A autenticação multifator (MFA) adiciona uma poderosa camada extra de segurança às suas contas. Isso ocorre porque, mesmo que alguém roube ou adivinhe sua senha, a MFA os impedirá em suas tentativas.

O que é autenticação multifator? 

Autenticação multifator (MFA) é um método de segurança de login que requer duas ou mais formas de verificação de identidade para acessar uma conta. Um "fator" geralmente é sua senha, e então você pode frequentemente escolher o outro fator.

Você também pode ouvir MFA ser chamada de:

• Autenticação de dois fatores (2FA)

• Verificação em duas etapas

Todos se referem à mesma ideia: proteger você com mais do que apenas uma senha. 

Por que senhas sozinhas não são suficientes 

Devido a hackers sofisticados, enormes violações de dados e, às vezes, nossos próprios hábitos não tão bons, senhas podem ser: 

• Adivinhadas 

• Reutilizadas em vários sites 

• Vazadas em violações de dados 

• Roubadas por golpes de phishing 

• Capturadas por malware 

Mesmo senhas superfortes (com mais de 16 caracteres) podem ser comprometidas se um site for violado – e não teve nada a ver com seus incríveis hábitos cibernéticos.  

MFA protege você exigindo uma segunda prova de identidade. Então, mesmo que um criminoso tenha sua senha, ainda não poderá acessar sua conta. Embora nenhuma defesa seja perfeita, a MFA reduz drasticamente seu risco. Pense desta forma: você está dobrando sua configuração de login, e, de muitas formas, você realmente dobra sua segurança.  

Como funciona a autenticação multifator?

Quando você habilita a MFA, seu processo de login adiciona um passo extra:

• Insira seu nome de usuário e senha.

• Verifique sua identidade de uma maneira secundária.

Esse segundo fator pode ser:

• Um código único enviado para seu número de telefone ou endereço de e-mail

• Um código único ou aprovação gerada em um aplicativo autenticador

• Uma impressão digital ou varredura facial

• Uma chave de segurança física

• Uma notificação de aprovação gerada por seu dispositivo

Alguns aplicativos, como aplicativos bancários, podem ter a MFA integrada em suas plataformas – como você aprovar um login para o site de seu banco através de seu aplicativo no celular.

A maioria dos sistemas modernos de MFA leva apenas alguns segundos. Embora nos atrase ligeiramente, esse inconveniente adiciona uma proteção enorme.

3 categorias de fatores de autenticação

Especialistas em segurança agrupam métodos de autenticação em três categorias:

1. Algo que você sabe

• Senhas

• PINS

• Perguntas de segurança

2. Algo que você tem

• Um aplicativo autenticador

• Chaves de segurança de hardware

• Seu smartphone

3. Algo que você é

• Impressão digital

• Reconhecimento facial

• Reconhecimento de voz

MFA combina fatores de diferentes categorias. Por exemplo:

• Senha (algo que você sabe) + aplicativo autenticador (algo que você tem)

• Senha (algo que você sabe) + impressão digital (algo que você é)  

Classificando tipos de MFA

Nem todos os métodos de MFA são iguais. Nós temos fatores favoritos!

1. Chaves de acesso

   Chaves de acesso são resistentes ao phishing e sem senha (sim, verdadeiramente). Elas usam chaves criptográficas armazenadas em seu dispositivo (algo que você tem) e normalmente requerem verificação biométrica (algo que você é).

2. Chaves de segurança de hardware

   Dispositivos físicos (como chaves USB ou NFC) que devem ser conectados ou tocados durante o login. Extremamente resistentes ao phishing. No entanto, você deve manter (ou seja, não perder) essas chaves.

3. Aplicativos autenticadores

   Aplicativos como Google Authenticator, Microsoft Authenticator ou Duo geram códigos baseados no tempo ou aprovações por push. Fortes e amplamente recomendados.

4. Códigos de mensagem de texto SMS

   Esta forma de MFA é comum e melhor do que nada, mas é vulnerável a troca de SIM e phishing.

5. Códigos de e-mail

   Assim como os códigos de mensagem de texto, os códigos de e-mail são convenientes, mas menos seguros se sua própria conta de e-mail não estiver protegida. Sempre ative a MFA para seu serviço de e-mail!

6. Perguntas de segurança

   Esta é uma forma antiga, mas ainda comum de MFA que é baseada em duas coisas que você sabe – sua senha e sua resposta a uma pergunta pessoal. As respostas, porém, são frequentemente baseadas em informações que podem ser adivinhadas ou encontradas online. Nós não recomendamos essas como um segundo fator.

Se possível, escolha chaves de acesso, chaves de hardware ou aplicativos autenticadores.

O que é uma chave de acesso? 

Nós dizemos que chaves de acesso são o futuro da segurança de login. Uma chave de acesso é um método de autenticação sem senha que usa: 

• Uma chave criptográfica armazenada em seu dispositivo 

• Verificação biométrica (como impressão digital ou Face ID) 

• Ou aprovação baseada em dispositivo 

Ao contrário das senhas, chaves de acesso não podem ser adivinhadas, reutilizadas ou enganadas em golpes de phishing no sentido tradicional. Elas são construídas com padrões da indústria projetados para eliminar muitos métodos de ataque comuns. 

De muitas maneiras, chaves de acesso funcionam como uma forma altamente segura de autenticação multifator sem exigir uma senha tradicional. 

Se um site lhe oferecer a opção de criar uma chave de acesso, aceite. Elas são:

• Fáceis de usar 

• Mais seguras que senhas 

• Resistentes ao phishing 

• Projetadas para um futuro sem senhas 

• Realmente simples de configurar, geralmente

Onde você deve habilitar a MFA?

Ative a MFA em todos os lugares que você puder.

Comece com suas contas mais sensíveis:

• E-mail

• Aplicativos bancários e financeiros

• Contas de investimento e aposentadoria

• Armazenamento na nuvem

• Redes sociais

• Sites de compras online

• Contas de trabalho e escola

Quase todas as contas hoje contêm dados pessoais que valem a pena proteger.

Se a MFA estiver disponível, ative-a.

A MFA pode ser hackeada?

A MFA é extremamente eficaz — mas não invencível. Existem algumas maneiras que os criminosos tentam contornar a MFA.

• Phishing: Criminosos enganam você para inserir tanto sua senha quanto seu código de MFA em um site falso. Eles podem ligar ou enviar mensagens sobre um problema urgente (“suspeitamos de cobranças fraudulentas!”) e pedir o código do texto de MFA separado.

• Fadiga de MFA, também conhecida como "Push Bombing": Enchendo você com solicitações de aprovação de login até que você acidentalmente aprove uma.

Se você receber um aviso de MFA e não estiver tentando fazer login:

Não o aprove.

Mude sua senha.

Revise a atividade da sua conta.

A MFA reduz drasticamente o risco, mas você ainda precisa continuar alerta.

Quanto a MFA lhe atrasa?

A MFA realmente lhe atrasa, especialmente se você usar vários aplicativos autenticadores ou estiver acostumado a navegar na web a velocidades rápidas, mas achamos que os segundos extras valem muito a segurança. A maioria dos métodos de autenticação adiciona apenas alguns segundos ao seu login. Usar uma chave de acesso pode ser tão simples quanto pressionar seu dedo ou sorrir para sua câmera.

Comparado ao tempo e ao estresse de recuperar uma conta hackeada, a MFA é um investimento minúsculo.

MFA o dia todo!

A MFA interrompe muitos ataques instantaneamente – você obtém muito mais proteção do que uma senha sozinha.

É um dos passos de segurança mais simples e eficazes que você pode tomar — esteja protegendo seu e-mail pessoal ou suas contas empresariais. Para mais dicas de cibersegurança, inscreva-se no nosso boletim informativo por e-mail gratuito.