A autenticação é um processo de segurança para verificar a veracidade e autenticidade de uma pessoa ou objeto. O tema da autenticação de um indivíduo, entidade ou objeto não é algo novo, dado que a palavra "autêntico" vem do grego "authentikos", que significa "original, genuíno". Portanto, a autenticação é baseada na comparação e correspondência para determinar se algo ou alguém é, de fato, o que ou quem afirmam ser.
A autenticação para computadores começou por volta da década de 1960, com o surgimento dos primeiros bancos de dados com senhas, o que implicava na necessidade de o usuário providenciar uma senha que correspondesse ao que estava armazenado. Embora o processo de autenticação tenha evoluído bastante desde as décadas de 1960 e 1970, principalmente com o surgimento da criptografia, as senhas ainda são a forma de autenticação mais utilizada.
Há cerca de 40 anos, quando se percebeu a existência de falhas no processo de autenticação digital por senhas, nasceram as Senhas Dinâmicas. Assim, devido ao maior poder de processamento dos computadores, foi possível desenvolver e implementar as senhas de uso único, ou OTP - que é a sigla para One Time Password em inglês -, como parte da autenticação de fator único ou mesmo da autenticação multifator, ou MFA que é a sigla para Multifactor Authentication em inglês. Falaremos mais sobre isso adiante.
Com a massificação da internet no final dos anos 1990 e início dos anos 2000, os sites de alguns segmentos, como os de comércio eletrônico e instituições financeiras, passaram a lidar com um volume sem precedentes de dados sensíveis. A necessidade de uma forma de autenticação mais segura levou à busca de técnicas como MFA ou complementos para senha estática, como OTP, perguntas baseadas em conhecimento ou o uso de um aplicativo de autenticação. Essa combinação de dois ou mais fatores acabou fortalecendo o processo de autenticação.
Com o uso difundido de telefones celulares, o público foi introduzido a outras tecnologias antes restritas a especialistas e agências governamentais, como a autenticação biométrica, que inclui as impressões digitais, o reconhecimento de retina, de voz e o facial. Além disso, a biometria comportamental e os sinais de reconhecimento têm ganhado destaque em processos de autenticação mais avançados.
Embora os métodos de autenticação tenham evoluído significativamente, é surpreendente pensar que ainda hoje os processos mais utilizados em setores mais sensíveis, como bancos mobile, sejam senhas estáticas e OTPs, dois dos tipos de autenticação menos seguros.
Para um processo de autenticação ser mais seguro, se faz necessária uma abordagem em camadas, uma composição de todos os novos processos para a segurança, que substituem o uso de única solução, que pode apresentar fragilidades.
A maior e mais importante evolução da autenticação é a crescente implantação e adoção de processos simples e fáceis de usar que não exigem do usuário um profundo conhecimento em segurança ou a memorização de senhas distintas com caracteres especiais, por exemplo.
Tanto a autenticação quanto a autorização do usuário são importantes para a segurança das contas. A autenticação confirma a identidade de um usuário e a autorização, por sua vez, dá acesso ao usuário. Sendo assim, pode-se dizer que a autenticação é um pré-requisito da autorização.
O objetivo da autenticação de uma pessoa nos sistemas digitais atuais é impedir o acesso de pessoas não autorizadas a determinadas contas ou certos ambientes físicos e digitais. O processo de autenticação garante o acesso apenas aos usuários legítimos por meio do reconhecimento das credenciais individuais previamente registradas. A autenticação do usuário acontece quando as credenciais fornecidas correspondem ao que está armazenado. Caso contrário, pode se tratar de um agente mal-intencionado em busca de um acesso não autorizado.
O processo de autenticação mais comum é a autenticação de fator único, mas dependendo do risco de acesso não autorizado, recomenda-se a adoção da autenticação multifator.
A autenticação de fator único é baseada na autenticação dos usuários por meio de apenas um tipo de evidência. Na maioria das vezes, acaba sendo a combinação de um identificador de usuário (nome, CPF, e-mail) e uma senha estática. Já a autenticação multifator é baseada em uma abordagem em camadas, com dois ou mais processos de autenticação.
A MFA é um processo de autenticação que verifica a autenticidade da identidade de um usuário através do uso de duas ou mais evidências, ou fatores. Um dos principais objetivos da MFA é a adição de fatores de autenticação para uma maior segurança no processo. Uma boa estratégia de autenticação multifator deve buscar um equilíbrio entre esse aspecto de segurança adicional e a conveniência para o usuário.
Para a MFA, pelo menos dois fatores de verificação de usuário são necessários para que o acesso seja autorizado. Há três principais fatores de autenticação e, para cada fator, há diferentes processos de autenticação:
Conhecimento - Algo que o indivíduo sabe
Em geral, são informações de conhecimento apenas do usuário. A combinação de nome de usuário e senha ou PIN são os exemplos mais comuns de fator de conhecimento. Algumas organizações usam perguntas de segurança, como o nome de solteira da mãe ou o nome da primeira escola, para verificar a identidade do usuário.
Posse - Algo que o indivíduo possui
O fator de autenticação de posse é útil quando os usuários têm algo específico com eles, como tokens físicos, cartões inteligentes, chaves privadas ou telefones celulares. O autenticador do Google é um bom exemplo de um aplicativo no telefone que funciona como um token. A probabilidade de um hacker que roubou a senha de um usuário ter roubado também algo físico não é necessariamente grande. No caso, a confirmação desse processo de autenticação pode ser por meio de uma notificação por push no celular, da solicitação dos dados de um cartão de segurança, ou ainda, da inserção de uma senha de uso único nova, enviada por mensagem de texto ou e-mail, quando a antiga se torna desatualizada e obsoleta.
Inerência - Algo que o indivíduo é
O fator de inerência considera o comportamento ou as características biológicas dos usuários para fins de login. Os fatores de inerência mais comuns incluem as impressões digitais, os mapeamentos de retina ou o reconhecimento de voz ou facial. A biometria comportamental e os sinais de reconhecimento também são fatores de inerência, uma vez que para os fraudadores é difícil falsificar ou imitar o comportamento do usuário. Além de ser seguro, esse processo de autenticação é também o de menor fricção para os usuários.
A tabela a seguir traz uma lista dos processos de MFA e os respectivos níveis de segurança e fricção.
Os aplicativos podem usar combinações desses fatores e de mecanismos de autenticação, a depender do que me mostrar mais compensatório em termos de custo, estrutura de TI e nível de segurança. Um exemplo de autenticação multifator é o login em um banco mobile. Para o login do usuário, primeiro é necessária uma senha (conhecimento) de acesso à conta combinada com um identificador de usuário e, na sequência, um número de um aplicativo autenticador de celular (posse). Outro exemplo é o login em um aplicativo fintech pela autenticação zero-fator, que utiliza a localização (inerência), permitindo ao usuário um login sem senha para realizar atividades no app. Se a localização do usuário não corresponder ao seu histórico de localização habitual, o uso de um aplicativo autenticador pode ser necessário como um fator adicional como um token para a validação, permitindo a autenticação do usuário legítimo ou impedindo uma possível fraude.
A autenticação 2FA ou de dois fatores, também conhecida como verificação em duas etapas, é um processo de segurança que exige dos usuários dois fatores de autenticação para o acesso a uma conta. Ainda há bastante dúvida em relação às diferenças entre 2FA e MFA. Para facilitar, vale lembrar que a 2FA é um subconjunto de MFA, portanto, todo 2FA é um MFA, mas nem todo MFA é um 2FA.
Com as empresas lançando cada vez mais novos serviços mobile, o maior desafio é equilibrar a necessidade de maior segurança com uma boa experiência ao usuário.
Minimizando a fricção para uma experiência superior oferecida ao usuário
O tempo médio de atenção do ser humano diminuiu de 12 segundos em 2000 para 8 segundos em 2015. E em dispositivos móveis, o tempo de atenção dos usuários é particularmente baixo. Uma das vantagens dos celulares para os consumidores é a possibilidade de se acessar informações, tomar decisões e fazer atividades quase que imediatas. Quando nos deparamos com um nível de fricção elevado devido a medidas de segurança que dificultam o acesso a informações e serviços mobile, vemos maiores taxas de abandono e menores taxas de conversão nesses ambientes. Essa necessidade de obter respostas instantâneas de serviços mobile faz com que minimizar a fricção seja uma prioridade na busca por uma melhor experiência de usuário em dispositivos móveis.
A garantia de segurança superior de contas dos usuários legítimos
Com a massificação do uso do celular, este passa a ser o foco de atividades fraudulentas. Os fraudadores estão explorando os pontos fracos dos processos de autenticação, incluindo as senhas estáticas, as de uso único (OTPs), sobretudo por SMS, e a biometria para conseguir efetivar a invasão de contas. E é aqui que entra a relação de segurança versus fricção. O risco de fraudes e crimes cibernéticos relativos ao acesso a contas de usuários em dispositivos móveis levou a um maior controle de segurança, o que também pode acabar impedindo ou dificultando o acesso de clientes legítimos às suas próprias contas.
Ao analisar os processos de autenticação, fica evidente que os fatores de autenticação oferecem diferentes níveis de segurança e fricção. Nenhuma solução de autenticação oferece sozinha segurança máxima e mínima fricção. A boa notícia é que, dado que a autenticação multifator requer dois ou mais fatores de autenticação, é possível combinar diferentes fatores de autenticação para se chegar ao equilíbrio ideal entre segurança e fricção.
Considerando que as senhas estáticas e as senhas de uso único, as OTPs, oferecem o nível mínimo de segurança, é difícil compreender que as senhas ainda sejam o processo predominante de segurança e as OTPs sejam o segundo fator mais usado para a autenticação.
Atualmente, os problemas com as senhas são bastante conhecidos. Com os usuários hoje gerenciando em média de 70 a 80 contas, invariavelmente, a tendência é o uso de senhas simples, como 1234, ou a repetição das mesmas senhas em diferentes sites, quando possível. Esquecer a senha é o principal problema de todo suporte ao cliente, gerando fricção para o usuário e custos operacionais para as empresas. As violações de dados em larga escala e os frequentes golpes de engenharia social tornam os usuários cada vez mais vulneráveis à invasão de contas pelo acesso por meio de credenciais roubadas ou vazadas.
O uso de OTPs por SMS tem sido o foco de profissionais de segurança nos últimos anos. Nas Diretrizes de Identidade Digital do instituto americano de Padrões e Tecnologia ou NIST, que é a sigla para National Institute of Standards and Technology em inglês, esse processo é descrito como uma forma de autenticação limitada dada a facilidade com que pode ser usado de forma indevida por fraudadores. Em 2017, o golpe da troca de chip (conhecido em inglês como “SIM swap”) entrou em cena e, desde então, se tornou o principal processo para invadir contas.
Embora os usuários tenham demonstrado interesse em usar sensores de impressão digital, reconhecimento facial e de voz, é grande a preocupação com o possível roubo de dados biométricos e de como essas tecnologias de reconhecimento podem adicionar um viés no que tange ao uso e acesso da tecnologia. Os dados biométricos, assim como as senhas, quando armazenados em servidores centrais também ficam vulneráveis a roubo e falsificação e, ao contrário de senhas que podem ser alteradas ou atualizadas, não há como alterar a impressão digital ou facial, nem a voz das pessoas. A biometria armazenada em um dispositivo local é mais segura, porém oferece maior fricção, uma vez que os usuários devem cadastrar os dados biométricos em diferentes dispositivos. Além disso, devido ao uso de reconhecimento facial, ou selfies, se tornou relevante também a detecção do aspecto de vivacidade para prevenir o uso de fotos ao invés da pessoa fazer isso em tempo real. No entanto, a tecnologia deepfake (inteligência artificial usada para a manipulação de imagens e vídeos) tornou possível, inclusive, a falsificação da detecção de vivacidade.
O viés é uma outra preocupação relativa ao uso da biometria para a prevenção de fraudes e outras aplicações. O software de reconhecimento facial e de voz se baseia em dados de treinamento e a preocupação é que esse conjunto de dado seja tendencioso para certos tipos de rostos ou vozes, podendo adicionar um viés aos resultados. O impacto disso na prevenção de fraude é a alta probabilidade de determinadas etnias serem sinalizadas como de alto risco por não terem sido bem representadas na base de dados do treinamento.
Os sinais de reconhecimento e processos de autenticação baseados em biometria comportamental consideram a singularidade do comportamento humano. Há, no entanto, uma diferença fundamental entre biometria e biometria comportamental. Os padrões de comportamento, embora únicos para cada pessoa, estão em constante mudança e atualização e, se comparados a um identificador estático, como uma impressão digital ou o reconhecimento facial, a biometria comportamental gera um fator de autenticação dinâmico muito mais difícil de se imitar ou falsificar.
A realidade é que hoje os dispositivos móveis contêm vários sensores que fornecem informações valiosas sobre o comportamento do usuário. Os sinais de reconhecimento e biometria comportamental aproveitam esses dados para identificar os padrões exclusivos de cada usuário. Uma diferença fundamental entre os sinais de reconhecimento e a biometria comportamental é o tempo que os modelos levam para aprender e fornecer a avaliação de risco. Os sinais de reconhecimento oferecem sinais de risco imediato, desde o primeiro momento, enquanto os modelos de biometria comportamental podem ter um tempo maior de aprendizado, podendo levar dias ou mesmo semanas.
Diversos sinais e dados de biometria comportamental estão sendo usados para a detecção de fraudes. O movimento do mouse e a velocidade de digitação foram bastante usados para aplicativos de desktop e laptop. No entanto, para os dispositivos móveis, a localização é um sinal de alta confiança.
De todos os sinais de reconhecimento, a localização é o mais relevante para a prevenção de fraudes em dispositivos móveis.
No mundo de hoje, os dispositivos móveis se tornaram quase que uma extensão nossa. Nós levamos os telefones celulares para todos os lugares, e a movimentação de cada pessoa no mundo é única gerando, assim, padrões de localização únicos. Os dispositivos móveis atuais contêm muitos sensores relacionados ao movimento, à posição e ao status do dispositivo.
A combinação de MFA com a autenticação baseada em risco permite oferecer aos usuários uma estratégia de autenticação de baixa fricção inicial, de modo que os processos de autenticação mais complexos e seguros sejam aplicados apenas para logins de alto risco ou transações confidenciais.