Autenticação de Dois Fatores

por Merry Marwig, CIPP/US

O que é autenticação de dois fatores (2FA) e por que é importante como uma funcionalidade de software?

Definição Software de Autenticação de Dois Fatores

O que é autenticação de dois fatores?

A autenticação de dois fatores—comumente referida como 2FA, verificação em duas etapas, verificação em 2 etapas ou autenticação de dois fatores—é um procedimento de segurança que requer que os usuários de contas verifiquem sua identidade de duas maneiras diferentes antes de lhes conceder acesso às contas de usuário. Este processo é uma forma de autenticação multifatorial que requer exatamente duas formas dos cinco fatores de autenticação comumente aceitos. Muitas empresas utilizam software de autenticação multifatorial (MFA) para alcançar isso.

A autenticação de dois fatores é mais segura do que a autenticação de um único fator, que é tipicamente um fator de conhecimento (algo que o usuário sabe), como nome de usuário e senha. As formas mais comuns de segundo fator de autenticação são senhas de uso único (OTPs) enviadas via SMS e e-mail ou derivadas de um aplicativo autenticador ou token de hardware.

Software de Autenticação de Dois Fatores

Software que menciona autenticação de dois fatores como recurso ou termo.

Tipos de autenticação de dois fatores

Os cinco fatores de autenticação comumente aceitos são conhecimento, posse, inerência, localização e comportamento.

Conhecimento: Este fator requer que os usuários se autentiquem com algo que sabem. A autenticação de um único fator mais comum é a baseada em senha. Isso é considerado inseguro porque as pessoas podem usar senhas fracas ou senhas que são facilmente comprometidas.
Posse: Este fator de autenticação requer que os usuários se autentiquem com algo que possuem. Os usuários têm que fornecer a informação que possuem, geralmente, um código fornecido por um aplicativo autenticador em seus dispositivos móveis, SMS ou mensagem de texto, token de software (token suave) ou token de hardware (token duro). O código fornecido pode ser uma senha de uso único baseada em HMAC (HOTP) que não expira até ser usado ou uma senha de uso único baseada em tempo (TOTP) que expira em 30 segundos.
Inerência: Isso requer que os usuários se autentiquem com o que são. Leva em consideração algo único para o usuário, como fatores biométricos. A autenticação biométrica pode incluir escaneamento de impressões digitais, geometria dos dedos, escaneamento de impressão da palma ou geometria da mão, e impressões faciais. O uso de software de autenticação biométrica está se tornando cada vez mais comum à medida que logins biométricos em dispositivos móveis, incluindo software de reconhecimento facial e capacidades de escaneamento de impressões digitais, ganharam popularidade entre os consumidores. Outros métodos de autenticação biométrica, como reconhecimento de forma da orelha, impressões de voz, escaneamento de retina, escaneamento de íris, DNA, identidade de odor, padrões de marcha, padrões de veias, análise de caligrafia e assinatura, e reconhecimento de digitação, ainda não foram amplamente comercializados para fins de autenticação.
Localização: O fator de localização requer que os usuários se autentiquem com onde estão e quando. Considera a localização geográfica de um usuário e o tempo que levou para chegar lá. Esta forma de autenticação é comumente usada em software de autenticação baseada em risco. Normalmente, esses métodos de autenticação não requerem que um usuário autentique ativamente essa informação, em vez disso, isso ocorre em segundo plano ao determinar o risco de autenticação de um usuário específico. Este tipo de autenticação verifica a geolocalização de um usuário, que aponta para onde ele está atualmente, e sua geovelocidade, que é o tempo razoável que leva para uma pessoa viajar para um determinado local. Por exemplo, se um usuário se autentica com um provedor de software MFA em Chicago e 10 minutos depois tenta se autenticar de Moscou, há um problema de segurança.
Comportamento: Este fator requer que os usuários se autentiquem com algo que fazem. Relaciona-se a gestos específicos ou padrões de toque que os usuários geram. Por exemplo, usando uma tela sensível ao toque, os usuários podem criar uma senha de imagem onde desenham círculos, linhas retas ou tocam em uma imagem para criar uma senha de gesto única.

Benefícios de usar autenticação de dois fatores

O benefício da autenticação de dois fatores é o aumento da segurança da conta. Exigir uma etapa adicional de autenticação para verificar a identidade digital de um usuário ajuda a garantir que apenas usuários autorizados possam fazer login e ter acesso a contas de usuário específicas. A verificação adicional ajuda as empresas a prevenir tanto ameaças internas, como funcionários não autorizados, quanto ameaças externas, como hackers, de acessar contas restritas. Os benefícios da autenticação de dois fatores incluem:

Segurança de conta melhorada: O principal objetivo da autenticação de dois fatores é o aumento da segurança da conta.
Processo de login do usuário simplificado: Um benefício secundário de usar autenticação de dois fatores é uma experiência de login simplificada para os usuários finais. Alguns usuários podem ter práticas de gerenciamento de senhas deficientes. Permitir que os usuários se autentiquem de maneiras que não requerem uma senha pode reduzir a fadiga de senha.
Atender aos requisitos de conformidade regulatória: muitas leis de proteção de dados globalmente exigem que as empresas adotem medidas de autenticação fortes. A adoção do 2FA pode ajudar as empresas a atender a esses requisitos.

Impactos do uso de autenticação de dois fatores

Praticamente todas as empresas, especialmente as empresas de tecnologia, exigem alguma forma de autenticação de usuário para acessar software, sistemas ou outros recursos protegidos. A forma mais comum de autenticação, um único fator, que muitas vezes é apenas um nome de usuário e senha, provou ser insegura. Isso gerou a necessidade de exigir dois fatores de autenticação antes de conceder acesso à conta.

À medida que as empresas buscam se tornar ainda mais seguras, muitas estão exigindo mais de dois fatores de autenticação, para criar um processo de autenticação verdadeiramente multifatorial.

Melhores práticas de autenticação de dois fatores

Para que a autenticação de dois fatores funcione, as empresas devem seguir estas melhores práticas:

Certifique-se de que múltiplos métodos de autenticação sejam oferecidos aos usuários finais; a autenticação usando dois do mesmo tipo de fator (como duas senhas para dois desafios de conhecimento) não é considerada autenticação de dois fatores
Certifique-se de que os tipos de autenticação sejam suportados pelo software que a empresa usa
Certifique-se de que os casos de uso para autenticações online e offline sejam considerados

Autenticação de dois fatores vs. autenticação multifatorial (MFA)

A autenticação de dois fatores é uma forma de MFA.

MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Autenticação de Dois FatoresO que é autenticação de dois fatores (2FA) e por que é importante como uma funcionalidade de software?https://www.g2.com/glossary/two-factor-authentication-definitionhttps://learn.g2.com/hubfs/Two-factor%20authentication.png2021-10-22 07:45:41 -0500

Merry Marwig, CIPP/USMerry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.https://learn.g2.com/author/merry-marwighttps://learn.g2.com/hubfs/merry-marwigupdated.jpeghttps://www.linkedin.com/in/marwig/

Software de Autenticação de Dois Fatores

Esta lista mostra os principais softwares que mencionam autenticação de dois fatores mais no G2.

Google Authenticator

(535)4.6 de 5

O Google Authenticator é um aplicativo móvel desenvolvido pelo Google que melhora a segurança de contas online através da autenticação de dois fatores (2FA). Ao gerar senhas únicas baseadas em tempo (TOTPs), ele adiciona uma camada extra de proteção além das senhas tradicionais, garantindo que apenas usuários autorizados possam acessar suas contas. O aplicativo é compatível com dispositivos Android, iOS e BlackBerry, tornando-se uma ferramenta versátil para usuários que buscam reforçar sua segurança online. Principais Recursos e Funcionalidades: - Senhas Únicas Baseadas em Tempo (TOTPs): Gera códigos de seis dígitos que se atualizam a cada 30 segundos, fornecendo tokens de segurança dinâmicos para verificação de contas. - Suporte a Múltiplas Contas: Permite que os usuários gerenciem a autenticação de várias contas em um único aplicativo, simplificando o processo de 2FA. - Funcionalidade Offline: Opera sem a necessidade de uma conexão de rede ou celular, garantindo acesso aos códigos de autenticação a qualquer momento e em qualquer lugar. - Configuração por Código QR: Facilita a adição rápida e fácil de contas ao escanear códigos QR, simplificando o processo de configuração. - Sincronização de Contas: Permite que os usuários sincronizem seus códigos de autenticação em vários dispositivos ao vinculá-los à sua Conta do Google, garantindo continuidade mesmo se um dispositivo for perdido. - Tela de Privacidade: Introduz uma medida de segurança adicional ao exigir credenciais do dispositivo (PIN, impressão digital ou reconhecimento facial) para acessar o aplicativo, protegendo códigos de autenticação sensíveis contra acesso não autorizado. Valor Principal e Benefícios para o Usuário: O Google Authenticator atende à crescente necessidade de segurança online aprimorada, fornecendo um método confiável e fácil de usar para implementar a autenticação de dois fatores. Ao gerar códigos sensíveis ao tempo que são necessários além das senhas padrão, ele reduz significativamente o risco de acesso não autorizado à conta, mesmo que as credenciais de login sejam comprometidas. A funcionalidade offline do aplicativo garante que os usuários possam acessar seus códigos de autenticação sem depender de conectividade de rede, oferecendo tranquilidade em várias situações. Além disso, recursos como sincronização de contas e a Tela de Privacidade melhoram tanto a usabilidade quanto a segurança, tornando o Google Authenticator uma ferramenta valiosa para indivíduos e organizações que buscam proteger seus ativos digitais.

Cisco Duo

(490)4.5 de 5

Duo é uma plataforma de segurança de acesso baseada em nuvem, projetada para proteger o acesso a qualquer aplicação, de qualquer dispositivo. A autenticação sem senha do Duo, o single sign-on (SSO) e a autenticação multifator amigável ao usuário tornam os logins seguros fáceis para os usuários, reduzindo o atrito em seu fluxo de trabalho.

Twilio Verify

(68)4.6 de 5

Aplicativo de autenticação de dois fatores para smartphones para consumidores, API Rest 2fa mais simples para desenvolvedores e uma plataforma de autenticação forte para a empresa.

1Password

(1,681)4.6 de 5

1Password lembra suas senhas para você — e ajuda a torná-las mais fortes. Todos os seus segredos estão seguros e sempre disponíveis, protegidos por trás da única senha que só você conhece.

LastPass

(1,961)4.4 de 5

As soluções empresariais do LastPass ajudam equipes e empresas a assumirem o controle de sua gestão de identidade com gerenciamento de senhas, login único (SSO) e autenticação multifatorial adaptativa (MFA).

Google Workspace

(47,444)4.6 de 5

O Google Workspace permite que equipes de todos os tamanhos se conectem, criem e colaborem. Inclui ferramentas de produtividade e colaboração para todas as formas de trabalho: Gmail para e-mail comercial personalizado, Drive para armazenamento em nuvem, Docs para processamento de texto, Meet para conferências de vídeo e voz, Chat para mensagens em equipe, Slides para criação de apresentações, Calendários compartilhados e muitos mais.

Keeper Password Manager

(1,183)4.6 de 5

Armazene, compartilhe e gerencie com segurança suas senhas, logins, números de cartão de crédito, contas bancárias e informações privadas em seu cofre digital criptografado.

Intuit Mailchimp Email Marketing

(12,877)4.3 de 5

Mailchimp é a plataforma número 1 de Marketing por E-mail e Automação para empresas em crescimento. Mais de 12 milhões de empresas, incluindo TEDTalks, Shutterstock, Boston Market, Nikon India, confiam no Mailchimp para transformar seus e-mails em receita.

Box

(5,169)4.2 de 5

A Box é líder em Gestão de Conteúdo Inteligente, ajudando equipes a gerenciar, colaborar e automatizar seu trabalho com ferramentas impulsionadas por IA. Ela fornece uma plataforma segura para todo o ciclo de vida do conteúdo, desde o armazenamento e compartilhamento até a assinatura, automação e ativação de conteúdo com IA. Com o Box AI, as equipes podem consultar documentos, resumir relatórios e otimizar processos em todos os departamentos. A Box aplica segurança avançada e conformidade com certificações HIPAA, GDPR, FINRA e FedRAMP, além de barreiras de proteção de IA que protegem dados em movimento e em repouso. Confiada por AstraZeneca, Morgan Stanley e a Força Aérea dos EUA, a Box impulsiona a colaboração crítica em indústrias regulamentadas e empresas globais. Com mais de 1.500 integrações, incluindo Microsoft 365, Google Workspace, Salesforce, Slack e DocuSign, a Box se conecta perfeitamente com suas ferramentas do dia a dia. APIs e SDKs permitem personalização para que a Box se adapte aos seus fluxos de trabalho.

Dropbox

(30,893)4.4 de 5

Dropbox permite que você salve e acesse todos os seus arquivos e fotos em um só lugar organizado e compartilhe com qualquer pessoa. Quer você administre um negócio solo ou lidere uma equipe grande e complexa, o Dropbox ajuda seu trabalho a fluir melhor.

Okta

(1,164)4.5 de 5

Okta é um serviço de gerenciamento de identidade e acesso sob demanda para aplicações baseadas na web, tanto na nuvem quanto atrás do firewall.

TeamViewer

(3,739)4.5 de 5

Software de suporte remoto e acesso fácil de usar que permite conectar-se e monitorar com segurança de desktop para desktop, desktop para móvel, móvel para móvel, ou para dispositivos não supervisionados como servidores e dispositivos IoT de qualquer lugar.

Microsoft Teams

(17,741)4.4 de 5

O Microsoft Teams é uma plataforma de colaboração abrangente desenvolvida pela Microsoft, projetada para otimizar a comunicação e o trabalho em equipe dentro das organizações. Ele integra chat, videoconferência, armazenamento de arquivos e integração de aplicativos em uma única interface, facilitando a colaboração contínua em vários dispositivos e sistemas operacionais. Como parte do pacote Microsoft 365, o Teams aumenta a produtividade ao fornecer um hub centralizado para interações de equipe e gerenciamento de projetos. Principais Recursos e Funcionalidades: - Chat e Mensagens: Facilita a comunicação de texto em tempo real com indivíduos ou grupos, suportando texto rico, emojis, adesivos e GIFs. - Videoconferência: Oferece reuniões de vídeo de alta qualidade com recursos como compartilhamento de tela, fundos personalizados e legendas ao vivo, acomodando tanto reuniões pequenas de equipe quanto grandes webinars. - Compartilhamento e Colaboração de Arquivos: Permite armazenamento e compartilhamento seguro de arquivos através da integração com o OneDrive e o SharePoint, permitindo que vários usuários coautorem documentos simultaneamente. - Integração com Aplicativos: Suporta integração com uma ampla gama de aplicativos da Microsoft e de terceiros, aumentando a eficiência do fluxo de trabalho ao reunir várias ferramentas em uma única plataforma. - Segurança e Conformidade: Oferece medidas de segurança de nível empresarial, incluindo criptografia de dados para reuniões, chats, chamadas e arquivos, garantindo conformidade com os padrões da indústria. Valor Principal e Soluções Oferecidas: O Microsoft Teams aborda os desafios da colaboração no local de trabalho moderno unificando canais de comunicação, reduzindo a necessidade de várias ferramentas distintas. Ele aumenta a produtividade da equipe ao centralizar recursos, facilitar a colaboração em tempo real e garantir o compartilhamento seguro de informações. Ao integrar-se com o ecossistema mais amplo do Microsoft 365, o Teams oferece um ambiente coeso que suporta trabalho remoto, equipes híbridas e colaboração presencial, adaptando-se às diversas necessidades da força de trabalho atual.

GitHub

(2,294)4.7 de 5

GitHub é o melhor lugar para compartilhar código com amigos, colegas de trabalho, colegas de classe e completos estranhos. Mais de dois milhões de pessoas usam o GitHub para construir coisas incríveis juntos.

Zoho Vault

(76)4.4 de 5

Zoho Vault é um software de gerenciamento de senhas online que permite que as empresas armazenem, compartilhem e gerenciem senhas e outros dados sensíveis com segurança e acessem-nos de qualquer lugar.

Microsoft OneDrive for Business

(10,132)4.3 de 5

Com o Microsoft OneDrive, você pode armazenar qualquer arquivo no seu SkyDrive e ele estará automaticamente disponível no seu telefone e computadores. Nenhuma sincronização ou cabos necessários.

PayPal Payments

(2,659)4.4 de 5

O PayPal Payments é uma solução abrangente de processamento de pagamentos projetada para capacitar empresas de todos os tamanhos a aceitar pagamentos de forma fluida de clientes em todo o mundo. Ao integrar o PayPal Payments, os comerciantes podem oferecer uma variedade de opções de pagamento, melhorando a experiência de checkout e potencialmente aumentando as taxas de conversão. Principais Características e Funcionalidades: - Aceitação Global de Pagamentos: Suporta transações em mais de 200 mercados e 140 moedas, permitindo que as empresas atendam a uma base de clientes diversificada. - Múltiplos Métodos de Pagamento: Permite que os clientes paguem usando cartões de crédito e débito, saldos do PayPal e outros métodos de pagamento locais, proporcionando flexibilidade e conveniência. - Integração Sem Costura: Compatível com as principais plataformas de eCommerce, facilitando a integração fácil em lojas online existentes. - Medidas Avançadas de Segurança: Incorpora ferramentas robustas de proteção contra fraudes e recursos de conformidade para proteger tanto os comerciantes quanto os clientes. - Serviços Financeiros: Oferece acesso a empréstimos empresariais e capital de giro, auxiliando os comerciantes na gestão e expansão de suas operações. Valor Principal e Soluções Oferecidas: O PayPal Payments atende à necessidade crítica das empresas de oferecer opções de pagamento seguras, eficientes e versáteis aos seus clientes. Ao aproveitar a extensa rede e a reputação confiável do PayPal, os comerciantes podem aumentar a confiança dos clientes, simplificar os processos de pagamento e expandir seu alcance para mercados internacionais. A suíte abrangente de ferramentas da plataforma não só facilita a aceitação de pagamentos, mas também apoia o crescimento dos negócios por meio de serviços financeiros e insights operacionais.

Bitwarden

(954)4.7 de 5

Bitwarden equipa empresas e indivíduos com o poder de gerenciar e compartilhar informações online de forma segura com soluções de segurança confiáveis e de código aberto. Projetado para organizações de todos os tamanhos, o Bitwarden Enterprise Password Manager permite que as equipes armazenem, acessem e compartilhem credenciais, chaves de acesso e informações sensíveis de forma segura, mantendo controle total sobre sua postura de segurança.

YubiKey

(34)4.7 de 5

YubiKey é um pequeno dispositivo USB e NFC que suporta múltiplos protocolos de autenticação e criptografia, protegendo o acesso a computadores, redes e serviços online para as organizações.