O que é autenticação multifatorial?

Ao acessar um recurso protegido, você se autentica em um armazenamento de dados com suas informações de credencial. Ele consiste em uma identidade reivindicada e um segredo associado a ela. Tradicionalmente, isso é feito apenas com um nome de usuário e uma senha simples, e é o método de autenticação mais comum atualmente. Infelizmente, a autenticação por nome de usuário/senha tem se mostrado bastante vulnerável a phishing e invasão de credenciais. Como as senhas podem ser difíceis de lembrar, as pessoas tendem a escolher uma senha simples e reutilizá-la em seus vários serviços on-line e na nuvem. Isso significa que, quando uma credencial é hackeada em um serviço, pessoas mal-intencionadas de fora a testam em outros serviços digitais pessoais e profissionais. 

A autenticação multifatorial (MFA) foi criada para proteger contra esses e outros tipos de ameaças, exigindo que o usuário forneça dois ou mais métodos de verificação antes de obter acesso a um recurso específico, como um aplicativo, armazenamento de dados ou rede privada.

O termo "fator" descreve os diferentes tipos ou métodos de autenticação usados para verificar a identidade reivindicada de alguém. Os diferentes métodos são:

• Algo que você conhece, como uma senha, um PIN memorizado ou perguntas de desafio.
• Algo que você tenha - embora historicamente fosse um hard token, hoje é mais comum que seja um smartphone ou uma chave USB segura.
• Algo que você é - biometria comum é a impressão digital e o reconhecimento facial; menos comuns são biometrias como voz ou outras tecnologias de reconhecimento.

Como decido quantos fatores devo configurar para um recurso protegido?

Os requisitos de segurança e usabilidade determinam o processo usado para confirmar a reivindicação de identidade do solicitante. A autenticação multifatorial permite que as equipes de segurança respondam ao contexto ou à situação do solicitante (pessoa ou processo programático), sendo a remoção do acesso o cenário mais comum. Além de determinar quantos tipos de autenticação devem ser exigidos, a TI também precisa equilibrar o custo dos requisitos de usabilidade com o custo de implementá-los.

Autenticação de fator único (SFA)

A SFA foi e ainda é o padrão para garantir o acesso a informações e instalações móveis, on-line e outras informações e instalações seguras. Por ser tão onipresente e barato, o tipo mais comum de SFA é o nome de usuário e a senha. Ainda assim, as tecnologias sem senha estão sendo adotadas em um ritmo cada vez maior para evitar as ameaças representadas por vários ataques de phishing. Por exemplo, a maioria dos aplicativos móveis permite o uso de impressão digital ou reconhecimento facial no lugar do nome de usuário e senha tradicionais. 

Atualmente, os serviços on-line oferecidos pela Microsoft e pelo Yahoo oferecem uma opção de SFA sem senha, e outros fornecedores, como a Apple e o Google, oferecerão a mesma opção no próximo ano.

Como são usados para verificar identidades, os tokens de autenticação precisam ser protegidos contra pessoas de fora. Além da forte segurança dos tokens, eles costumam ser configurados para expirar com certa frequência, aumentando sua taxa de atualização. Embora a implementação de tokens de curta duração usados sob a interface sem senha aumente a segurança, ela não atinge o nível oferecido pela autenticação de dois fatores.

Autenticação de dois fatores (2FA)

A 2FA reforça a segurança exigindo que o usuário forneça um segundo tipo (saber, ter, ser) para verificação de identidade. Uma prova de identidade pode ser um token físico, como uma carteira de identidade, e a outra é algo memorizado, como um desafio/resposta, um código de segurança ou uma senha. Um segundo fator eleva significativamente o nível para que agentes mal-intencionados e outros agentes externos consigam violar a segurança. 

Aqui está uma lista comum de métodos de autenticação populares: 

• Senhas de uso único - TOTP, HOTP, YubiKey e outros dispositivos compatíveis com FIDO
• Outros fora de banda - chamada de voz, push móvel
• PKI - certificados
• Biometria - impressão digital, reconhecimento facial e de voz
• Proximidade - cartões, geo-fencing de aplicativos móveis
• O que você sabe - senhas, perguntas de desafio
• Credenciais sociais

Autenticação de três fatores (3FA) 

Adiciona outro fator a dois fatores para dificultar ainda mais a falsificação de uma identidade reivindicada. Um cenário típico pode ser adicionar biometria a um nome de usuário/senha existente, além de um login com cartão de proximidade. Como ele acrescenta um nível notável de atrito, deve ser reservado para situações que exigem um alto nível de segurança. Os bancos podem encontrar situações em que a 3FA faz sentido, assim como vários órgãos governamentais. Áreas específicas de alto controle dentro de uma parte de um aeroporto ou hospital também são áreas em que as equipes de segurança consideraram a 3FA necessária.

Onde a MFA é normalmente usada?

Embora muitas organizações considerem a verificação do usuário como uma reflexão tardia, é importante observar que o DBIR anual da Verizon mostra consistentemente o hacking de credenciais como uma das principais estratégias de violação. É simplesmente uma questão de tempo até que praticamente todas as organizações sofram um evento de perda de informações confidenciais que resulte em uma perda financeira tangível e na possível perda da confiança do cliente.

O que torna essas tendências notáveis é o fato de que nunca houve um momento em que a autenticação multifatorial fosse tão conveniente e acessível de implementar como hoje. Tradicionalmente, as organizações têm limitado suas implementações de MFA a um pequeno subconjunto de usuários especializados que trabalham com informações que representam um nível mais alto de risco para a empresa. O custo e a usabilidade costumam ser os fatores limitantes que impedem implementações mais amplas da tecnologia de autenticação forte. Historicamente, os métodos de autenticação forte eram caros para comprar, implementar (incluindo a inscrição dos usuários) e administrar. Mas, recentemente, houve uma série de mudanças radicais nos setores, nas próprias organizações, em seus clientes (ou pacientes, cidadãos, parceiros etc.) e na tecnologia a que eles têm acesso.

Quais são os principais motivadores comerciais para a implementação da autenticação multifatorial?

Embora cada organização tenha seus próprios requisitos concretos, há fatores de negócios de alto nível que são frequentemente comuns a todas elas: 

• A maioria dos setores precisa estar em conformidade com algum tipo de lei de privacidade referente a informações de clientes, pacientes ou financeiras. Além disso, as agências governamentais continuam a firmar suas políticas que exigem MFA para verificação da identidade do usuário.
• Trabalho remoto - mais do que nunca, os profissionais estão trabalhando fora do escritório, seja como guerreiros das estradas ou como funcionários remotos. Seja como parte de suas práticas de gerenciamento de riscos ou como parte de uma iniciativa de conformidade que abranja informações (cliente, paciente, cidadão, RH etc.) sujeitas a exigências de autenticação do governo.
• Os usuários avançados e as organizações em que trabalham fazem isso em um mundo conectado de forma generalizada, o que significa que, quando suas credenciais são violadas, a vulnerabilidade exposta ao empregador é uma força convincente para proteger suas contas com a MFA.
• Praticamente todas as pessoas têm um computador conectado (smartphone) no bolso, a partir do qual conduzem suas vidas: mídia social, conteúdo personalizado para o consumidor e comércio eletrônico. Como os clientes esperam interagir com as empresas digitalmente em seus dispositivos, as organizações geralmente adotam uma estratégia agressiva de aplicativos móveis que precisam de MFA para gerenciar seus riscos. 

Quais mandatos exigem que as organizações usem MFA para estar em conformidade?

• O Federal Financial Institutions Examination Council (FFIEC) emitiu orientações em outubro de 2005 exigindo que os bancos reavaliassem seus protocolos de login, considerassem a autenticação de fator único, quando usada como único mecanismo de controle, inadequada para transações de alto risco envolvendo acesso ou movimentação de fundos e aprimorassem a autenticação com base no risco do serviço. Além do mandato, as instituições financeiras também estão sujeitas a um alto nível de exigência para ganhar a confiança de seus clientes.
• Lei Gramm-Leach-Bliley (GLBA) - As instituições financeiras dos EUA devem garantir a segurança e a confidencialidade dos registros de seus clientes.
• A Seção 404 da Lei Sarbanes-Oxley (SOX) exige que o CEO e o CFO de empresas de capital aberto atestem a eficácia dos controles internos da organização.
• O Requisito 8.2 do PCI DSS define os requisitos de autenticação que incluem MFA para acesso remoto ao ambiente de dados do titular do cartão (CDE).  Ele também recomenda quais métodos devem ser usados.

Quais são algumas maneiras de tornar a MFA menos intrusiva na experiência do usuário?

A TI tem acesso a algumas tecnologias para reduzir o atrito que a MFA pode potencialmente impor aos usuários:

• Logon único.
• Avaliação de risco de uma solicitação de acesso.
• Combine o melhor tipo de autenticação com o usuário.

Logon único (SSO)

O logon único (SSO) permite que um usuário se autentique em vários recursos a partir de uma única interação do usuário, o que significa que o usuário insere uma única credencial a partir da qual a infraestrutura abaixo dele se autentica em cada um dos recursos protegidos em seu nome durante essa sessão. A abordagem mais segura para o SSO é que o mecanismo de autenticação use um conjunto exclusivo de credenciais para cada recurso configurado para SSO. Isso aumenta a segurança em um nível alto porque:

• O usuário não conhece a credencial real do recurso, mas apenas a credencial usada fornecida ao gateway de autenticação. Isso força o usuário a usar o gateway de autenticação em vez de ir diretamente ao recurso. Isso também significa que cada recurso tem uma credencial exclusiva, portanto, se o armazenamento de identidade de um deles for violado, isso não comprometerá os outros. Essa abordagem permite que a TI cumpra os requisitos de MFA enquanto realiza autenticações em série para recursos protegidos.  
• Ao aproveitar o contexto do usuário, a tecnologia baseada em risco (RBA) pode ser usada para invocar a MFA somente quando necessário. Seja para atender a uma exigência governamental ou para aplicar a política de gerenciamento de riscos da organização, o RBA pode ser usado para reduzir as instâncias em que uma solicitação de autenticação é imposta a um usuário. As políticas são geralmente uma combinação de local, dispositivo e horário de acesso. 

Opções de autenticação de baixo atrito

Embora as OTPs/TOTPs tradicionais continuem a ser o tipo mais comum de autenticação de segundo fator, pode haver outras opções que façam mais sentido para uma determinada situação. Os aplicativos móveis push fora da banda oferecem uma opção de baixo atrito para OTP, pois tudo o que o usuário precisa fazer é apertar o botão de aceitação. Para situações de maior risco, alguns aplicativos push têm a opção Os aplicativos push para dispositivos móveis podem ser configurados para exigir uma impressão digital para verificar a identidade da pessoa, bem como uma confirmação das informações, como um número, apresentadas no desktop para verificar ainda mais se o usuário possui o desktop e o smartphone.

O reconhecimento facial está se tornando rapidamente a autenticação biométrica preferida. A natureza de baixo atrito do Windows Hello, observando que ele melhora com o tempo, oferece uma experiência de usuário conveniente. O maior desafio é que o Windows Hello não funciona bem em várias situações de iluminação. Essa falha no reconhecimento de rostos em todas as luzes pode ser gerenciada com registros faciais adicionais. Mais recentemente, alguns aplicativos móveis oferecem a capacidade de registrar os padrões da íris dos olhos de uma pessoa. Usadas em conjunto (facial, impressão digital, íris), as opções de autenticação biométrica elevam bastante o nível de segurança para que uma pessoa de fora possa ser derrotada. Os métodos biométricos também são uma excelente opção para as organizações que buscam uma forma de baixo atrito para se proteger contra ataques de phishing.

O reconhecimento de voz ganhou popularidade no setor de serviços financeiros. As instituições gostam dele porque é totalmente passivo para os clientes enquanto eles falam com um representante de atendimento. O representante é notificado quando a identidade do cliente é verificada. Eles usam o reconhecimento de voz no lugar de perguntas de desafio com clientes que frequentemente têm dificuldade para lembrar as respostas corretas. Nesse caso, a segurança e a usabilidade são otimizadas.

FIDO/FIDO2 são opções atraentes para os casos em que os usuários se deslocam por vários dispositivos. Parte do que torna a FIDO uma opção de autenticação atraente é seu amplo suporte a fornecedores e seu foco na usabilidade. A FIDO ganhou notável força nas universidades que lidam com um grande número de alunos que usam uma variedade de serviços digitais. O FIDO permite a portabilidade da autenticação sem senha em diferentes dispositivos e plataformas.

O perfil dos gestos do smartphone é um tipo de análise comportamental que executa heurísticas sobre como o proprietário manuseia e interage fisicamente com seu dispositivo. O resultado são classificações de confiança com base nos padrões de gestos de rastreamento. Com o tempo, a criação de perfis aumenta a confiança e desenvolve a fidelidade do gesto. Embora inicialmente não seja forte o suficiente para ser a principal forma de verificação de identidade, o perfil de gestos pode servir como um método adequado usado em conjunto com outros tipos de autenticação.

Como o NetIQ é diferente de outras soluções de MFA?

As equipes de segurança geralmente implementam o software de suporte que acompanha a autenticação que estão adotando. Isso parece funcionar bem até que sejam adquiridos dispositivos diferentes que exijam uma implementação de software diferente, criando mais um silo. Em grandes organizações, é bem possível ter vários silos de tecnologias sem senha usadas para autenticação multifatorial ou para atender a algum outro requisito de autenticação. O ponto fraco dessa situação é que cada silo de autenticação tem seu próprio conjunto de políticas. Manter esses vários armazenamentos de políticas atualizados exige uma sobrecarga administrativa maior e introduz o risco de ter políticas irregulares.

OpenText™ O NetIQ™ Advanced Authentication foi projetado para atender às necessidades de autenticação multifatorial até mesmo das maiores organizações. Sua abordagem baseada em padrões oferece uma arquitetura aberta, livre dos riscos de dependência do vendedor. A estrutura é compatível com uma variedade de dispositivos e métodos adicionais prontos para uso, mas também pode ser expandida à medida que novas tecnologias são lançadas no mercado.

Independentemente da plataforma (Web, móvel, cliente), o AA também oferece suporte imediato para as plataformas e os aplicativos mais comuns. Além de servir como mecanismo de política central para autenticações em toda a empresa, o AA também oferece um mecanismo baseado em risco para controlar quando a MFA é invocada, bem como para controlar quais tipos de autenticação são oferecidos em diferentes níveis de risco. Além de seu próprio mecanismo incorporado, o AA se integra ao NetIQ Access Manager, que fornece um conjunto robusto de opções de logon único e métricas de risco que podem ser usadas como parte de casos de uso de gerenciamento de acesso adaptável.