O que é Autenticação Multifator (MFA)?

A Autenticação Multifator (MFA) é um processo de segurança em que os utilizadores são obrigados a passar por várias etapas de autenticação para obter acesso a um sistema ou aplicação ou para concluir uma transação. 

Ao contrário de outras práticas de verificação de identidade, a MFA adiciona uma segunda camada de segurança ao exigir uma informação adicional. 

Isso, claro, complica o acesso para fraudadores, mesmo que eles tenham a senha.

Empresas SaaS devem considerar seriamente a implementação de MFA ao lidar com informações sensíveis, pois isso aumenta a segurança e a privacidade. 

A MFA foca em categorias de dados específicas ao verificar a identidade:

• Fatores de conhecimento: Informações que o usuário sabe, como uma senha ou PIN.

• Fatores de posse: Itens que o usuário possui, como um smartphone, token de hardware ou aplicativo autenticador.

• Fatores de inerência: Características biométricas, incluindo impressões digitais, reconhecimento facial ou padrões de voz.

• Fatores de localização ou contextuais: Sinais como localização geográfica, endereço IP ou reputação de rede.

A combinação de fatores no processo de verificação aumentará a segurança.

A MFA possui os seguintes benefícios: 

• Proteção de conta mais forte: Senhas comprometidas sozinhas são insuficientes para acesso.

• Risco de violação reduzido: A Microsoft relata que a MFA pode bloquear mais de 99% dos ataques de comprometimento de conta.

• Controle de acesso aprimorado: MFA impõe uma autenticação consistente e orientada por políticas para usuários e sistemas.

• Menor impacto nos negócios: Previne perdas financeiras, tempo de inatividade e danos à reputação causados por violações.

• Dependência de senhas reduzida: Limita a exposição à reutilização de senhas e ataques de preenchimento de credenciais.
  

Embora o MFA possa introduzir um ligeiro atrito e custos de implementação, essas compensações são geralmente superadas pelos ganhos de segurança para a maioria das organizações.

Senhas ainda são o primeiro passo de autenticação em muitos fluxos de trabalho de MFA. Senhas fracas ou reutilizadas aumentam o risco de serem hackeadas e de ataques de engenharia social, especialmente no caso de fadiga de MFA, em que os usuários são pressionados a aprovar solicitações de login por cibercriminosos.

Uma senha forte e única reduz a chance de ser comprometida em primeiro lugar e fortalece a eficácia da MFA. 

Em um ambiente corporativo, a MFA funciona assim:

1. O usuário insere seu nome de usuário e senha.
2. O sistema leva em consideração o contexto em relação ao dispositivo, à localização e ao comportamento.
3. O usuário é solicitado a fornecer um segundo fator de autenticação, como um código de um aplicativo autenticador, uma leitura biométrica ou um token de hardware. 
4. O acesso é concedido somente após verificação bem-sucedida.

As organizações SaaS também precisam considerar adicionar um método de autenticação adicional à lista, caso o dispositivo principal seja comprometido ou esteja indisponível para uso.

Os sistemas MFA frequentemente utilizam vários métodos para identificar dispositivos novos ou desconhecidos, incluindo:

• impressão digital do dispositivo
• análise de IP
• histórico de localização
• monitoramento de atividade. 

São precisamente esses métodos que acionam um alerta quando um novo local ou dispositivo incomum é usado para a tentativa de login. Tais práticas são úteis para aplicações remotas e na nuvem, onde há uma grande diversidade de dispositivos.

A MFA Adaptativa depende de avaliações de risco para estabelecer níveis maiores ou menores de autenticação autenticação. Existem muitos sinais que podem acionar níveis mais altos de verificação, tais como:

• localizações incomuns
• movimentos impossíveis
• comportamento ou redes incomuns
• redes suspeitas. 

Situações de baixo risco podem prosseguir com atrito mínimo, enquanto situações de alto risco exigem mais fatores ou são bloqueadas. Essa prática proporciona melhor segurança, além de eliminar solicitações desnecessárias de MFA para usuários normais.

Sim. A força da MFA depende dos critérios utilizados. 

• Códigos baseados em SMS oferecem o nível mais baixo de proteção e são vulneráveis a trocas de SIM (SIM swapping).
• aplicativos autenticadores e hardware tokens oferecem níveis mais altos de garantia
• fatores biométricos (utilizados por 3D Secure) oferecem o mais alto nível de segurança, desde que sejam devidamente implementados. 

Organizações SaaS devem considerar a robustez do MFA de acordo com a sensibilidade dos dados ou do sistema protegido, equilibrando os requisitos de segurança com a experiência do usuário.