Os casos de vazamento de dados continuam se repetindo e se diversificando. Em 2021, mais de 227 milhões de dados dos brasileiros foram vazados, ocupando o topo do ranking mundial. Muitas vezes, os usuários tentam tornar o acesso a dados mais seguro alterando as senhas para evitar acessos por conta de um eventual vazamento, mas essas mudanças sozinhas podem não ser suficientes para proteger os dados pessoais. Para isso, a Autenticação Multifator (“MFA”, a sigla para multi-factor authentication em inglês) assume um papel importante, dado que é uma das melhores alternativas para corrigir as principais fragilidades associadas ao uso de senhas estáticas.
A MFA é um processo de autenticação que verifica a autenticidade da identidade de um usuário através da solicitação da apresentação de duas ou mais evidências, ou fatores, para a autenticação. Um dos principais objetivos da MFA é a adição de fatores adicionais de autenticação para uma maior segurança no processo. Uma boa estratégia de autenticação multifator deve buscar um equilíbrio entre a busca por uma segurança digital superior e a conveniência para o usuário, sem impactar sua experiência de uso de determinada solução ou sistema.
A autenticação multifator visa incrementar as etapas de segurança, exigindo fatores de autenticação adicionais. Alguns dos principais benefícios de um sistema de autenticação multifator são:
O objetivo principal da autenticação multifator é reduzir o risco de invasões de contas e fornecer segurança digital superior aos usuários e às suas contas. Considerando que senhas fracas ou roubadas são a causa de 80% das invasões de contas após vazamento de dados, a MFA pode ajudar a proteger os usuários e seus dados devido à adição de etapas de segurança no processo de autenticação, como, por exemplo, no login de um aplicativo. Se um dos dados for roubado ou violado, como a senha de um usuário, os outros fatores ainda fornecem uma etapa adicional de segurança e uma garantia da identidade do usuário.
Para a MFA, vários (pelo menos dois) fatores de verificação de usuário são necessários para que o acesso seja autorizado. Há três principais fatores de autenticação e, para cada fator, há diferentes métodos de autenticação:
Em geral, são informações de conhecimento apenas do usuário. A combinação de nome de usuário e senha ou PIN são os exemplos mais comuns de fator de conhecimento. Algumas organizações podem exigir perguntas de segurança, como o nome de solteira da mãe ou o nome da primeira escola, para a verificação da identidade do usuário.
O fator de autenticação de posse é útil quando os usuários têm algo específico com eles, como tokens físicos, cartões inteligentes, chaves privadas ou telefones celulares. O autenticador do Google é um bom exemplo de um aplicativo no telefone que funciona como um token. A probabilidade de um hacker que roubou a senha de um usuário ter roubado também algo físico é menor do que ter conseguido as informações estáticas apenas. No caso, a confirmação desse processo de autenticação pode ser por meio de uma notificação push no celular ou da solicitação dos dados de um cartão de segurança, ou ainda, da inserção de uma senha de uso único nova, enviada por mensagem de texto ou e-mail quando a antiga se torna desatualizada ou obsoleta.
O fator de inerência considera o comportamento ou as características biológicas dos usuários para fins de login ou para autenticar alguma transação sensível. Os fatores de inerência mais comuns incluem as impressões digitais, os mapeamentos de retina ou o reconhecimento por voz ou facial. A biometria comportamental e os sinais de reconhecimento também são fatores de inerência uma vez que, para os fraudadores, é difícil falsificar ou imitar o comportamento do usuário. Além de ser seguro, esse processo de autenticação é também o de menor fricção para os usuários.
A tabela a seguir traz uma lista dos métodos de MFA e os respectivos níveis de segurança e fricção.
Os aplicativos podem usar combinações desses fatores e de métodos de autenticação dependendo do que for melhor em termos de custo, estrutura de TI e nível de segurança. Um exemplo de autenticação multifator é o login em um banco mobile. Para o login do usuário, primeiro é necessária uma senha estática combinada com o nome ou identificador do usuário (conhecimento) para acesso à conta e depois um número de um aplicativo autenticador, como o Google Authenticator (posse). Outro exemplo interessante é o login em um aplicativo fintech pela autenticação zero-fator com base no comportamento padrão de localização (inerência), permitindo ao usuário um login sem senha que autentique uma transação sensível, tal como transferência de dinheiro. Se a localização do usuário não corresponder ao seu histórico de localização habitual, o uso de um aplicativo autenticador, como um token, pode ser necessário como um fator adicional para a validação, permitindo a autenticação do usuário legítimo e/ou impedindo uma possível fraude.
A MFA é utilizada pelas organizações por muitos motivos, mas principalmente para três finalidades principais:
Segurança: Aprimorar a segurança das informações e das operações digitais de diferentes naturezas é o principal objetivo da autenticação multifator. O nível de segurança de um sistema de tecnologia depende do número de etapas ou fatores incorporados ao software. Os sistemas que usam dois ou mais fatores de autenticação são considerados mais seguros do que outros.
Usabilidade: Trabalhar com MFA é uma oportunidade de eliminar o uso de senhas estáticas. Um usuário tem, em média, mais de 40 aplicativos mobile e lembrar todas as senhas complexas das contas pode ser um grande desafio. Os gerenciadores de senhas ajudam, no entanto, a maior parte dos usuários considera a redefinição de senha um evento frequente que adiciona fricção desnecessária e indesejada ao acessarem suas contas online.
Conformidade: A MFA pode ser um requisito fundamental ao se seguir as regulamentações específicas de um setor. Muitas regulamentações nacionais ou regionais já exigem que as organizações utilizem a autenticação multifator em alguns casos, de modo que as organizações devem cumprir esses regulamentos para evitar possíveis multas e minimizar eventuais problemas de auditoria, além, é claro, das penalidades associadas aos prejuízos causados aos seus clientes não protegidos.
Entender a diferença entre a autenticação de dois fatores e a autenticação multifator é de extrema importância. A MFA requer dois ou mais fatores de autenticação para verificar se o usuário que tenta acessar as informações está autorizado ou não. As organizações podem usar diferentes combinações de fatores de autenticação de acordo com a necessidade de seus negócios e do nível de proteção que buscam oferecer a seus clientes.
A autenticação 2FA, da sigla em inglês Two-Factor Authentication, ou autenticação de dois fatores é um subconjunto da MFA que usa apenas dois fatores no processo de autenticação. Todo 2FA é um MFA, mas nem todo MFA é um 2FA. Mais etapas de segurança significam menos chance de invasão por hackers ou fraudadores, portanto, maior segurança de dados e informações. Mas, há muito mais a ser explorado sobre as diferenças entre a autenticação de dois fatores e a multifator.
Dada a necessidade de os sistemas serem extremamente seguros para proteger os dados confidenciais e os ativos financeiros de seus usuários, o setor financeiro se beneficia bastante da autenticação multifator. Os bancos e outros tipos de instituições financeiras implementam métodos de autenticação multifator para garantir que o acesso às contas financeiras online seja permitido apenas aos usuários legítimos, ou seja, aos donos das contas.
Proteger informações confidenciais e dados pessoais é essencial para todas as organizações e setores. A MFA pode ajudar a fortalecer o sistema de segurança por meio da adição de etapas e fatores de autenticação para uma melhor proteção contra o acesso não autorizado e possíveis fraudes.