A autenticação multifator (“MFA”, a sigla para multi-factor authentication, em inglês) e a autenticação de dois fatores (“2FA”, sigla para two-factor authentication, em inglês) se tornaram essenciais para as organizações protegerem as contas, os ativos, os dados e os usuários em si, especialmente devido aos ataques cibernéticos e as suas manobras perfeitas para romper a segurança de fator único. Mas qual a diferença entre 2FA e MFA?
Tipo 1: Conhecimento - algo do conhecimento do usuário, como uma senha ou uma pergunta pessoal
Tipo 2: Posse - algo de posse do usuário, como uma chave de segurança ou um token
Tipo 3: Inerência - algo inerente ao usuário, como dados de biometria ou comportamento únicos
Sendo assim, a autenticação de dois fatores (2FA) requer dos usuários dois métodos de autenticação, enquanto a MFA requer pelo menos dois (se não mais) métodos de autenticação. Isso significa que todo 2FA é um MFA, mas que nem todo MFA é um 2FA.
Embora a 2FA e a MFA sejam baseadas em medidas adicionais de segurança além das credenciais de nome de usuário e senha, elas provêm diferentes níveis de garantia de legitimidade do usuário que acessa a conta. Nesse caso, a MFA seria mais segura do que a 2FA? A verdade é que depende.
Em geral, ambas as abordagens são mais seguras do que a autenticação de fator único. No entanto, o nível de segurança de toda estratégia de MFA será determinado pelo dos métodos de autenticação escolhidos pelos profissionais de risco.
A abordagem em camadas é mais segura, mas o baixo nível de segurança de alguns métodos de autenticação pode tornar o processo como um todo pouco seguro. Por exemplo, uma autenticação baseada em uma senha estática (conhecimento), senha de uso único (OTP) (posse) e reconhecimento facial, conhecido como FaceID (inerência) é mais segura do que uma autenticação baseada em apenas uma senha, mas é importante ressaltar que esses métodos baseados em senhas e OTPs não são os mais seguros.
Por outro lado, uma 2FA usando sinais de reconhecimento, como padrão de localização (inerência) e notificações de aplicativos do tipo Push Notification (posse), ambos métodos bem robustos em segurança, pode ser considerada mais segura do que uma MFA com três diferentes fatores.
É por isso que o nível de segurança de uma estratégia de MFA é determinado pelo dos métodos usados.
Quanto mais camadas forem adicionadas ao MFA, mais seguro o processo de autenticação. Uma maior segurança pode impedir ameaças de agentes mal-intencionados, mas caso haja um alto nível de fricção, é provável que os usuários legítimos optem por utilizar outros serviços. Os usuários odeiam fricção, principalmente no que tange à experiência no ambiente mobile. Em 2018, menos de 10% dos usuários do Google ativaram a autenticação opcional de dois fatores (2FA), o que comprova que os usuários tendem a escolher uma experiência com menos fricção em detrimento da segurança quando possível. Mesmo assim, é preciso manter os usuários seguros. Então, como oferecer menos fricção e maior segurança de contas?
Os sinais de reconhecimento nos dispositivos móveis são um dos métodos de autenticação que oferecem maior segurança com o mínimo de fricçãopossível. Ao usar os sensores de dispositivos móveis, é possível reconhecer anomalias no comportamento do usuário e do dispositivo, tais como comportamento de localização que não é padrão para aquela conta, por exemplo. A localização é comprovadamente o sinal de maior confiança para os dispositivos móveis. De acordo com alguns dados da rede da Incognia, 90% dos logins e 95% das transações sensíveis em aplicativos de serviços financeiros acontecem de um local confiável (um local bastante frequentado pelo usuário). É por isso que a Incognia oferece a autenticação zero-fator, uma abordagem que usa o método MFA apenas quando necessário, com base na identificação de anomalias no comportamento padrão do usuário. Se o comportamento do usuário for identificado como confiável, não há motivo para oferecer fricção adicional no acesso às contas.
Toda estratégia de MFA deve contar com a mais alta segurança e os métodos de menor fricção possíveis, sempre com o objetivo de equilibrar experiência do usuário e segurança digital . Uma autenticação 2FA será suficiente se os métodos de autenticação usados seguirem essas mesmas diretrizes.