O que é a Autenticação Multi-Factor (AMF)?

A autenticação multi-factor (AMF) é uma componente de gestão de acesso que requer que os utilizadores provem a sua identidade utilizando pelo menos dois factores de verificação diferentes antes de terem acesso a um website, aplicação móvel ou outro recurso online. Com o AMF, se um factor for comprometido, um atacante ainda tem pelo menos mais uma barreira para romper antes de poder ter acesso à conta do alvo.

Como funciona a Autenticação Multi-Factor?

A autenticação multi-factor (AMF) utiliza múltiplas tecnologias para autenticar a identidade de um utilizador. Em contraste, a autenticação por fator único (ou simplesmente "autenticação") usa uma única tecnologia para provar a autenticidade do usuário. Com o AMF, os usuários devem combinar tecnologias de verificação de pelo menos dois grupos diferentes ou fatores de autenticação. Estes fatores se encaixam em três categorias: algo que você sabe, algo que você tem, e algo que você é. É por isso que usar um PIN com senha (ambos da categoria "algo que você sabe") não seria considerado autenticação multi-factor, enquanto que usar um PIN com reconhecimento facial (da categoria "algo que você é") seria. Note que não é necessária uma senha para se qualificar para o AMF. Uma solução AMF pode ser totalmente sem senhas.

Também é aceitável a utilização de mais de dois métodos de autenticação. Contudo, a maioria dos utilizadores quer uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de efectuar uma verificação).

Que factores de autenticação são usados no AMF?

A seguir estão as três categorias principais:

  • Algo que você sabe (fator de conhecimento
    )Isto é normalmente uma senha, PIN ou senha, ou um conjunto de perguntas de segurança e suas correspondentes respostas conhecidas apenas pelo indivíduo. Para utilizar um fator de conhecimento para AMF, o usuário final deve inserir corretamente as informações correspondentes aos detalhes previamente armazenados na aplicação online.
  • Algo que você tem (fator de posse
    )Antes dos smartphones, os usuários carregavam tokens ou smartcards que geravam uma senha ou senha única (OTP) que podia ser inserida na aplicação online. Atualmente, a maioria dos usuários instala um aplicativo autenticador em seu smartphone para gerar chaves de segurança OTP.
  • Algo que você é (fator de herança
    )Dados biométricos sobre um indivíduo variam de impressões digitais, varreduras de retina, reconhecimento facial e reconhecimento de voz a comportamentos (como o quão difícil ou rápido a pessoa digita ou desliza em uma tela).

Para conseguir a autenticação multi-factor, pelo menos duas tecnologias diferentes de pelo menos dois grupos tecnológicos diferentes devem ser usadas para o processo de autenticação. Como resultado, o uso de um PIN associado a uma senha não seria considerado autenticação multi-factor, enquanto que o uso de um PIN com reconhecimento facial como um segundo factor seria. Também é aceitável o uso de mais de duas formas de autenticação. Contudo, a maioria dos utilizadores quer cada vez mais uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de efectuar uma verificação)

Qual é a diferença entre autenticação de dois factores e autenticação multi-factor?

Para ser considerada autenticação de dois factores (2FA), uma solução requer sempre que o utilizador apresente dois factores de autenticação de duas categorias diferentes, como um factor de posse e um factor de conhecimento, para verificar a sua identidade. A autenticação multi-factor é mais ampla do que a autenticação de dois factores. Requer que a organização utilize dois ou mais fatores no processo de autenticação.

Quais são os diferentes tipos de tecnologias de autenticação multi-factor?

A seguir estão as tecnologias comuns da AMF:

  • Autenticação biométricaAs
    tecnologiasbiométricassão uma forma de autenticação que autenticam os utilizadores de forma precisa e segura através dos seus dispositivos móveis. As modalidades biométricas mais comuns são a digitalização de impressões digitais e o reconhecimento facial. A autenticação biométrica também inclui a biometria comportamental, que proporciona uma camada invisível de segurança ao autenticar continuamente um indivíduo com base nas formas únicas de interagir com o seu computador ou dispositivo móvel: toques no teclado, padrão de deslize, movimentos do rato, e muito mais.
  • Fichas de hardwareOs
    autenticadores dehardwaresão dispositivos pequenos e fáceis de usar que um proprietário carrega para autorizar o acesso a um serviço de rede. Ao suportar uma autenticação forte com códigos de acesso únicos (OTPs), os tokens físicos fornecem um factor de posse para autenticação multi-factor, ao mesmo tempo que permitem uma maior segurança para bancos e fornecedores de aplicações que precisam de proteger várias aplicações com um único dispositivo.
  • Autenticação móvelA
    autenticaçãomóvelé o processo de verificação de um utilizador através do seu dispositivo Android ou iOS ou a verificação do próprio dispositivo. Esta tecnologia permite que os usuários façam login em locais seguros e acessem recursos de qualquer lugar com segurança aprimorada.
  • Autenticação fora da banda Este
    tipo de autenticação requer um método de verificação secundário através de um canal de comunicação separado, normalmente a conexão de Internet da pessoa e a rede sem fio na qual seu telefone celular opera. Estes são exemplos de tecnologias fora da banda:
    • Código Cronto®Este
      código colorido do tipo QR pode autenticar ou autorizar uma transação financeira. O indivíduo vê este código colorido do tipo QR exibido através do seu navegador da web. Somente o dispositivo registrado da pessoa pode ler e decodificar o código. Ele contém detalhes da transação que o usuário pode verificar antes de concluir a transação, o que a torna muito segura.
    • Notificação PushAs
      notificaçõesPushfornecem um código de autenticação ou um código de acesso único no dispositivo móvel do usuário. Ao contrário de uma mensagem SMS, a notificação aparece no ecrã de bloqueio do dispositivo.
    • Mensagem de texto SMS ou mensagem de voz Uma vez
      os códigos de acesso são entregues no dispositivo móvel do utilizador através de uma mensagem de texto SMS ou uma mensagem de voz.
    • Soft tokenSoftware
      autenticadores ou "tokens baseados em aplicativos" geram um PIN de login único. Muitas vezes esses tokens de software são usados para casos de uso de AMF onde o dispositivo do usuário - neste caso, um smartphone - fornece o fator de posse.

Porque é que as organizações precisam de autenticação multi-factor?

A fraude de takeover (ATO) é uma ameaça crescente de cibersegurança, alimentada por engenharia social sofisticada (ou seja, ataques de phishing), malware móvel, e outros ataques. Os métodos de AMF devidamente concebidos e implementados são mais fiáveis e eficazes contra ataques sofisticados do que a autenticação desactualizada de nome de utilizador/palavra-chave de factor único, que pode ser facilmente comprometida por cibercriminosos através de ferramentas de hacking amplamente disponíveis.

Quais são alguns dos principais benefícios do AMF?

Como parte da sua estratégia de segurança, as organizações utilizam o AMF para alcançar os seus objectivos:

  • Melhor
    autenticação desegurançaMulti-factorfornece maior segurança sobre senhas estáticas e processos de autenticação de factor único.

  • Conformidade regulamentarA
    autenticação devários factorespode ajudar as organizações a cumprir os seus regulamentos do sector. Por exemplo, o AMF é necessário para satisfazer o requisito de autenticação forte do PSD2 para Autenticação Forte de Clientes (SCA).

  • Melhor experiência do usuárioA quebra da
    confiança em senhas pode melhorar a experiência do cliente. Ao concentrar-se em desafios de autenticação de baixa fricção, as organizações podem aumentar a segurança e melhorar a experiência do utilizador.

Como a computação em nuvem está causando um impacto no AMF?

Bancos, instituições financeiras e outras organizações de serviços financeiros estão começando a mudar de aplicativos hospedados internamente em favor de aplicativos de software como serviço (SaaS) baseados em nuvem, como o Office 365, Salesforce, Slack e OneSpan Sign. Como resultado, a quantidade de dados sensíveis e arquivos hospedados na nuvem está aumentando, elevando o risco de uma violação de dados de informações pessoais comprometidas (PII) que impulsiona as aquisições de conta. Para aumentar o risco de segurança, os usuários de aplicativos SaaS podem estar localizados em qualquer lugar, não apenas dentro das redes corporativas. As camadas extras de segurança fornecidas pelo AMF versus a simples proteção por senha podem ajudar a combater esses riscos. Além dos factores de conhecimento, posse e herança, algumas tecnologias AMF utilizam factores de localização, tais como os endereços MAC (Media Access Control) para dispositivos, para assegurar que o recurso é acessível apenas a partir de dispositivos específicos.  

Uma outra forma de cloud computing está a afectar o AMF é através do alojamento em nuvem de soluções AMF, que normalmente são mais rentáveis de implementar, menos complexas de administrar e mais flexíveis do que as soluções no local. Os produtos baseados na nuvem podem fornecer mais opções direcionadas aos usuários móveis, como aplicativos de autenticação móvel, notificações push, análise de contexto como geolocalização e biometria.

Como os bancos podem começar com a autenticação multi-factor?

As soluções de autenticação multi-factor da OneSpan foram concebidas desde o início para salvaguardar as contas e transacções, oferecendo múltiplos factores de autenticação ao mesmo tempo que satisfazem as exigências de um processo de login simples. A OneSpan investiu tempo e recursos consideráveis para criar soluções fáceis de usar, escaláveis e confiáveis que fornecem autenticação forte usando uma gama de opções de verificação fácil - como códigos QR coloridos e Bluetooth. Estes incluem:

Porque é que os consumidores de serviços financeiros devem usar o AMF?

Os consumidores devem utilizar o AMF sempre que acedem a dados sensíveis. Um bom exemplo é usar um caixa eletrônico para acessar uma conta bancária. O dono da conta usa o AMF combinando algo que sabe (o PIN) e algo que tem (o cartão multibanco). Da mesma forma, ao entrar em uma conta do Facebook, Google ou Microsoft a partir de um novo local ou dispositivo, os consumidores usam o MFA digitando algo que sabem (a senha) e um segundo fator, algo que eles têm (o aplicativo móvel que recebe a notificação push ou SMS).

Perguntas frequentes sobre autenticação multi-factor

O que torna o AMF tão seguro?

A autenticação multi-factor adiciona uma camada extra de autenticação que torna muito mais difícil para os cibercriminosos hackearem contas com sucesso. As credenciais padrão (nome de usuário e senha) são relativamente fáceis de serem obtidas pelos atores da ameaça usando o phishing e outras ferramentas e recursos amplamente disponíveis. Além disso, a prática comum de reutilizar uma senha torna possível para um hacker comprometer várias contas com um ataque bem sucedido. Com o AMF, as credenciais de autorização devem vir de duas ou mais categorias diferentes: algo que você sabe (uma senha), algo que você tem (um código SMS, smartcard, aplicativo autenticador, ou token de hardware, também conhecido como key fob), e algo que você é (um biométrico). Os ladrões teriam que roubar itens além de uma senha - como seu smartphone ou cartão bancário - tornando muito mais difícil para eles comprometerem sua conta. O Instituto Nacional de Normas e Tecnologia (NIST) recomenda o uso do AMF sempre que possível, especialmente quando se trata dos dados mais sensíveis como as suas contas financeiras e registos de saúde.

O que são "atributos implícitos", e eles contam como fatores?

Também referido como autenticação contextual, atributos implícitos usam geolocalização, endereço IP, hora do dia e identificadores de dispositivos como o sistema operacional ou a versão do navegador do telefone celular, para ajudar a determinar se a identidade de um usuário é autêntica. Embora os atributos implícitos não sejam fatores de autenticação porque não confirmam a identidade de um usuário ou fornecem verificação de identidade, eles podem ajudar a reforçar as barreiras aos ciberataques.

Qual é a diferença entre autenticação de dois fatores e AMF?

A autenticação de dois factores (2FA) é um subconjunto do AMF que usa dois factores de duas destas categorias - algo que você conhece, algo que você tem e algo que você é - para verificar a identidade. A autenticação multi-factor pode envolver mais do que dois factores, embora muitas soluções de autenticação multi-factor utilizem dois.
Uma questão lógica é se o AMF é mais seguro do que a autenticação de segundo fator. Em geral, quanto mais fatores forem necessários, mais forte será a proteção da gestão de acesso; entretanto, o tipo de fator também desempenha um papel. A biometria é muito mais difícil de roubar do que as senhas. Além disso, a maioria dos utilizadores finais deseja um processo de autenticação mais simples e pode tentar encontrar soluções se o número de factores necessários se tornar oneroso. Como resultado, modernizar a experiência do usuário de autenticação é agora um objetivo principal para muitos bancos e instituições financeiras, especialmente para usuários móveis que utilizam o aplicativo móvel do banco.

Que tipos de ciberataques podem o AMF ajudar a prevenir?

O AMF ajuda a impedir os seguintes tipos de ciberataques, exigindo informações ou credenciais adicionais do usuário.

 

  • Ataque de phishing:
    Particularmente agora, com o enorme aumento do trabalho remoto, os ataques de phishing estão sendo usados para enganar os trabalhadores a desistir de credenciais de rede, muitas vezes através do uso de links e anexos maliciosos ou páginas falsas de log-in para aplicativos SaaS como o Microsoft Office 365. Quando as organizações requerem pelo menos dois tipos de autenticação, como um código de acesso único além da identificação do usuário e senha, os ladrões de identidade têm mais dificuldade para se infiltrar na rede corporativa ou VPN.
  • SIM swap:
    Este tipo de ataque envolve a personificação de um utilizador de um dispositivo móvel. Os atacantes tentam persuadir o provedor de serviço celular do usuário a mover seus dados para um novo cartão SIM (módulo de identidade do assinante) porque o cartão ou dispositivo original foi perdido ou danificado. Se bem sucedido, um SIM swap transfere a "propriedade" do número móvel para o atacante, que pode então interceptar os códigos SMS enviados para o dispositivo. Para combater as trocas SIM, a AMF oferece uma gama de métodos de autenticação forte (biometria, fichas de software, chaves de segurança) que evitam o uso de códigos SMS.
  • Malware móvel
    : Este tipo de software malicioso tem como alvo os dispositivos móveis para obter acesso a dados privados. Exemplos incluem cavalos de Tróia bancários e ransomware móvel. Infelizmente, os hackers estão cada vez mais focados em contornar as proteções de AMF para dispositivos móveis, especialmente senhas de uso único enviadas por SMS. Para combater os esforços de bypass AMF, é recomendado evitar SMS e escolher métodos mais fortes, tais como biometria (impressão digital, scan facial ou retina) e notificações push

O que é autenticação adaptativa?

A autenticação adaptativa, também chamada de autenticação baseada no risco, é um tipo de AMF que ajusta os factores de autenticação necessários com base no nível de risco de uma transacção. Ele usa regras antifraude para produzir uma reação pré-definida à tentativa de autenticação. O tipo apropriado de autenticação pode ser definido para o tipo apropriado de risco percebido, com base em pontos de dados conhecidos.Por exemplo, as tentativas a partir de um local específico (por exemplo, fora do país do cliente) podem ser definidas para desencadear um determinado tipo de combinação de AMF.
A autenticação adaptativa elimina o problema de "tamanho único" que aflige a maioria dos sistemas de autenticação atuais: um login diário do mesmo local requer o mesmo nível de autenticação que um login novinho em folha de um local fortemente atacado. Estes dois logins devem ser tratados com diferentes níveis de autenticação.
A autenticação inteligente adaptativa leva isso um passo adiante ao utilizar regras antifraude juntamente com algoritmos de aprendizagem da máquina para se familiarizar com o papel do usuário e cenários de acesso típicos, incluindo locais, dispositivos e endereços IP. Cada vez que o usuário tenta autenticar, um sistema inteligente de autenticação adaptativa analisa todos os dados contextuais, pontua-os para determinar a propensão ao risco e adapta o fluxo de trabalho de autenticação a esse nível de risco.
Um dos benefícios desta abordagem é a flexibilidade. Em vez de aplicar o mesmo requisito padrão de AMF para cada usuário, a autenticação adaptativa se ajusta à situação, tornando as tentativas de acesso rotineiras e de baixo risco mais simples e rápidas e adicionando mais segurança para as tentativas de acesso de alto risco.

O que são mecanismos fora da banda no AMF, e como funcionam?

A autenticação fora da banda é um tipo de AMF que requer um método de verificação secundário através de um canal de comunicação separado. Normalmente, isto envolve o envio de um código de acesso único (OTP) para o telemóvel do utilizador para ser aplicado em conjunto com a sua ligação à Internet protegida por palavra-passe num dispositivo diferente, tal como um computador de secretária ou um portátil.
A autenticação através de dois canais separados e sem ligação que teriam de ser violados simultaneamente por um atacante torna muito menos provável um compromisso de sucesso. A autenticação fora da banda é frequentemente utilizada por bancos e outras instituições financeiras com requisitos de segurança rigorosos.

Há várias maneiras de fornecer senhas únicas para um dispositivo móvel:

  • Código QR ou criptograma visual
  • Notificação push
  • SMS (Note que o SMS já não é uma medida de segurança recomendada porque é muito fácil para um hacker roubar o número de telemóvel de um utilizador utilizando o método SIM swap para obter palavras-passe SMS).


Outros métodos incluem exigir que o utilizador o faça:

  • Fazer uma chamada telefónica a partir de um dispositivo registado (frequentemente utilizado para activar um novo cartão de crédito)
  • Responder a um telefonema gerado automaticamente pelo banco ou outra instituição
  • Receber um OTP no seu aplicativo telefônico ou via notificação push para autorizar uma transação ATM ou acessar um portal web.

Que tecnologias estão sendo exploradas para racionalizar o AMF para usuários móveis?

Como as soluções AMF impõem medidas adicionais de autenticação, podem tornar o processo de acesso a uma conta ou portal mais oneroso, especialmente para os utilizadores de telemóveis. Para ajudar a agilizar o processo de autenticação e reduzir o atrito, as novas tecnologias "passivas" funcionam em segundo plano, sem necessidade de ação do usuário. Um exemplo é a autenticação biométrica comportamental, que identifica uma pessoa com base em seus padrões únicos de digitação ou de deslize ao interagir com um smartphone ou tablet.
A Fast Identity Online (FIDO) Alliance foi criada para ajudar a reduzir a dependência de senhas através do uso de autenticação sem senhas. Os protocolos FIDO suportam tecnologias de autenticação, incluindo biometria. O protocolo FIDO 2, implementado pelo Google, Microsoft e outros fornecedores, permite que as pessoas utilizem fichas de hardware compatíveis com FIDO para se autenticarem no seu navegador sem terem de digitar o seu nome de utilizador e palavra-passe. Da mesma forma, muitos grandes bancos implementam o protocolo para permitir que dispositivos móveis habilitados para FIDO se autentiquem em sua aplicação bancária sem exigir que o usuário final digite um nome de usuário e senha.

Qual é o padrão WebAuthn e como ele pode ajudar a reforçar a segurança dos serviços bancários online?

A WebAuthn tenta trazer tecnologia de autenticação ao estilo FIDO para aplicações web.Ele fornece uma maneira padrão para desenvolvedores de aplicativos web implementarem autenticação segura de múltiplos fatores sem ter que usar bibliotecas e sistemas de autenticação de terceiros.A WebAuthn traz a segurança da biometria e autenticação forte para aplicações web que anteriormente exigiam back-ends pesados e considerações de engenharia adicionais. O protocolo WebAuthn foi projetado para dar aos desenvolvedores de novas aplicações de página única (SPAs) e aplicações web progressivas (PWAs) uma maneira de implementar uma autenticação forte alavancando tecnologias de dispositivos locais incorporadas que as páginas web não podiam acessar facilmente antes.

Entre em contato conosco

Entre em contacto com um dos nossos especialistas em segurança para saber mais sobre como as nossas soluções podem ajudar nas suas necessidades de segurança digital