Quando se trata de métodos de MFA existem diversas opções disponíveis para sua implementação. No entanto, é necessário compreender que não existe uma abordagem do tipo “solução única para todos os casos”. Em vez disso, a equipe de segurança da informação deve selecionar as alternativas que estejam mais alinhadas com seus casos de uso e representem a experiência de menor atrito para os usuários para garantir uma ampla adoção. As opções de MFA mais comuns incluem:
Perguntas de segurança: Uma ou mais podem ser usadas como forma mais simples de autenticação, usando algo que o usuário conhece.
Senhas de uso único ( One-Time Password – OTP): enviadas por e-mail ou mensagem SMS e podem ser usadas como um segundo fator para fins de autenticação.
Tokens OATH TOTP ( Open Authentication Time-Based One Time Password ): padrão aberto que especifica como os códigos de senha única (OTP) são gerados. OATH TOTP pode ser implementado usando software ou hardware para gerar os códigos. Para autenticar usando TOTP (senha única baseada em tempo), o usuário insere um código de 6 a 8 dígitos que muda a cada 30 segundos. O código é gerado usando HMAC (segredo compartilhado, timestamp ), em que o timestamp muda a cada 30 segundos.
Notificações push móveis: As notificações push móveis para um aplicativo de autenticação móvel para dispositivos iOS e Android permitem um simples deslizar após desbloquear o smartphone para verificar a autenticação.
Chaves de autenticação em hardware ( Hardware OATH) - normalmente vêm na forma de um smartcard ou USB eToken usado como senha única segura que pode ser usada para autenticação multifator (MFA). É uma arquitetura de referência aberta para implementar autenticação forte. O algoritmo de criptografia é um padrão de código aberto e, como tal, está amplamente disponível.
Cabe ressaltar que o uso da 2FA ainda é extremamente irregular, com apenas 32,4% dos entrevistados utilizando esse método para todos os aplicativos. 37,9% dos entrevistados utilizavam a 2FA para apenas alguns aplicativos. Infelizmente, muitas pessoas ainda não usam MFA consistentemente pois consideram as etapas de segurança adicional como uma inconveniência que elas evitarão se possível.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Comments