A autenticação multifatorial (MFA) é um excelente equilíbrio entre segurança e conveniência quando se trata de proteger as contas e dados dos seus usuários. Implementar um sistema eficaz de MFA ajuda a sua empresa a manter a conformidade com as regulamentações de proteção de dados e a reduzir sua responsabilidade legal se a conta de um usuário for comprometida.

No entanto, nenhuma medida de segurança é infalível, e fazer a MFA funcionar em toda a sua organização pode envolver alguns desafios que você precisará superar.

O que é Autenticação Multifatorial (MFA)?

A MFA exige que os usuários forneçam duas ou mais categorias diferentes de evidências comprovando sua identidade antes de permiti-los fazer login. Os fatores de autenticação são geralmente categorizados em:

• Algo que você sabe (como uma senha ou PIN)

• Algo que você tem (como seu dispositivo móvel ou uma chave de autenticação)

• Algo que você é (como reconhecimento facial, impressões digitais e outras biometrías)

A maioria dos sistemas de MFA pede algo que você sabe e algo que você tem. Em outras palavras, para obter acesso não autorizado a uma conta protegida com MFA, um invasor precisaria ter acesso ao dispositivo móvel do usuário e saber seu nome de usuário e senha.

Baixa Taxa de Adoção

Um dos primeiros desafios que uma organização pode enfrentar ao implementar a autenticação multifatorial é fazer com que as pessoas a utilizem. 68% das pessoas não usam MFA em todos os lugares onde está disponível. Infelizmente, muitos usuários veem a etapa adicional de segurança como um inconveniente que evitarão, se possível. Isso é especialmente verdade se não estiverem cientes da segurança adicional que lhes oferece. A autenticação multifatorial pode proteger as empresas de ataques que podem resultar em grandes violações de dados. Basta perguntar à Uber. Em 2016, hackers roubaram dados pessoais de 57 milhões de pessoas ao obter acesso não autorizado à rede da Uber, e não foi um ataque sofisticado. Na verdade, um desenvolvedor de software da Uber, inadvertidamente, deixou suas credenciais de usuário expostas em código que compartilharam no GitHub. Qualquer pessoa com acesso ao repositório GitHub poderia então fazer login na conta de desenvolvedor da Uber e acessar dados confidenciais. Qualquer forma de autenticação multifatorial teria evitado esse método de ataque.

Como resultado, a melhor maneira de mitigar esse desafio é tornar a MFA o mais conveniente possível, permitindo que as pessoas autentiquem com métodos que já utilizam, como mensagens de texto ou um aplicativo de autenticação. Isso significa que seu sistema de MFA não adiciona aos muitos sistemas de autenticação e login diferentes que os usuários precisam gerenciar e lembrar em suas muitas contas.

Tentativas de Phishing Automatizadas

Aumentar a quantidade de informações ou acesso que um usuário não autorizado precisa para fazer login torna mais difícil para os atacantes conseguirem tudo o que precisam por meio de phishing. No entanto, não é impossível, e ao solicitar as informações corretas, um atacante pode interceptar mensagens de autenticação enviadas para um dispositivo pessoal ou se passar por um dispositivo de um usuário para fazer login.

Os sistemas de autenticação multifatorial mais sofisticados estão se tornando cada vez mais resistentes a esse método de ataque. A menos que você eduque seus usuários sobre como identificar tentativas de phishing automatizadas e como responder a elas, mesmo um sistema de MFA resistente ao phishing não impedirá todos os ataques.

Dispositivos Pessoais

Dispositivos pessoais como telefones e laptops são frequentemente usados como parte dos processos de autenticação multifatorial, como enviar códigos de autenticação via SMS ou e-mail ou usar um aplicativo para gerar uma chave de autenticação.

Dispositivos pessoais como esses são frequentemente um dos elos mais fracos na segurança de contas de usuário, além dos próprios usuários. Existem inúmeras maneiras pelas quais usuários mal-intencionados podem interceptar dados destinados a um dispositivo pessoal ou fingir estar se conectando a partir de um dispositivo legítimo de usuário. E, claro, eles podem simplesmente ser roubados ou controlados remotamente, dando a um invasor acesso a qualquer login salvo ou dados não protegidos no dispositivo.

Usar dispositivos pessoais na autenticação multifatorial é frequentemente um compromisso necessário, apesar desses desafios. É o método de MFA mais fácil para a maioria dos usuários. Também ajuda a aumentar o número de pessoas que optam por usar seu sistema de autenticação multifatorial. Os riscos potenciais dos dispositivos pessoais podem ser mitigados seguindo as melhores práticas para o uso de dispositivos em casa e no trabalho. Para maior segurança, as empresas podem incentivar clientes e empregadores a usarem métodos de autenticação baseados em hardware, como geradores de chave. De acordo com o Google, contas do Google protegidas por autenticação baseada em hardware eram imunes a quase todos os ataques de phishing automatizados e em massa.

Relato de Potenciais Violações de Segurança

Em média, leva quase 200 dias para que uma violação de segurança seja identificada. É vital educar seus usuários sobre a importância de relatar imediatamente possíveis violações de segurança, dando tempo para restringir o acesso às suas contas antes que mais danos sejam causados. Isso é particularmente relevante ao usar sistemas de MFA que exigem contas adicionais ou o uso de um dispositivo pessoal, como um telefone.

A menos que você deixe isso claro para eles, os usuários podem não perceber imediatamente que algo pode comprometer a segurança de sua conta. Por exemplo, suponha que o telefone de um usuário seja roubado ou que sua conta de e-mail seja hackeada. Eles usaram aquele telefone ou e-mail para autenticar com o seu sistema. Nesse caso, o ladrão pode já ter acesso ou os detalhes que precisa para acessar outras contas.

Suponha que os usuários não entendam que isso pode comprometer uma conta que possuem com sua empresa. Nesse caso, você pode não descobrir sobre a possível violação de segurança até que seja tarde demais para agir. Portanto, é também essencial ajudar os usuários a compreender como identificar os sinais de que uma conta foi comprometida para que possam relatar o problema mais rapidamente.

Sinais comuns de uma conta online comprometida incluem:

• A senha foi alterada.

• O usuário recebeu e-mails sobre mudança de senha ou informações da conta que não solicitou.

• O usuário recebeu e-mails de phishing, que podem ser facilmente feitos com qualquer uma das plataformas populares de marketing por e-mail, contendo dados pessoais associados a uma conta.

• O usuário recebeu notificações sobre tentativas de login de locais ou endereços IP desconhecidos.

Conclusão

A autenticação multifatorial, como qualquer outro sistema de segurança, não é infalível. No entanto, dificulta significativamente a vida de um potencial invasor, tornando sua organização e seus usuários um alvo menos atraente para fraudes e roubos de dados. É vital implementar a autenticação multifatorial de maneira conveniente para seus usuários, pois não pode proteger suas contas se eles não quiserem usá-la.