Como funciona a Autenticação Multi-Factor?
A autenticação multi-factor (AMF) utiliza múltiplas tecnologias para autenticar a identidade de um utilizador. Em contraste, a autenticação por fator único (ou simplesmente "autenticação") usa uma única tecnologia para provar a autenticidade do usuário. Com o AMF, os usuários devem combinar tecnologias de verificação de pelo menos dois grupos diferentes ou fatores de autenticação. Estes fatores se encaixam em três categorias: algo que você sabe, algo que você tem, e algo que você é. É por isso que usar um PIN com senha (ambos da categoria "algo que você sabe") não seria considerado autenticação multi-factor, enquanto que usar um PIN com reconhecimento facial (da categoria "algo que você é") seria. Note que não é necessária uma senha para se qualificar para o AMF. Uma solução AMF pode ser totalmente sem senhas.
Também é aceitável a utilização de mais de dois métodos de autenticação. Contudo, a maioria dos utilizadores quer uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de efectuar uma verificação).
Que factores de autenticação são usados no AMF?
A seguir estão as três categorias principais:
- Algo que você sabe (fator de conhecimento
)Isto é normalmente uma senha, PIN ou senha, ou um conjunto de perguntas de segurança e suas correspondentes respostas conhecidas apenas pelo indivíduo. Para utilizar um fator de conhecimento para AMF, o usuário final deve inserir corretamente as informações correspondentes aos detalhes previamente armazenados na aplicação online. - Algo que você tem (fator de posse
)Antes dos smartphones, os usuários carregavam tokens ou smartcards que geravam uma senha ou senha única (OTP) que podia ser inserida na aplicação online. Atualmente, a maioria dos usuários instala um aplicativo autenticador em seu smartphone para gerar chaves de segurança OTP. - Algo que você é (fator de herança
)Dados biométricos sobre um indivíduo variam de impressões digitais, varreduras de retina, reconhecimento facial e reconhecimento de voz a comportamentos (como o quão difícil ou rápido a pessoa digita ou desliza em uma tela).
Para conseguir a autenticação multi-factor, pelo menos duas tecnologias diferentes de pelo menos dois grupos tecnológicos diferentes devem ser usadas para o processo de autenticação. Como resultado, o uso de um PIN associado a uma senha não seria considerado autenticação multi-factor, enquanto que o uso de um PIN com reconhecimento facial como um segundo factor seria. Também é aceitável o uso de mais de duas formas de autenticação. Contudo, a maioria dos utilizadores quer cada vez mais uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de efectuar uma verificação)
Qual é a diferença entre autenticação de dois factores e autenticação multi-factor?
Para ser considerada autenticação de dois factores (2FA), uma solução requer sempre que o utilizador apresente dois factores de autenticação de duas categorias diferentes, como um factor de posse e um factor de conhecimento, para verificar a sua identidade. A autenticação multi-factor é mais ampla do que a autenticação de dois factores. Requer que a organização utilize dois ou mais fatores no processo de autenticação.
Quais são os diferentes tipos de tecnologias de autenticação multi-factor?
A seguir estão as tecnologias comuns da AMF:
- Autenticação biométricaAs
tecnologiasbiométricassão uma forma de autenticação que autenticam os utilizadores de forma precisa e segura através dos seus dispositivos móveis. As modalidades biométricas mais comuns são a digitalização de impressões digitais e o reconhecimento facial. A autenticação biométrica também inclui a biometria comportamental, que proporciona uma camada invisível de segurança ao autenticar continuamente um indivíduo com base nas formas únicas de interagir com o seu computador ou dispositivo móvel: toques no teclado, padrão de deslize, movimentos do rato, e muito mais. - Fichas de hardwareOs
autenticadores dehardwaresão dispositivos pequenos e fáceis de usar que um proprietário carrega para autorizar o acesso a um serviço de rede. Ao suportar uma autenticação forte com códigos de acesso únicos (OTPs), os tokens físicos fornecem um factor de posse para autenticação multi-factor, ao mesmo tempo que permitem uma maior segurança para bancos e fornecedores de aplicações que precisam de proteger várias aplicações com um único dispositivo. - Autenticação móvelA
autenticaçãomóvelé o processo de verificação de um utilizador através do seu dispositivo Android ou iOS ou a verificação do próprio dispositivo. Esta tecnologia permite que os usuários façam login em locais seguros e acessem recursos de qualquer lugar com segurança aprimorada. - Autenticação fora da banda Este
tipo de autenticação requer um método de verificação secundário através de um canal de comunicação separado, normalmente a conexão de Internet da pessoa e a rede sem fio na qual seu telefone celular opera. Estes são exemplos de tecnologias fora da banda:- Código Cronto®Este
código colorido do tipo QR pode autenticar ou autorizar uma transação financeira. O indivíduo vê este código colorido do tipo QR exibido através do seu navegador da web. Somente o dispositivo registrado da pessoa pode ler e decodificar o código. Ele contém detalhes da transação que o usuário pode verificar antes de concluir a transação, o que a torna muito segura. - Notificação PushAs
notificaçõesPushfornecem um código de autenticação ou um código de acesso único no dispositivo móvel do usuário. Ao contrário de uma mensagem SMS, a notificação aparece no ecrã de bloqueio do dispositivo. - Mensagem de texto SMS ou mensagem de voz Uma vez
os códigos de acesso são entregues no dispositivo móvel do utilizador através de uma mensagem de texto SMS ou uma mensagem de voz. - Soft tokenSoftware
autenticadores ou "tokens baseados em aplicativos" geram um PIN de login único. Muitas vezes esses tokens de software são usados para casos de uso de AMF onde o dispositivo do usuário - neste caso, um smartphone - fornece o fator de posse.
- Código Cronto®Este
Porque é que as organizações precisam de autenticação multi-factor?
A fraude de takeover (ATO) é uma ameaça crescente de cibersegurança, alimentada por engenharia social sofisticada (ou seja, ataques de phishing), malware móvel, e outros ataques. Os métodos de AMF devidamente concebidos e implementados são mais fiáveis e eficazes contra ataques sofisticados do que a autenticação desactualizada de nome de utilizador/palavra-chave de factor único, que pode ser facilmente comprometida por cibercriminosos através de ferramentas de hacking amplamente disponíveis.
Quais são alguns dos principais benefícios do AMF?
Como parte da sua estratégia de segurança, as organizações utilizam o AMF para alcançar os seus objectivos:
-
Melhor
autenticação desegurançaMulti-factorfornece maior segurança sobre senhas estáticas e processos de autenticação de factor único. -
Conformidade regulamentarA
autenticação devários factorespode ajudar as organizações a cumprir os seus regulamentos do sector. Por exemplo, o AMF é necessário para satisfazer o requisito de autenticação forte do PSD2 para Autenticação Forte de Clientes (SCA). -
Melhor experiência do usuárioA quebra da
confiança em senhas pode melhorar a experiência do cliente. Ao concentrar-se em desafios de autenticação de baixa fricção, as organizações podem aumentar a segurança e melhorar a experiência do utilizador.
Como a computação em nuvem está causando um impacto no AMF?
Bancos, instituições financeiras e outras organizações de serviços financeiros estão começando a mudar de aplicativos hospedados internamente em favor de aplicativos de software como serviço (SaaS) baseados em nuvem, como o Office 365, Salesforce, Slack e OneSpan Sign. Como resultado, a quantidade de dados sensíveis e arquivos hospedados na nuvem está aumentando, elevando o risco de uma violação de dados de informações pessoais comprometidas (PII) que impulsiona as aquisições de conta. Para aumentar o risco de segurança, os usuários de aplicativos SaaS podem estar localizados em qualquer lugar, não apenas dentro das redes corporativas. As camadas extras de segurança fornecidas pelo AMF versus a simples proteção por senha podem ajudar a combater esses riscos. Além dos factores de conhecimento, posse e herança, algumas tecnologias AMF utilizam factores de localização, tais como os endereços MAC (Media Access Control) para dispositivos, para assegurar que o recurso é acessível apenas a partir de dispositivos específicos.
Uma outra forma de cloud computing está a afectar o AMF é através do alojamento em nuvem de soluções AMF, que normalmente são mais rentáveis de implementar, menos complexas de administrar e mais flexíveis do que as soluções no local. Os produtos baseados na nuvem podem fornecer mais opções direcionadas aos usuários móveis, como aplicativos de autenticação móvel, notificações push, análise de contexto como geolocalização e biometria.
Como os bancos podem começar com a autenticação multi-factor?
As soluções de autenticação multi-factor da OneSpan foram concebidas desde o início para salvaguardar as contas e transacções, oferecendo múltiplos factores de autenticação ao mesmo tempo que satisfazem as exigências de um processo de login simples. A OneSpan investiu tempo e recursos consideráveis para criar soluções fáceis de usar, escaláveis e confiáveis que fornecem autenticação forte usando uma gama de opções de verificação fácil - como códigos QR coloridos e Bluetooth. Estes incluem:
- Autenticação de software
- Autenticadores móveis
- Envio de SMS
- Autenticação de Hardware
- Autenticadores USB
- Leitores de cartões inteligentes
- Autenticação biométrica
- Notificação por Push
- Cronto
Porque é que os consumidores de serviços financeiros devem usar o AMF?
Os consumidores devem utilizar o AMF sempre que acedem a dados sensíveis. Um bom exemplo é usar um caixa eletrônico para acessar uma conta bancária. O dono da conta usa o AMF combinando algo que sabe (o PIN) e algo que tem (o cartão multibanco). Da mesma forma, ao entrar em uma conta do Facebook, Google ou Microsoft a partir de um novo local ou dispositivo, os consumidores usam o MFA digitando algo que sabem (a senha) e um segundo fator, algo que eles têm (o aplicativo móvel que recebe a notificação push ou SMS).