O principal objetivo de usar software de autenticação multifator (MFA) é aumentar a segurança quando os usuários fazem login em contas. As empresas usam esse software para garantir que apenas usuários autorizados — como funcionários, contratados ou clientes — tenham acesso seguro a contas específicas da empresa. Isso ajuda a prevenir tanto ameaças internas, como funcionários não autorizados acessando dados sensíveis, quanto ameaças externas, como cibercriminosos realizando ataques de phishing para violação de dados, de acessar contas restritas.
O MFA exige que os usuários completem etapas adicionais de autenticação para provar sua identidade antes de obter acesso a aplicativos, sistemas ou informações sensíveis. O software ajuda a proteger contas fornecendo segurança adicional usando uma abordagem de autenticação em camadas e em várias etapas. Geralmente, a primeira etapa para autenticar a identidade de um usuário inclui um processo padrão de login com nome de usuário e senha. Após essa tentativa inicial de login, a segunda etapa pode exigir que os usuários insiram um código fornecido por um aplicativo de software em um dispositivo móvel, um token de hardware como um chaveiro, ou um código enviado ao usuário via mensagem de texto (SMS), e-mail ou chamada telefônica. Outras etapas de autenticação podem incluir a apresentação de um dado biométrico, como uma impressão digital ou reconhecimento facial, ou a apresentação de outros sinais de identificação, como o endereço IP típico do usuário, o ID do dispositivo ou fatores comportamentais verificados por ferramentas de autenticação baseada em risco (RBA).
O que significa MFA?
MFA significa autenticação multifator. Requer dois ou mais fatores de autenticação diferentes. Este software também pode ser referido como autenticação de dois fatores (2FA) ou verificação em duas etapas quando emprega exatamente dois fatores de autenticação diferentes.
Quais são os fatores de autenticação?
O software MFA exige que os usuários se autentiquem com alguns ou todos os seguintes cinco fatores:
Autenticação de fator único: A autenticação de fator único exige que os usuários se autentiquem com algo que eles sabem. A autenticação de fator único mais comum é a baseada em senha. Isso é considerado inseguro porque muitas pessoas usam senhas fracas ou senhas que são facilmente comprometidas.
Autenticação de dois fatores: A autenticação de dois fatores exige que os usuários se autentiquem com algo que eles têm. Requer que os usuários forneçam as informações que possuem, geralmente, um código fornecido por um aplicativo autenticador em seus dispositivos móveis, SMS ou mensagem de texto, token de software (soft token) ou token de hardware (hard token). O código fornecido pode ser uma senha única baseada em HMAC (HOTP), que não expira até ser usada, ou uma senha única baseada em tempo (TOTP), que expira em 30 segundos.
Autenticação de três fatores: A autenticação de três fatores exige que os usuários se autentiquem com o que eles são. Leva em consideração algo único para o usuário, como fatores biométricos. Eles podem incluir escaneamento de impressões digitais, geometria dos dedos, escaneamento de palma ou geometria da mão e reconhecimento facial. O uso de biometria para autenticação está se tornando cada vez mais comum à medida que logins biométricos em dispositivos móveis, incluindo software de reconhecimento facial e capacidades de escaneamento de impressões digitais, ganham popularidade entre os consumidores. Outros métodos de autenticação biométrica, como reconhecimento de forma de orelha, impressões vocais, escaneamento de retina, escaneamento de íris, DNA, identidade de odor, padrões de marcha, padrões de veias, análise de escrita e assinatura, e reconhecimento de digitação, ainda não foram amplamente comercializados para fins de MFA.
Autenticação de quatro fatores: A autenticação de quatro fatores exige que os usuários se autentiquem com onde eles estão e quando. Considera a localização geográfica de um usuário e o tempo que levou para chegar lá. Normalmente, esses métodos de autenticação não exigem que um usuário autentique ativamente essas informações, em vez disso, isso ocorre em segundo plano ao determinar o risco de autenticação de um usuário específico. A autenticação de quatro fatores verifica a geolocalização de um usuário, que aponta para onde ele está atualmente e sua geo-velocidade, que é o tempo razoável que leva para uma pessoa viajar para um determinado local. Por exemplo, se um usuário se autentica com um provedor de software MFA em Chicago e 10 minutos depois tenta se autenticar de Moscou, há um problema de segurança.
Autenticação de cinco fatores: A autenticação de cinco fatores exige que os usuários se autentiquem com algo que eles fazem. Relaciona-se a gestos específicos ou padrões de toque que os usuários geram. Por exemplo, usando uma tela sensível ao toque habilitada com um sistema operacional relativamente novo, que suporta o recurso, os usuários podem criar uma senha de imagem onde desenham círculos, linhas retas ou tocam em uma imagem para criar uma senha de gesto única.
Quais Tipos de Software de Autenticação Multifator (MFA) Existem?
Existem vários tipos de software MFA. Além da funcionalidade padrão de MFA, muitas empresas estão se movendo em direção ao software RBA, também conhecido como MFA inteligente, que usa monitoramento de risco para determinar quando solicitar autenticação dos usuários. Os diferentes tipos de métodos de autenticação podem incluir:
Aplicativos móveis: Uma maneira comum que os usuários preferem autenticar é usando o aplicativo móvel do software MFA.
Token de software: Tokens de software permitem que os usuários usem aplicativos móveis MFA, incluindo dispositivos vestíveis. Usar tokens de software é considerado mais seguro do que usar OTP via SMS, já que essas mensagens podem ser interceptadas por hackers. Tokens de software podem ser usados quando offline, tornando-o conveniente para usuários finais que podem não ter acesso à internet.
Notificações push: As notificações push tornam a autenticação simples para os usuários finais. Uma notificação é enviada para o dispositivo móvel de um usuário pedindo que ele aprove ou negue a solicitação de autenticação. A conveniência é crucial para a adoção de ferramentas MFA pelos usuários.
Token de hardware: Tokens de hardware são peças de hardware que os usuários carregam consigo para autenticar sua identidade. Exemplos incluem chaveiros OTP, dispositivos USB e cartões inteligentes. Problemas comuns com tokens de hardware incluem o custo do hardware, além do custo adicional de substituições quando os usuários os perdem.
Senhas de uso único (OTP) via SMS, voz ou e-mail: Usuários que não podem usar aplicativos móveis em seus telefones podem optar por usar OTP enviado para seus dispositivos móveis via mensagem de texto SMS, chamada de voz ou e-mail. No entanto, receber códigos de autenticação via SMS é considerado uma das maneiras menos seguras de autenticar usuários.
Software de autenticação baseada em risco (RBA): RBA, também conhecido como MFA inteligente ou adaptativo, usa informações em tempo real sobre os usuários finais para avaliar seu risco e solicitar que eles se autentiquem quando necessário. O software RBA analisa endereços IP, dispositivos, comportamentos e identidades para definir métodos de autenticação personalizados para cada usuário distinto que tenta acessar a rede.
Autenticação sem senha: A autenticação sem senha, também conhecida como autenticação invisível, depende de fatores RBA, como localização, endereço IP e outros comportamentos do usuário. As notificações push são consideradas autenticação sem senha, pois o usuário não é obrigado a inserir um código, mas apenas a aceitar ou rejeitar uma solicitação de autenticação.
Biometria: Fatores de autenticação biométrica, como reconhecimento facial e de impressões digitais, estão ganhando popularidade entre os consumidores e, portanto, os provedores de software MFA estão começando a suportá-los. Atualmente, outros fatores biométricos, como escaneamento de íris, não estão disponíveis em ferramentas MFA. Um problema com o uso de biometria para autenticação é que, uma vez comprometidos, eles estão comprometidos para sempre.
MFA como serviço: Integrando-se aos diretórios baseados em nuvem de uma empresa, alguns provedores de MFA oferecem solução de MFA como serviço baseada em nuvem. Estes geralmente suportam múltiplos métodos de autenticação, incluindo notificações push, tokens de software, tokens de hardware, autenticação online e offline, e biometria.
MFA local: Soluções de MFA locais são executadas no servidor de uma empresa. Muitos fornecedores de software estão eliminando gradualmente esses tipos de soluções de MFA e incentivando os clientes a adotarem soluções baseadas em nuvem.
MFA disponível offline: Usuários que precisam se autenticar, mas não têm acesso à internet, podem usar soluções MFA com suporte offline. Por exemplo, muitos funcionários federais trabalham em ambientes controlados e seguros e podem não ter acesso à internet. Funcionários civis do governo federal podem usar cartões de verificação de identidade pessoal (PIV) para autenticar, enquanto os funcionários do Departamento de Defesa se autenticam usando um cartão de acesso comum (CAC). Para civis em geral, eles podem se autenticar offline usando um aplicativo móvel com acesso offline a OTPs ou um que use uma chave de segurança U2F baseada em hardware.
Soluções empresariais: Empresas que gerenciam implantações de MFA para muitos usuários precisam de soluções robustas e optarão por software com consoles de administrador, visibilidade de endpoint e conexão com software de login único (SSO).
