.png)
.png)
1. Motivação
A incerteza em torno da segurança do uso exclusivo de credenciais de login (conta e senha), como forma de autenticação de usuários, não é algo novo. Boa parte de pesquisadores e profissionais em segurança da informação duvidam de sua eficácia há décadas.
Em 2020, os pesquisadores de segurança cibernética da Digital Shadows Photon Research Team , após uma pesquisa de mais de 2 anos, determinaram que foram vendidas na Dark Web mais de 15 bilhões de credenciais resultantes de mais de 100.000 vazamentos de dados e publicaram essas descobertas no relatório intitulado “ From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover ” (esta referência está disponível em https://resources.digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover ).
Em 2021, o Brasil ficou no topo de vazamento de informação no mundo, com mais de 227 milhões de dados de brasileiros expostos ( https://www.cnnbrasil.com.br/tecnologia/em-2021-brasil-ficou-no-topo-de-vazamento-de-informacao-no-mundo-diz-especialista/ ).
A existência de enormes repositórios de dados com milhões de credenciais de login ( usernames, e-mails e senhas) sendo negociados na Dark Web não é uma surpresa para muitos especialistas em segurança. É apenas mais uma prova de que a identidade se tornou o novo perímetro de segurança e o campo de batalha para mitigar ataques cibernéticos que se fazem passar por usuários legítimos.
2. Autenticação Multi-fator (MFA)
Em vez de confiar apenas na autenticação de fator único, ou seja, na autenticação baseada exclusivamente em nomes de usuário e senhas, os profissionais de segurança têm considerado a adição de camadas de segurança adicional para seus controles de acesso, implementando uma autenticação multifator (MFA).
De fato, em 31 de agosto de 2021, a Cybersecurity and Infrastructure Security Agency (CISA) incluiu a autenticação de fator único na sua lista de práticas ruins de segurança da informação,
(https://www.msspalert.com/cybersecurity-news/cisa-single-factor-authentication-concerns/ ). A lista de práticas ruins da CISA descreve práticas de segurança que devem ser evitadas por serem consideradas excepcionalmente arriscadas.
De acordo com a CISA,
“O uso de autenticação de fator único para acesso remoto ou administrativo a sistemas que suportam a operação de Infraestrutura Crítica e Funções Críticas Nacionais é perigoso e eleva significativamente o risco à segurança nacional, segurança econômica nacional e saúde e segurança públicas nacionais. Essa prática perigosa é especialmente flagrante em tecnologias acessíveis pela Internet. ”
A autenticação multifator (MFA) é baseada em uma abordagem em camadas, com dois ou mais tipos de autenticação. Um dos principais objetivos da MFA é a adição de fatores de autenticação para uma maior segurança no processo.
Os três fatores de autenticação de usuários mais comumente utilizados são:
Conhecimento: algo do conhecimento do usuário, como uma senha ou uma pergunta pessoal.
Posse: algo de posse do usuário, como uma chave de segurança ou um token .
Inerência: algo inerente ao usuário, como dados de biometria ou comportamento únicos.
A autenticação de dois fatores (2FA) requer dos usuários apenas dois métodos de autenticação, enquanto a MFA requer pelo menos dois ou mais métodos de autenticação. É importante ressaltar que quantos mais métodos forem incorporados ao processo, maior o atrito (esforço necessário para autenticar a conta) para o usuário.
A figura a seguir apresenta exemplos de autenticação 2FA e MFA.
A maioria das organizações é muito hábil e rápida em se adaptar a novas tecnologias para obter melhores resultados de negócios ou produtividade, mas isso raramente é o caso quando se trata de melhorar sua postura geral de segurança.
Os benefícios do uso de autenticação MFA não estão limitados à área de TI. Embora seja do conhecimento geral que o uso de MFA pode proteger contra acesso não autorizado, violação de dados e ataques cibernéticos baseados em senha, os benefícios do uso da MFA vão muito além da segurança e essas são implicações que devem ser de conhecimento tanto da alta administração da organização bem como de seus usuários, internos e externos.
Dentre os benefícios esperados pelo uso de autenticação MFA temos:
Maior confiança dos usuários e da cadeia de suprimentos – a segurança está começando a desempenhar um grande papel na forma como uma organização é percebida por outras pessoas no setor e, mais importante, por seus usuários. Isso inclusive pode ser o fator decisivo numa decisão de estabelecimento de acordos entre organizações. Ressaltar o compromisso da organização com a segurança, adotando em conjunto com a MFA um padrão Zero Trust Security , por exemplo, tem um alto impacto na percepção dos usuários e potenciais parceiros.
Redução dos custos operacionais – o bom uso de autenticação MFA pode reduzir sensivelmente os custos operacionais de uma organização. Basta, por exemplo, calcular quanto custa cada vez que uma organização precisa notificar seus usuários sobre atividades suspeitas em suas contas. A autenticação MFA reduz sensivelmente o risco de fraude, exigindo menos esforços de suporte técnico e deixando a equipe de serviço livre para se concentrar em problemas mais técnicos ou de negócios. Embora a implantação da MFA certamente irá exigir um investimento inicial, esse custo se pagará muitas vezes a longo prazo.
Melhor controle do roubo e fraude de identidade – o roubo de senhas tem se tornado trivial para a maioria dos invasores. A autenticação MFA torna essa atividade muito mais difícil ao exigir dois ou mais métodos de verificação de identidade. Isso leva automaticamente a uma redução significativa no número de fraudes e roubo de identidade que as organizações enfrentam regularmente, graças as medidas de segurança adicionais implantadas e informações que não estão facilmente disponíveis para agentes mal-intencionados.
Vale ressaltar que a Secretaria de Segurança da Informação e Cibernética (SSSIC) também recomenda aos usuários das diversas organizações, além das orientações apresentadas nesta OSIC, que:
promovam, divulguem e incentivem o uso do múltiplo fator de autenticação (MFA); e
informem imediatamente à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) de sua instituição a ocorrência de um incidente cibernético.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Comments