A autenticação multifator (MFA) é um excelente equilíbrio entre segurança e conveniência quando se trata de proteger as contas e os dados dos seus utilizadores. Implementar um sistema de MFA eficaz ajuda a sua empresa a manter a conformidade com os regulamentos de proteção de dados e a reduzir a sua responsabilidade legal se a conta de um utilizador for comprometida.

No entanto, nenhuma medida de segurança é infalível, e fazer com que a MFA funcione em toda a sua organização pode envolver alguns desafios que terá de ultrapassar.

O que é a Autenticação Multifator (MFA)?

A MFA exige que os utilizadores forneçam duas ou mais categorias diferentes de provas que comprovem a sua identidade antes de lhes permitir iniciar sessão. Os fatores de autenticação são normalmente categorizados em:

• Algo que sabe (como uma palavra-passe ou PIN)

• Algo que tem (como o seu dispositivo móvel ou um token de chave de autenticação)

• Algo que é (como reconhecimento facial, impressões digitais e outros dados biométricos)

A maioria dos sistemas de MFA pede algo que sabe e algo que tem. Por outras palavras, para obter acesso não autorizado a uma conta protegida com MFA, um atacante teria de ter acesso ao dispositivo móvel de um utilizador e saber o seu nome de utilizador e palavra-passe.

Baixas Taxas de Adoção

Um dos primeiros desafios que uma organização pode enfrentar ao implementar autenticação multifator é conseguir que as pessoas a utilizem, antes de mais. 68% das pessoas não utilizam MFA em todos os locais onde ela está disponível. Infelizmente, muitos utilizadores veem a etapa adicional de segurança como um inconveniente que evitarão, se possível. Isto é especialmente verdade se não tiverem consciência da segurança adicional que ela lhes oferece. A autenticação multifator pode proteger as empresas de ataques que podem resultar em enormes fugas de dados. Basta perguntar à Uber. Em 2016, os hackers roubaram os dados pessoais de 57 milhões de pessoas ao obterem acesso não autorizado à rede da Uber, e não foi um ataque sofisticado. Em vez disso, um programador de software da Uber tinha, inadvertidamente, deixado as suas credenciais de utilizador expostas em código que partilhou no GitHub. Qualquer pessoa com acesso ao respetivo repositório GitHub podia então iniciar sessão na conta de programador da Uber e aceder a dados sensíveis. Qualquer forma de autenticação multifator teria impedido este método de ataque.

Como resultado, a melhor forma de atenuar este desafio é tornar a MFA o mais conveniente possível, permitindo que as pessoas autentiquem com métodos que já utilizam, como mensagens de texto ou uma aplicação de autenticação. Isto significa que o seu sistema de MFA não acrescenta mais sistemas de autenticação e início de sessão aos muitos que os utilizadores têm de gerir e memorizar nas suas várias contas.

Tentativas Automatizadas de Phishing

Aumentar a quantidade de informação ou de acesso de que um utilizador não autorizado precisa para iniciar sessão torna mais difícil para os atacantes obterem tudo o que precisam através de phishing. No entanto, não é impossível e, ao fazer phishing pela informação certa, um atacante pode intercetar mensagens de autenticação enviadas para um dispositivo pessoal, ou personificar o dispositivo de um utilizador para conseguir iniciar sessão.

Os sistemas de autenticação multifator mais sofisticados estão a tornar-se cada vez mais resistentes a este método de ataque. A menos que eduque os seus utilizadores sobre como detetar tentativas automatizadas de phishing e como reagir a elas, mesmo um sistema de MFA resistente a phishing não impedirá todos os ataques.

Dispositivos Pessoais

Dispositivos pessoais, como telemóveis e computadores portáteis, são frequentemente utilizados como parte dos processos de autenticação multifator, como o envio de códigos de autenticação via SMS ou email, ou através da utilização de uma aplicação para gerar uma chave de autenticação.

Dispositivos pessoais como estes são frequentemente um dos elos mais fracos na segurança das contas dos utilizadores, para além dos próprios utilizadores. Existem inúmeras formas de utilizadores maliciosos intercetarem dados destinados a um dispositivo pessoal ou fingirem que estão a ligar-se a partir do dispositivo de um utilizador legítimo. E, claro, podem simplesmente ser roubados ou controlados remotamente, dando a um atacante acesso a quaisquer logins guardados ou dados desprotegidos no dispositivo.

Utilizar dispositivos pessoais na autenticação multifator é muitas vezes um compromisso necessário, apesar destes desafios. É o método de MFA mais fácil para a maioria dos utilizadores. Também ajuda a aumentar o número de pessoas que escolhem utilizar o seu sistema de autenticação multifator. Os riscos potenciais dos dispositivos pessoais podem ser atenuados seguindo boas práticas para utilizar dispositivos em casa e no trabalho. Para maior segurança, as empresas podem incentivar clientes e colaboradores a utilizar métodos de autenticação baseados em hardware, como geradores de chaves. De acordo com a Google, as Contas Google que estavam protegidas por autenticação baseada em hardware eram imunes a quase todos os ataques de phishing automatizados e em massa.

Relato de Potenciais Incidentes de Segurança

Em média, demoram quase 200 dias até que uma violação de segurança seja identificada. É vital educar os seus utilizadores sobre a importância de comunicar imediatamente potenciais incidentes de segurança, dando-lhe tempo para restringir o acesso às suas contas antes que sejam causados mais danos. Isto é particularmente relevante quando se utilizam sistemas de MFA que exigem contas adicionais ou a utilização de um dispositivo pessoal, como um telemóvel.

A menos que lhes deixe isso claro, os utilizadores podem não se aperceber de imediato de que algo pode comprometer a segurança da sua conta. Por exemplo, suponha que o telemóvel de um utilizador é roubado, ou a sua conta de email é pirateada. Utilizaram esse telemóvel ou email para se autenticar no seu sistema. Nesse caso, o ladrão pode já ter acesso, ou os detalhes de que precisa para aceder a outras contas.

Se os utilizadores não entenderem que isto pode comprometer uma conta que têm com a sua empresa, poderá não descobrir a possível violação de segurança até ser demasiado tarde para agir. Por isso, também é essencial ajudar os utilizadores a compreender como identificar os sinais de que uma conta foi comprometida, para que possam comunicar o problema mais rapidamente.

Os sinais comuns de uma conta online comprometida incluem:

• A palavra-passe foi alterada.

• O utilizador recebeu emails sobre uma alteração da palavra-passe ou das informações da conta que não solicitou.

• O utilizador recebeu emails de phishing, que podem ser facilmente enviados com qualquer uma das plataformas populares de email marketing, contendo dados pessoais associados a uma conta.

• O utilizador recebeu notificações sobre tentativas de início de sessão a partir de localizações ou endereços IP desconhecidos.

Conclusão

A autenticação multifator, como qualquer outro sistema de segurança, não é infalível. No entanto, torna a vida significativamente mais difícil para um potencial atacante, tornando a sua organização e os seus utilizadores um alvo menos atrativo para fraude e roubo de dados. É vital implementar a autenticação multifator de uma forma conveniente para os seus utilizadores, no entanto, uma vez que não pode proteger as suas contas se eles não quiserem utilizá-la.