019, banco de dados biométrico contendo 1 milhão de impressões digitais de usuários foi invadido. Em teoria, os hackers poderiam roubar essas impressões digitais ou vincular suas próprias impressões digitais ao perfil de outro usuário no banco de dados.
Quando dados biométricos são comprometidos, não é possível alterá-los de maneira rápida ou fácil, dificultando a interrupção de ataques em andamento.
Fatores comportamentais: algo que o usuário faz
Fatores comportamentais são artefatos digitais que verificam a identidade de um usuário com base em padrões de comportamento. Um endereço IP ou dados de localização de onde um usuário geralmente efetua login em um aplicativo são exemplos de fatores comportamentais.
Soluções de autenticação comportamental usam inteligência artificial para determinar uma referência para os padrões de comportamento comuns de um usuário e sinalizar atividades anormais, como efetuar login a partir de um novo dispositivo, número de telefone, navegador da Web ou local. Também são usados com frequência em esquemas de autenticação adaptativa (também chamada de autenticação baseada em risco), em que os requisitos de autenticação mudam de acordo com a mudança do risco, como quando um usuário tenta efetuar login de um dispositivo não confiável, tenta acessar um aplicativo pela primeira vez ou tenta acessar dados confidenciais.
Embora os fatores comportamentais ofereçam uma maneira sofisticada de autenticar usuários, sua implementação requer recursos e conhecimento consideráveis. Além disso, se um hacker acessar um dispositivo confiável, ele poderá usá-lo como fator de autenticação.
Como os fatores de conhecimento comprometidos são o vetor inicial mais comum em violações de cibersegurança, muitas organizações estão explorando a autenticação sem senha. A autenticação sem senha depende posse e de fatores inerentes e comportamentais para verificação. A autenticação sem senha reduz o risco de ataques de phishing e preenchimento de credenciais, em que hackers usam credenciais roubadas de um sistema para ter acesso a outro.
Embora a autenticação sem senha remova o que é considerado o elo mais fraco na cadeia de verificação de identidade, ela ainda é suscetível às vulnerabilidades de posse e a fatores inerentes e comportamentais. As organizações podem minimizar essas vulnerabilidades implementando uma abordagem na qual os usuários devem fornecer diversos tipos de credenciais de autenticação de fator que não seja de conhecimento. Por exemplo, solicitar a um usuário uma impressão digital e um token físico constituiria um MFA sem senha.
Em resposta ao aumento no número de ataques cibernéticos, governos e agências governamentais passaram a exigir MFA para sistemas que lidam com dados confidenciais. Em 2020, o Internal Revenue Service (IRS) exigiu MFA para fornecedores de sistemas de declaração de imposto on-line. A Ordem Executiva de 2021 do Presidente Joseph Biden sobre Melhoria da Cibersegurança da Nação tornou o MFA uma necessidade para todos os órgãos federais. Um memorando de acompanhamento exigiu que todos sistemas de segurança nacional, o Departamento de Defesa e sistemas comunitários de inteligência dos Estados Unidos implementasse MFA até 18 de agosto de 2022.
Algumas regulamentações do setor, incluindo o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI-DSS), requer a MFA para sistemas que identificam dados de cartão de crédito e cartões de pagamento. Muitas outras regulamentações, incluindo Sarbanes-Oxley (SOX) e HIPAA, recomendam MFA como algo crítico para assegurar a conformidade. Algumas regulamentações estaduais exigem a MFA há anos. As empresas que não cumpriram as medidas de MFA da regulamentação NYCRR 500 23 de segurança de 2017 do New York Department of Financial Services (NYDFS) foram multadas em até USD 3 milhões (link externo ao domínio ibm.com).
Conexão única (SSO) é um método de autenticação que permite aos usuários acessar múltiplos aplicativos e serviços relacionados por meio de um único conjunto de credenciais de login. O usuário efetua login uma vez e uma solução de SSO autentica sua identidade e gera um token autenticação de sessão. Este token atua como chave de segurança do usuário para vários aplicativos e bancos de dados interconectados.
Para reduzir o risco de se depender de um único conjunto de credenciais de login para diversos aplicativos, as organizações geralmente requerem autenticação adaptativa para SSO. O SSO adaptativo aplica a funcionalidade da autenticação adaptativa a esquemas de SSO. Se um usuário exibir comportamento anormal ao tentar fazer login por meio da SSO ou durante a sessão autenticada por SSO, será solicitado que forneçam fatores adicionais de autenticação. Exemplos de comportamento anormal podem incluir conectar-se por meio uma VPN não reconhecida ou acessar aplicativos ou dados que não são cobertos pelo token de autenticação de sessão do usuário.
Arquiteturas de segurança cibernética de confiança zero nas quais a identidade de um usuário nunca é confiável e sempre verificada, muitas vezes usam uma combinação de SSO adaptativa e MFA para fins de autenticação. Ao verificar continuamente a identidade de um usuário durante a sessão e solicitar fatores adicionais de autenticação com base no risco, a SSO adaptável e a MFA reforçam o gerenciamento de acesso sem impedir a experiência do usuário.
Conecte cada usuário ao nível certo de acesso com a solução de IAM IBM Security® Verify.
Centralize o controle de acesso para aplicativos locais e na cloud.
Vá além da autenticação básica com opções para autenticação sem senha ou autenticação multifator.
Proteja usuários e ativos de maneira proativa com autenticação assistida por IA e baseada em risco com o IBM Security Verify.
Integre o IAM na cloud com contexto profundo para autenticação baseada em risco para oferecer acesso seguro e de baixo atrito.
Infundir confiança de risco em sistemas IAM para fornecer autenticação mais inteligente com o software IBM Security Verify Trust.
Descubra as soluções de segurança que envolvem cada usuário, cada dispositivo e cada conexão.
Ofereça visibilidade, gerenciamento e segurança para endpoints e usuários
Entenda seu ambiente de segurança cibernética e priorize iniciativas com arquitetos e consultores de segurança sêniores da IBM em uma sessão de design thinking virtual ou presencial de três horas, sem custo.
Saiba por que IAM é uma peça crítica de seu programa de segurança para ajudar a proteger dados por meio do controle do acesso à rede corporativa.
Saiba como MDM pode ajudá-lo a gerenciar ferramentas e aplicativos móveis de produtividade enquanto mantém os dados corporativos seguros.
Saiba por que as ameaças internas são perigosas, quais são os tipos indicadores de ameaças internas, como minimizá-las: conheça as soluções IBM.
Descubra por que a segurança de dados é mais importante do que nunca. Conheça os tipos de segurança de dados, estratégias, tendências e as soluções de segurança de dados IBM.
Entenda o risco de ciberataques com uma visão geral do cenário de ameaças.