O que é autenticação
Métodos de autenticação e práticas recomendadas
Desde o início da civilização, a humanidade tem procurado maneiras seguras e convenientes de autenticar identidades para permitir o acesso somente àqueles que estão autorizados e ficar um passo à frente dos agentes de ameaças. Características faciais, tokens, criptografia, assinaturas, impressões digitais e senhas eram apenas alguns dos métodos de autenticação usados antes da era digital. Uma evolução dessas técnicas alimenta a autenticação atual.
Por exemplo, em vez de confiar no olho humano para reconhecer características faciais, contamos com ferramentasde biometria para autenticar uma pessoa por sua íris, retina, impressão digital, voz ou outras características biológicas distintas. Da mesma forma, em vez de tokens físicos, os sistemas de segurança emitem tokens digitais para os usuários que comprovaram com êxito suas identidades.
No entanto, os agentes de ameaças continuam a encontrar maneiras de contornar a autenticação. Em uma época anterior, os criminosos poderiam ter falsificado selos para contornar a segurança. Hoje, mais criminosos cibernéticos estão roubando tokens de autenticação para contornar a MFA (autenticação multifator), às vezes com efeitos devastadores. Por exemplo,os hackers do sequestraram tokens de sessão para assumir espetacularmente o controle de três canais do Linus Media Group no YouTube.
As equipes de segurança cibernética de gigantes da tecnologia, como Google, Microsoft e Apple, estão constantemente buscando aprimorar seus sistemas de autenticação para proteger os usuários e as organizações contra ataques de segurança cibernética cada vez mais inteligentes e frequentes.
No entanto, muitos usuários preferem ter mais conveniência do que segurança, o que explicaria aadoção lenta da MFA pelos usuários da Microsoft, apesar das 25,6 bilhões de tentativas de sequestro de contas usando senhas roubadas por força bruta em 2021. Isso também pode explicar por que a Microsoft desativou a autenticação Basic para o Exchange Online em favor da autenticação moderna, com opções como MFA, cartões inteligentes, autenticação baseada em certificado (CBA) e provedores de identidade Security Assertion Markup Language (SAML) de terceiros.
Leia nosso guia detalhado para obter mais informações:
- Significado da autenticação.
- Autenticação de dois fatores versus autenticação de vários fatores.
- Autenticação versus autorização.
- Métodos de autenticação.
- Autenticação sem senha.
Significado de autenticação
A autenticação é um método de segurança cibernética que ajuda a verificar a identidade de um sistema ou de um usuário. O método de autenticação mais comum é por meio de nomes de usuário e senhas. Outros métodos de autenticação, como a verificação biométrica, são mais sofisticados e completos. Um exemplo de autenticação seria se você tentasse acessar seu e-mail, precisaria digitar seu nome de usuário e senha para entrar na sua caixa postal.
Por que a autenticação é importante?
A autenticação é essencial para proteger nossa segurança e privacidade. Realizamos muitos tipos diferentes de ações on-line, desde trabalho e comunicação até compras ou armazenamento de dados privados, geralmente de forma remota. A autenticação ajuda a preservar a integridade de qualquer espaço digital, como bancos, plataformas de computação em nuvem, páginas de mídia social e outros, reduzindo o risco de acesso não autorizado. É por causa da autenticação que podemos confiar em sistemas e identidades fisicamente invisíveis.
Algumas ferramentas de autenticação também podem desacelerar ou interromper um ataque cibernético. Por exemplo, um criminoso cibernético com um nome de usuário e uma senha roubados pode invadir uma conta para roubar dados, lançar malware ou iniciar um ataque Man-in-the-Middle (MitM). No entanto, seus movimentos laterais podem ser interrompidos em um sistema com protocolos de autenticação mais profundos.
A autenticação também é essencial porque aumenta a responsabilidade do usuário. Um usuário autenticado pode ter menos probabilidade de se envolver em atividades mal-intencionadas porque sabe que está sendo rastreado. A autenticação pode ajudar as organizações de alguns setores a cumprir as leis de segurança e privacidade, melhorando a segurança dos dados.
Para que a autenticação é usada?
A autenticação pode ser usada para várias finalidades:
- Segurança do dispositivo: Todos os tipos de dispositivos com sistemas operacionais implementam autenticação para segurança, incluindo desktops, laptops, smartphones, tablets e até mesmo uma ampla variedade de dispositivos da Internet das Coisas (IoT).
- Segurança da conta: Várias plataformas utilizam a autenticação para aumentar a segurança da conta. Por exemplo, contas de e-mail e de mídia social usam a autenticação para evitar que usuários não autorizados acessem as contas. As plataformas financeiras protegem o banco on-line, os pagamentos digitais e o comércio eletrônico contra fraudes com a autenticação.
- Computação em nuvem: À medida que mais organizações mudam para plataformas de computação em nuvem, como o Microsoft Azure, a autenticação é usada para a segurança de ativos, dados e operações. A autenticação também é usada para a segurança de organizações com ativos no local, como redes e sistemas que adotam o trabalho remoto.
- Controle de acesso: A autenticação não é usada apenas para segurança externa, mas também para segurança interna. As organizações podem usar a autenticação para garantir que a equipe possa acessar redes, aplicativos e dados com base na necessidade de conhecimento.
Autenticação vs. autorização
Embora a autenticação e a autorização pareçam semelhantes e, às vezes, os dois termos sejam usados incorretamente de forma intercambiável, eles são dois conceitos diferentes na segurança cibernética. A explicação mais longa é que a autorização é o processo de verificação da identidade por meio de credenciais de login, recursos faciais, voz ou um token de autenticação. A autorização é o que acontece após a autenticação. Depois que o sistema autentica a identidade de um sistema ou de uma pessoa, ele permite que a entidade acesse recursos ou execute ações com base em seus privilégios.
A explicação resumida de autenticação versus autorização é que a primeira determina se uma entidade tem permissão de acesso, e a segunda determina com quais recursos ela pode se envolver após a autorização.
Fatores de autenticação comumente usados
Qualquer pessoa que tenha usado um sistema operacional moderno ou trabalhado em uma plataforma de computação em nuvem sabe que há muitos tipos diferentes de métodos e ferramentas de autenticação, como PINs (Personal Identification Numbers), impressões digitais, tokens e endereços IP. Esses métodos ou ferramentas se enquadram em diferentes categorias chamadas fatores de autenticação.
Fatores de conhecimento
Um fator de conhecimento é considerado qualquer coisa que um usuário saiba, como uma senha ou uma resposta a uma pergunta de segurança. Os fatores de conhecimento são normalmente rápidos, mas vulneráveis a hackers. Por exemplo, as senhas podem ser roubadas. As senhas fracas são suscetíveis a ataques de força bruta, comoos ataques de dicionário do site .
É altamente recomendável que você aprenda a criar uma senha forte para proteger suas contas. Você também pode considerar o uso de umgerenciador de senhas de primeira linha para gerenciar sua lista de credenciais de login complexas.
Fatores de posse
Um fator de posse pode ser mais seguro do que um fator de conhecimento porque exige que o usuário esteja de posse de um determinado item, como um token ou um smartphone, para provar sua identidade. Por exemplo, um sistema pode enviar uma senha de uso único para o dispositivo inteligente de um usuário quando ele estiver tentando obter acesso. No entanto, os fatores de posse também não são perfeitos, pois as posses podem ser sequestradas ou roubadas.
Fatores de herança
Um dos fatores de autenticação mais seguros é o fator de herança, pois ele se baseia nas características físicas exclusivas do usuário, como a impressão digital ou a íris.
A maior desvantagem de depender de fatores de herança é que o hardware do sistema deve ser capaz de absorver e processar dados biométricos, embora a maioria dos dispositivos modernos tenha esses recursos.
Um fator de herança também pode se mostrar muito eficaz em raras circunstâncias. Por exemplo, houve vários casos em que o parente mais próximo não conseguiu acessar a criptomoeda do filho falecido porque o dispositivo estava protegido por um fator de herança.
Fatores de localização
Uma organização, como um serviço de streaming, pode usar um fator de localização, como o bloqueio geográfico, para restringir o acesso a usuários de locais específicos. Por exemplo, um serviço de streaming como o Netflix USA pode impedir que usuários do Canadá visualizem algum conteúdo. No entanto, os fatores de localização geralmente têm soluções alternativas. Por exemplo, alguém no Canadá poderia teoricamente utilizar umaVPN privada para mascarar sua localização e acessar a Netflix EUA.
Fatores comportamentais
Um fator de autenticação baseado em comportamento exige que o usuário execute determinadas ações para provar sua identidade. Por exemplo, pode ser necessário que o usuário desenhe determinados padrões ou resolva um quebra-cabeça revolucionário para provar que é humano e não um bot. O reCAPTCHA do Google usa um mecanismo de análise de risco e rastreia os movimentos do mouse para verificar o comportamento humano.
Tipos de autenticação
Autenticação baseada em senha
A forma mais comum de autenticação, a autenticação baseada em senha, é o processo de verificação da identidade de um usuário, fazendo com que ele forneça uma senha que corresponda totalmente à senha armazenada. O sistema rejeitará uma senha que não corresponda à senha armazenada em um caractere sequer.
Conforme mencionado, os hackers podem adivinhar senhas fracas muito rapidamente utilizando as ferramentas mais recentes. É por isso que os usuários devem definir senhas com pelo menos 10 caracteres e complexas e alterá-las periodicamente.
Autenticação multifatorial (MFA)
A MFA nasceu por necessidade. Até mesmo a senha mais sofisticada pode ser roubada. Com aautenticação multifatorial , os usuários não autorizados podem ter que autenticar sua identidade de outra forma se acionarem o sistema de segurança do sistema. Por exemplo, se um sistema identificar um novo dispositivo ou endereço IP durante uma tentativa de login, ele poderá solicitar um PIN ou um token, mesmo que o usuário apresente as credenciais de login corretas.
Autenticação de dois fatores (2FA)
Muitas pessoas se perguntam qual é a diferença entre 2FA e MFA. A resposta é que a 2FA é essencialmente um subconjunto da MFA. Conforme mencionado, a MFA exige dois ou mais fatores de autenticação. A 2FA solicita apenas dois, geralmente uma senha e um código de acesso enviado para uma conta de e-mail ou dispositivo móvel. Para saber mais, você pode ler sobre os conceitosbásicos da autenticação de dois fatores no site .
Embora os usuários de páginas de mídia social usem a 2FA para proteger suas contas, algumas plataformas estão, infelizmente, monetizando a segurança da conta. Por exemplo, você deve ter lido sobre o Twitter e a autenticação de dois fatores, em que a plataforma está alterando drasticamente as configurações de segurança. Desde 19 de março, os usuários não podem usar a 2FA baseada em SMS sem pagar por uma assinatura.
No entanto, os usuários têm outras opções (por enquanto). Por exemplo, eles podem configurar a autenticação de dois fatores no Twitter usando uma chave de hardware para segurança avançada. Uma chave de hardware é uma ferramenta melhor para a segurança do que o SMS, que está aberto a um ataque de swim-swapping.
Autenticação de fator único (SFA)
Como o próprio nome sugere, a SFA exige que os usuários ofereçam apenas uma parte da autenticação. Normalmente, uma senha é o tipo mais comum de SFA. Embora a SFA possa ser mais conveniente do que a MFA, ela pode ser significativamente menos segura, especialmente se o tipo de autenticação for fraco. A SFA também é vulnerável a ataques de engenharia social, como phishing.
Autenticação baseada em certificado
Com esse tipo de autenticação, um sistema usa um certificado digital. A autenticação baseada em certificado é mais segura do que as senhas porque os certificados são sofisticados, usam chaves e podem ser revogados pela autoridade emissora. Organizações de alto nível, como governos, usam essa técnica criptográfica para aumentar a segurança.
Autenticação biométrica
Conforme mencionado, a autenticação biométrica se baseia em características físicas exclusivas, como impressões digitais, vozes e íris, para proteger os sistemas. A autenticação biométrica é a forma mais segura e conveniente de autenticação.
Autenticação baseada em token
Aplicativos da Web, APIs e outros sistemas geralmente usam tokens para autenticar usuários. Em poucas palavras, um token é um identificador exclusivo emitido para um usuário autorizado. Embora o uso de tokens esteja crescendo devido ao aumento dos ambientes de trabalho híbridos, o roubo de tokens também está aumentando.
Basic autenticação
Um sistema de autenticação básica solicita apenas um nome de usuário e uma senha para autenticar um usuário. Os sistemas que usam métodos básicos são mais suscetíveis a hackers. Atualmente, apenas os recursos de teste internos ou sistemas públicos, como WiFi público, usam autenticação básica. Basic autenticação é o principal motivo pelo qual os usuários devem ser mais cuidadosos ao usar WiFi público.
Autenticação sem senha
Como os usuários e as organizações exigem mais conveniência com segurança, as opções de autenticação sem senha, como biometria, chaves de segurança, tokens e códigos de uso único, estão crescendo em popularidade nos ambientes corporativos e nas plataformas usadas pelos consumidores.
Além da conveniência extra, a autenticação sem senha pode oferecer mais segurança, pois muitos usuários continuam a usar senhas fracas ou são vítimas de ataques de phishing que atacam as credenciais.
Autenticação baseada em conhecimento (KBA)
O KBA é um tipo de autenticação que testa o conhecimento de uma pessoa sobre as informações que ela salvou para autenticar sua identidade. Exemplos de KBA incluem responder a perguntas sobre a rua em que a pessoa cresceu, sua cor favorita ou o nome de solteira da mãe.
Há vários motivos pelos quais o KBA é um método de autenticação fraco. Com mais dados de usuários disponíveis publicamente em quadros de mensagens e plataformas de mídia social, como LinkedIn e Facebook, é mais fácil para um agente de ameaças obter os dados necessários para contornar o KBA. Além disso, é menos provável que os usuários definam respostas complexas para perguntas secretas do que senhas complexas.
Autenticação mútua
A autenticação mútua, também conhecida como autenticação bidirecional, é um tipo de autenticação em que ambas as partes em uma conexão verificam uma à outra, geralmente com certificados digitais. Embora a autenticação mútua seja usada mais comumente por protocolos de comunicação como Transport Layer Security (TLS) e Secure Sockets Layer (SSL), muitos dispositivos da Internet das Coisas (IoT) também usam a técnica em conexões entre dispositivos.
Autenticação por SMS
A autenticação por SMS usa mensagens de texto como um componente da MFA. A autenticação por SMS funciona melhor quando os métodos de autenticação não são adulterados. Por exemplo, uma operadora sem fio teve a brilhante ideia de misturara autenticação por SMS com um anúncio, o que poderia permitir que os agentes de ameaças criassem ataques smishing mais convincentes.
Autenticação de rede ou servidor
A autenticação de rede refere-se à identificação de usuários que estão tentando obter acesso a uma rede ou servidor. Esse tipo de autenticação é usado em protocolos de comunicação, VPNs, firewalls e sistemas que controlam o acesso a aplicativos.
Autenticação de chave secreta
Em um sistema que usa autenticação de chave secreta, o usuário e o sistema compartilham uma chave de sessão criptográfica que só é conhecida pelas duas partes. Essas chaves são simétricas. Em outras palavras, elas funcionam para criptografia e descriptografia. Os protocolos de comunicação, como o Secure Sockets Layer (SSL), usam a autorização de chave secreta para garantir a segurança da transferência de dados, como entre um navegador da Web e um site.
Chave de segurança física
Uma chave de segurança física é uma peça de hardware que ajuda um usuário a provar sua identidade e é um exemplo de fator de posse. Normalmente, uma chave de segurança física gera um código exclusivo que é compartilhado com um sistema para autenticação. As chaves de segurança física eram usadas apenas por organizações de alto nível, como bancos e agências de inteligência, há mais de uma década.
No entanto, muitos tipos diferentes de plataformas, como jogos, comércio eletrônico e mídias sociais, permitem que os usuários protejam suas contas com chaves de segurança físicas atualmente. Por exemplo, os usuários podem ativar a autenticação de chave de hardware do Facebook para iOS e Android para obter uma camada extra de segurança de fator de posse em suas contas.
Práticas recomendadas de autenticação
- Fique atento ao malware projetado para roubar credenciais ou dados confidenciais, como alguns tipos de cavalos de Troia, spyware e keyloggers. Aprenda também como remover um keylogger, pois ele pode coletar pressionamentos de teclas, capturas de tela e outras informações para enganar um sistema de autenticação.
- Defina senhas com pelo menos dez caracteres e que contenham uma combinação de números, símbolos e alfabetos.
- Evite usar padrões conhecidos nas senhas, como a data de nascimento ou o nome de uma celebridade favorita.
- Nunca armazene suas credenciais de login à vista de todos, como um pedaço de papel em sua mesa. Criptografe as senhas nos dispositivos.
- Dê uma mãozinha à sua senha usando métodos de MFA, como identificação biométrica ou uma chave de segurança.
- Desconfie de ataques de engenharia social criados para roubar suas credenciais.
- Evite reutilizar sua senha; caso contrário, uma senha roubada pode resultar em várias violações de conta.
- Altere sua senha regularmente. Tente usar um gerenciador de senhas de boa reputação para sua conveniência.
- Incentive o administrador de rede de sua organização a limitar a duração das sessões para evitar o sequestro de sessões.
- Os administradores devem monitorar os registros de autenticação e os dados da rede para reagir rapidamente a atividades suspeitas, como várias tentativas de acesso a partir de endereços IP suspeitos.
- As organizações devem considerar a adoção de uma arquitetura de confiança zero para aumentar a segurança.