O que é autenticação
Métodos de autenticação e práticas recomendadas
Desde o alvorecer da civilização, a humanidade buscou maneiras seguras e convenientes de autenticar identidades para permitir o acesso apenas a quem está autorizado e se manter um passo à frente dos atores mal-intencionados. Características faciais, tokens, criptografia, assinaturas, impressões digitais e senhas foram apenas alguns dos métodos de autenticação usados antes da era digital. Uma evolução dessas técnicas alimenta a autenticação hoje.
Por exemplo, em vez de depender do olho humano para reconhecer características faciais, confiamos em ferramentas biométricas para autenticar uma pessoa pelo olho, retina, impressão digital, voz ou outras características biológicas distintas. Da mesma forma, em vez de tokens físicos, sistemas de segurança emitem tokens digitais para usuários que provaram suas identidades com sucesso.
No entanto, os agentes de ameaças continuam a encontrar maneiras de contornar a autenticação. Em uma época anterior, os criminosos poderiam ter falsificado selos para contornar a segurança. Hoje, mais criminosos cibernéticos estão roubando tokens de autenticação para contornar a MFA (autenticação multifator), às vezes com efeitos devastadores. Por exemplo, os hackers sequestraram tokens de sessão para assumir espetacularmente o controle de três canais do Linus Media Group no YouTube.
Equipes de cibersegurança em gigantes da tecnologia como Google, Microsoft e Apple estão constantemente procurando melhorar seus sistemas de autenticação para proteger os usuários e organizações de ataques cibernéticos cada vez mais inteligentes e frequentes.
No entanto, muitos usuários preferem ter mais conveniência do que segurança, o que explicaria a lenta adoção da MFA pelos usuários da Microsoft, apesar das 25,6 bilhões de tentativas de sequestro de contas usando senhas roubadas por força bruta em 2021. Isso também pode explicar por que a Microsoft desativou a autenticação Basic para o Exchange Online em favor da autenticação moderna, com opções como MFA, cartões inteligentes, autenticação baseada em certificado (CBA) e provedores de identidade SAML (Security Assertion Markup Language) de terceiros.
Leia nosso guia detalhado para saber mais sobre:
- Significado de autenticação.
- Autenticação de dois fatores vs autenticação multifatorial.
- Autenticação vs autorização.
- Métodos de autenticação.
- Autenticação sem senha.
Significado de autenticação
A autenticação é um método de cibersegurança que ajuda a verificar a identidade de um sistema ou usuário. O método de autenticação mais comum é através de nomes de usuário e senhas. Outros métodos de autenticação, como a verificação biométrica, são mais sofisticados e aprofundados. Um exemplo de autenticação seria se você tentar acessar seu e-mail, precisará inserir seu nome de usuário e senha para entrar na sua caixa de correio.
Por que a autenticação é importante?
A autenticação é crítica para proteger nossa segurança e privacidade. Realizamos muitos tipos diferentes de ações online, desde trabalhar e se comunicar até comprar ou armazenar dados privados, tipicamente de forma remota. A autenticação ajuda a preservar a integridade de qualquer espaço digital, como bancos, plataformas de computação em nuvem, páginas de mídias sociais, entre outros, mitigando o risco de acesso não autorizado. É por causa da autenticação que podemos confiar em sistemas e identidades fisicamente invisíveis.
Algumas ferramentas de autenticação também podem desacelerar ou parar um ataque cibernético. Por exemplo, um cibercriminoso com um nome de usuário e senha roubados pode invadir uma conta para roubar dados, liberar malware ou iniciar um ataque Man-in-the-Middle (MitM). No entanto, seus movimentos laterais podem ser interrompidos em um sistema com protocolos de autenticação mais profundos.
A autenticação também é essencial porque aumenta a responsabilidade dos usuários. Um usuário autenticado pode ser menos propenso a engajar em atividades maliciosas porque sabe que está sendo rastreado. A autenticação pode ajudar organizações de algumas indústrias a cumprir com as leis de segurança e privacidade ao melhorar a segurança dos dados.
Para que serve a autenticação?
A autenticação pode ser usada para vários propósitos:
- Segurança de dispositivo: Todos os tipos de dispositivos com sistemas operacionais implementam autenticação para segurança, incluindo desktops, laptops, smartphones, tablets e até mesmo uma ampla gama de dispositivos de Internet das Coisas (IoT).
- Segurança de conta: Múltiplas plataformas utilizam autenticação para melhorar a segurança da conta. Por exemplo, contas de e-mail e mídias sociais usam autenticação para evitar que usuários não autorizados acessem contas. Plataformas financeiras protegem bancos online, pagamentos digitais e comércio eletrônico de fraudes com autenticação.
- Computação em nuvem: À medida que mais organizações mudam para plataformas de computação em nuvem como o Microsoft Azure, a autenticação é usada para a segurança de ativos, dados e operações. A autenticação também é usada para a segurança de organizações com ativos on-premises, como redes e sistemas que adotam o trabalho remoto.
- Controle de acesso: A autenticação é usada não apenas para segurança externa, mas também para segurança interna. Organizações podem utilizar a autenticação para garantir que a equipe possa acessar redes, aplicativos e dados com base na necessidade de saber.
Autenticação vs autorização
Embora autenticação e autorização pareçam semelhantes, e os dois termos sejam às vezes usados incorretamente de forma intercambiável, eles são conceitos diferentes em cibersegurança. A explicação longa é que a autorização é o processo de verificar a identidade por credenciais de login, características faciais, voz ou um token de autenticação. A autorização é o que acontece após a autenticação. Assim que o sistema autentica a identidade de um sistema ou pessoa, ele permite que a entidade acesse recursos ou realize ações com base em seus privilégios.
A explicação curta de autenticação vs autorização é que a primeira determina se uma entidade tem permissão de acesso, e a última determina com quais recursos ela pode interagir após a autorização.
Fatores de autenticação comumente usados
Qualquer pessoa que tenha usado um sistema operacional moderno ou trabalhado em uma plataforma de computação em nuvem sabe que existem muitos tipos diferentes de métodos e ferramentas de autenticação, como PINs (Números de Identificação Pessoal), impressões digitais, tokens e endereços IP. Esses métodos ou ferramentas pertencem a diferentes categorias chamadas fatores de autenticação.
Fatores de conhecimento
Um fator de conhecimento é considerado qualquer coisa que um usuário sabe, como uma senha ou uma resposta a uma pergunta de segurança. Fatores de conhecimento são tipicamente rápidos, mas vulneráveis a hackers. Por exemplo, senhas podem ser roubadas. Senhas fracas são suscetíveis a ataques de força bruta como ataques de dicionário.
Recomendamos fortemente que você aprenda a criar uma senha forte para proteger suas contas. Você também pode considerar o uso de um gerenciador de senhas de primeira linha para gerenciar sua lista de credenciais de login complexas.
Fatores de posse
Um fator de posse pode ser mais seguro que um fator de conhecimento porque requer que o usuário esteja em posse de um determinado item, como um token ou um smartphone, para comprovar sua identidade. Por exemplo, um sistema pode enviar uma senha única para o dispositivo inteligente de um usuário quando eles estão tentando ganhar acesso. No entanto, fatores de posse também não são perfeitos, pois posses podem ser sequestradas ou roubadas.
Fatores de herança
Um dos fatores de autenticação mais seguros é o fator de herança porque se baseia em características físicas únicas do usuário, como uma impressão digital ou íris.
A maior desvantagem de depender de fatores de herança é que o hardware do sistema deve ser capaz de absorver e processar dados biométricos, embora a maioria dos dispositivos modernos tenha tais recursos.
Um fator de herança também pode se provar muito eficaz em circunstâncias raras. Por exemplo, houve várias situações em que familiares próximos não conseguiram acessar a criptomoeda de seu filho falecido porque o dispositivo estava protegido por um fator de herança.
Fatores de localização
Uma organização, como um serviço de streaming, pode usar um fator de localização como geo-bloqueio para restringir o acesso a usuários de locais específicos. Por exemplo, um serviço de streaming como a Netflix EUA pode bloquear usuários do Canadá de visualizar alguns conteúdos. No entanto, fatores de localização geralmente têm formas de contornar. Por exemplo, alguém no Canadá poderia teoricamente utilizar uma VPN privada para mascarar sua localização e acessar a Netflix EUA.
Fatores de comportamento
Um fator de autenticação baseado em comportamento exige que o usuário execute certas ações para comprovar sua identidade. Por exemplo, eles podem ser obrigados a desenhar certos padrões ou resolver um quebra-cabeça rudimentar para provar que são humanos e não um bot. O reCAPTCHA do Google usa um motor de análise de risco e rastreia os movimentos do mouse para verificar o comportamento humano.
Tipos de autenticação
Autenticação baseada em senha
A forma mais comum de autenticação, a autenticação baseada em senha, é o processo de verificar a identidade de um usuário pedindo que ele forneça uma senha que corresponda exatamente à armazenada. O sistema rejeitará uma senha que não coincida com a senha armazenada, mesmo que seja por um único caractere.
Como mencionado, hackers podem adivinhar senhas fracas muito rapidamente utilizando as mais recentes ferramentas. É por isso que os usuários devem definir senhas com pelo menos 10 caracteres de comprimento e complexas e alterar senhas periodicamente.
Autenticação multifatorial (MFA)
A MFA nasceu da necessidade. Mesmo a senha mais sofisticada pode ser roubada. Com autenticação multifatorial, usuários não autorizados podem ter que autenticar sua identidade de outra maneira se acionarem o sistema de segurança do sistema. Por exemplo, se um sistema identificar um novo dispositivo ou endereço IP durante uma tentativa de login, ele pode pedir um PIN ou um token, mesmo que o usuário apresente as credenciais de login corretas.
Autenticação de dois fatores (2FA)
Muitas pessoas se perguntam sobre a diferença entre 2FA e MFA. A resposta é que 2FA é essencialmente um subconjunto de MFA. Como mencionado, a MFA solicita dois ou mais fatores de autenticação. O 2FA solicita apenas dois, tipicamente uma senha e um código de acesso enviado para uma conta de e-mail ou dispositivo móvel. Você pode ler sobre os fundamentos da autenticação de dois fatores para aprender mais.
Enquanto os usuários de redes sociais usam 2FA para proteger suas contas, algumas plataformas estão, infelizmente, monetizando a segurança das contas. Por exemplo, você pode ter lido sobre Twitter e autenticação de dois fatores, onde a plataforma está alterando radicalmente as configurações de segurança. Desde 19 de março, os usuários não podem mais usar 2FA via SMS sem pagar por uma assinatura.
No entanto, os usuários têm outras opções (por enquanto). Por exemplo, podem configurar a autenticação de dois fatores no Twitter usando uma chave de hardware para maior segurança. Uma chave de hardware é uma ferramenta melhor para segurança do que SMS, que é passível de um ataque de troca de SIM.
Autenticação de fator único (SFA)
Como o nome sugere, a SFA exige apenas que os usuários forneçam uma única peça de autenticação. Normalmente, uma senha é o tipo mais comum de SFA. Embora a SFA possa ser mais conveniente do que a MFA, pode ser significativamente menos segura, especialmente se o tipo de autenticação for fraco. A SFA também é vulnerável a ataques de engenharia social, como phishing.
Autenticação baseada em certificado
Com esse tipo de autenticação, um sistema utiliza um certificado digital. A autenticação baseada em certificado é mais segura do que senhas porque os certificados são sofisticados, usam chaves e são revogáveis pela autoridade emissora. Organizações de alto perfil, como governos, usam essa técnica criptográfica para segurança aprimorada.
Autenticação biométrica
Como mencionado, a autenticação biométrica se baseia em características físicas únicas como impressões digitais, vozes e íris para proteger sistemas. A autenticação biométrica é a forma mais segura e conveniente de autenticação.
Autenticação baseada em token
Aplicações Web, APIs e outros sistemas muitas vezes usam tokens para autenticar usuários. Em poucas palavras, um token é um identificador único emitido para um usuário autorizado. Enquanto os tokens estão crescendo em uso devido ao aumento dos ambientes de trabalho híbridos, o roubo de tokens também está aumentando.
Autenticação básica
Um sistema de autenticação básica pede apenas um nome de usuário e senha para autenticar um usuário. Sistemas que usam métodos básicos são mais suscetíveis a hackers. Apenas recursos de teste internos ou sistemas públicos, como Wi-Fi público, usam autenticação básica hoje em dia. A autenticação básica é a principal razão pela qual os usuários devem ser mais cuidadosos ao usar Wi-Fi público.
Autenticação sem senha
À medida que usuários e organizações buscam mais conveniência com segurança, as opções de autenticação sem senha, como biometria, chaves de segurança, tokens e códigos únicos, estão se tornando populares nos ambientes empresariais e plataformas de uso do consumidor.
Além da conveniência extra, a autenticação sem senha pode proporcionar mais segurança, pois muitos usuários continuam a usar senhas fracas ou caem em ataques de phishing que visam as credenciais.
Autenticação baseada em conhecimento (KBA)
A KBA é um tipo de autenticação que testa o conhecimento de uma pessoa sobre as informações que ela armazenou para autenticar sua identidade. Exemplos de KBA incluem responder a perguntas sobre a rua em que cresceram, sua cor favorita ou o nome de solteira da mãe.
Existem várias razões pelas quais a KBA é um método de autenticação fraco. Com mais dados de usuários disponíveis publicamente em fóruns de mensagens e plataformas de redes sociais como LinkedIn e Facebook, é mais fácil para um agente ameaça coletar os dados necessários para contornar a KBA. Além disso, os usuários são menos propensos a definir respostas complexas para perguntas secretas do que definir senhas complexas.
Autenticação mútua
A autenticação mútua, também conhecida como autenticação de duas vias, é um tipo de autenticação onde ambas as partes em uma conexão se verificam, geralmente com certificados digitais. Embora a autenticação mútua seja usada mais comumente por protocolos de comunicação como Transport Layer Security (TLS) e Secure Sockets Layer (SSL), muitos dispositivos da Internet das Coisas (IoT) também usam a técnica em conexões dispositivo a dispositivo.
Autenticação por SMS
Autenticação por SMS usa mensagens de texto como um componente de MFA. Autenticação por SMS funciona melhor quando os métodos de autenticação não são adulterados. Por exemplo, uma operadora de celular teve uma ideia brilhante de misturar o SMS com um anúncio, o que poderia permitir que invasores projetassem ataques de smishing mais convincentes.
Autenticação de rede ou servidor
A autenticação de rede refere-se à identificação de usuários que tentam acessar uma rede ou servidor. Esse tipo de autenticação é usado em protocolos de comunicação, VPNs, firewalls e sistemas que controlam o acesso a aplicativos.
Autenticação por chave secreta
Em um sistema que utiliza autenticação por chave secreta, o usuário e o sistema compartilham uma chave de sessão criptográfica conhecida apenas pelas duas partes. Essas chaves são simétricas. Em outras palavras, funcionam para criptografar e descriptografar. Protocolos de comunicação, como o Secure Sockets Layer (SSL), usam autorização por chave secreta para garantir a segurança da transferência de dados, como entre um navegador e um site.
Chave de segurança física
Uma chave de segurança física é um hardware que ajuda um usuário a provar sua identidade e é um exemplo de fator de posse. Normalmente, uma chave de segurança física gera um código único que é compartilhado com um sistema para autenticação. Chaves de segurança física eram usadas apenas por organizações de alto perfil, como bancos e agências de inteligência, há mais de uma década.
No entanto, muitos tipos diferentes de plataformas, como jogos, comércio eletrônico e redes sociais, permitem que os usuários protejam suas contas com chaves de segurança física hoje em dia. Por exemplo, os usuários podem ativar a autenticação com chave de hardware do Facebook para iOS e Android para uma camada extra de segurança de posse ao redor de suas contas.
Melhores práticas de autenticação
- Cuidado com malware projetado para roubar credenciais ou dados sensíveis, como alguns tipos de Trojans, spywares e keyloggers. Aprenda também como remover um keylogger, pois ele pode capturar teclas digitadas, capturas de tela e outras informações para enganar um sistema de autenticação.
- Defina senhas com pelo menos dez caracteres e que contenham uma mistura de números, símbolos e alfabetos.
- Evite usar padrões conhecidos nas senhas, como uma data de nascimento ou o nome de uma celebridade favorita.
- Nunca armazene suas credenciais de login à vista, como em um papel na sua mesa. Criptografe senhas em dispositivos.
- Dê uma mãozinha à sua senha usando métodos de MFA, como identificação biométrica ou uma chave de segurança.
- Cuidado com ataques de engenharia social projetados para roubar suas credenciais.
- Evite reutilizar sua senha; caso contrário, uma senha roubada pode resultar em múltiplas violações de contas.
- Altere sua senha regularmente. Tente usar um gerenciador de senhas confiável para conveniência.
- Incentive o administrador de rede da sua organização a limitar os tempos de sessão para prevenir sequestros de sessão.
- Os administradores devem monitorar os logs de autenticação e os dados da rede para reagir rapidamente a atividades suspeitas, como múltiplas tentativas de acesso de endereços IP suspeitos.
- As organizações devem considerar a adoção de uma arquitetura de confiança zero para maior segurança.
