Melhorar a segurança digital com a autenticação de dois factores (2FA)
Autenticação de dois factores: do conceito à implementação moderna
À medida que as ciberameaças se tornam mais sofisticadas, a importância de métodos seguros para proteger as informações digitais torna-se cada vez mais evidente. As palavras-passe tradicionais já não são suficientes devido à sua vulnerabilidade ao roubo e à pirataria informática, o que realça a necessidade de métodos de autenticação avançados para aumentar a segurança.
A autenticação funciona como um processo de segurança crucial, verificando a identidade de um utilizador antes de este aceder a informações ou sistemas sensíveis. Isto garante que apenas os utilizadores autorizados podem ter acesso a contas ou dados, servindo como uma barreira fundamental contra a entrada não autorizada.
As informações históricas revelam que a dependência apenas de palavras-passe é uma vulnerabilidade conhecida há décadas. Os especialistas em cibersegurança reconheceram esta falha já na década de 1980, o que levou à proposta da autenticação de dois factores (2FA) para resolver estas preocupações.
Bill Cheswick foi um dos primeiros a sugerir o conceito de 2FA em 1984, defendendo a adição de dois tipos distintos de verificação de identidade antes de permitir o acesso a um sistema ou rede online. Este método de dupla verificação aumenta significativamente a segurança dos activos digitais, tornando o acesso não autorizado duplamente difícil para os adversários cibernéticos.
Ao longo dos anos, a 2FA tem registado uma evolução considerável, desde os tokens de hardware e a verificação baseada em SMS até à adoção de soluções baseadas em aplicações e métodos de autenticação biométrica, como as impressões digitais e o reconhecimento facial. Atualmente, a mudança para a utilização de chaves de acesso, que aproveitam a criptografia de chave pública para um método de autenticação mais seguro e resistente a phishing, marca o mais recente avanço no esforço contínuo para proteger as informações digitais de forma mais eficaz.
O que é a 2FA?
Imagine que está num evento e precisa de mostrar um bilhete e dizer um código de acesso para entrar. A autenticação de dois factores (2FA) funciona de forma semelhante para aceder às suas contas online. Primeiro, pede a sua palavra-passe, mas as palavras-passe podem por vezes ser adivinhadas ou roubadas, pelo que a 2FA não se baseia apenas nisso. Em seguida, adiciona uma segunda camada. Esta pode ser um código enviado para o seu telemóvel, a sua impressão digital ou mesmo uma leitura facial. Este processo em duas etapas garante que, mesmo que alguém consiga obter a sua palavra-passe, não conseguirá aceder à sua conta sem esse segundo fator. É um passo extra para si, mas é um grande salto para a sua segurança online.
O que é o MFA e qual é a diferença para o 2FA?
A autenticação multifactor (MFA) combina dois ou mais tipos diferentes de autenticação: conhecimento(palavras-passe ou PINs), posse (um telemóvel ou token de segurança) e inerência (verificação biométrica como impressões digitais ou reconhecimento facial).
Ao exigir várias provas de identidade, a MFA cria um sistema de defesa de várias camadas que reduz significativamente o risco de acesso não autorizado.
Como é que a 2FA funciona?
Para explicar o funcionamento da 2FA, temos de começar por analisar o termo 2FA e compreender o que é um fator de autenticação. Um fator de autenticação ajuda-o a obter acesso e a enviar ou solicitar dados de um sistema, aplicação ou rede protegidos. Uma palavra-passe é um exemplo clássico de um fator de autenticação. No entanto, a proteção por palavra-passe, por si só, não pode proteger os seus dados de possíveis riscos de segurança. Por conseguinte, torna-se necessário um segundo fator de autenticação que garanta que, juntamente com a sua palavra-passe, outro vetor proteja o processo de início de sessão da conta.
Eis como funciona normalmente a 2FA:
- O utilizador visita o sistema, a aplicação, o sítio Web ou a rede a que precisa de aceder
- O utilizador é então convidado a introduzir o nome de utilizador e a palavra-passe (que os adversários muitas vezes decifram rapidamente devido a ataques anteriores, adivinhação de palavras-passe, ataques de força bruta, reutilização de palavras-passe ou outros erros humanos)
- O referido sistema pede então ao utilizador que introduza a segunda entrada de verificação (que pode ser um OTP baseado em SMS, uma verificação de aplicação autenticadora, reconhecimento facial ou de impressões digitais)
Para compreender o mecanismo da 2FA, pense na sua conta bancária na Internet, em que tem de introduzir o seu nome de utilizador e a sua palavra-passe e introduzir um número de identificação único e confidencial (também designado por OTP ou One-Time Password) recebido através de uma aplicação, ou através de uma notificação por correio eletrónico no seu endereço de correio eletrónico registado ou de uma mensagem de texto no seu número de telemóvel.
Porquê utilizar a 2FA?
Embora seja um passo elementar e obrigatório da privacidade dos activos digitais, as palavras-passe são um elo fraco no ambiente de segurança da informação pelas seguintes razões
- Devido ao enorme número de violações de dados que ocorrem todos os dias, milhões de endereços de correio eletrónico e pares de palavras-passe estão a circular para venda na dark web. Isto fez com que muitas combinações de palavras-passe se tornassem cada vez menos seguras ao longo do tempo.
- A reutilização de palavras-passe em diferentes plataformas é uma prática de segurança comum e incorrecta, que permite a um agente de ameaça tentar utilizar logins roubados de uma violação para entrar noutra conta em linha.
- Noutro cenário, os maus hábitos em matéria de palavras-passe, como a utilização de palavras-passe fracas e facilmente adivinháveis ("123456" ou "PA$$WORD"), facilitam muito o trabalho dos hackers. Por outro lado, com o advento da computação quântica, a necessidade de uma combinação de palavras-passe fortes e autenticação multifactor aumentou.
Por conseguinte, a necessidade de ir além do domínio da proteção por palavra-passe é a necessidade do momento. A autenticação de dois factores é a solução para este problema e é uma ferramenta de segurança essencial que funciona como um escudo mais robusto do que as palavras-passe face a ciberataques. Muitos sítios utilizam a autenticação baseada no conhecimento como segundo fator de autenticação. Estes incluem perguntas como "Qual é o nome do seu animal de estimação?" ou "Em que cidade nasceu?".
No entanto, estas perguntas podem ser problemáticas, devido ao risco de ataques de engenharia social e tendo em conta a facilidade com que é possível obter estas respostas na era dos meios de comunicação social e da presença digital sem fim. Qualquer pessoa que saiba como fazer uma pesquisa pode obter instantaneamente estas informações aparentemente pessoais e comprometer uma conta de utilizador. Quando os adversários têm acesso às redes sociais ou à conta de utilizador de alguém, tentam roubar as suas informações de identificação pessoal (PII) , como nomes, datas de nascimento, moradas e informações de contas bancárias.
Por conseguinte, é essencial compreender os aspectos matizados da implementação da autenticação de dois factores em camadas porque, quando combinada com as estratégias de segurança corretas, a 2FA funciona eficazmente na proteção das contas de utilizador contra o acesso não autorizado e os ataques de hackers.
Tipos de 2FA e respectivos prós e contras
Antes de ativar a 2FA, é imperativo conhecer os diferentes tipos de métodos de autenticação de dois factores disponíveis e ponderar cada um dos seus prós e contras para tomar uma decisão informada. Seguem-se os principais tipos de métodos 2FA, juntamente com os respectivos prós e contras:
- Verificação por SMS e por voz: A verificação por SMS ocorre quando o utilizador recebe um texto ou um código único num número de telefone de confiança, que deve ser verificado num site ou aplicação. A autenticação por voz verifica a identidade de um utilizador através da automatização. Normalmente, a voz pede ao utilizador para premir uma tecla ou dizer o seu nome para verificação da identidade. As limitações técnicas destes métodos surgem quando o utilizador perde o telemóvel ou muda de número. Os adversários podem intercetar mensagens de texto, solicitar os mesmos números que as vítimas e aceder aos códigos de validação. As contas de correio eletrónico comprometidas, por outro lado, representam a ameaça de dar acesso fácil a todos os códigos de segurança.
- Biometria: A biometria inclui impressões digitais e reconhecimento facial ou de voz. Fácil e cómoda, esta funcionalidade está disponível na maioria dos smartphones e é muito utilizada para a autenticação de dois fatores. No entanto, há um limite para a alteração da impressão digital registada e existe sempre um risco associado à transferência de dados e à mudança de dispositivo.
- Tokens de hardware: Um dos métodos 2FA mais antigos, envolve fichas de autenticação física, como porta-chaves, que os funcionários utilizam para aceder a redes seguras.
- Chaves de acesso: Substituindo gradualmente as palavras-passe, as chaves de acesso são mais seguras e mais práticas. Podem ser armazenadas em qualquer lugar, o que as torna uma opção 2FA ainda mais atractiva para os utilizadores. Embora seja um método de segurança promissor, as chaves de acesso ainda estão a dar os primeiros passos. Depois de encontrar um fornecedor de serviços de chaves de acesso de confiança, pode ser uma boa ideia experimentar as chaves de acesso e ver se funcionam para si.
- Códigos únicos de uma aplicação de autenticação: As aplicações de autenticação especializadas geram códigos únicos que garantem um processo de início de sessão seguro.
A 2FA é segura e protegida?
A autenticação de dois factores é um escudo de segurança consideravelmente mais robusto do que a autenticação de fator único, como uma combinação de nome de utilizador e palavra-passe. Cria uma proteção de duas camadas contra a intrusão cibernética, verificando a identidade de um utilizador de duas formas distintas. Embora a 2FA tenha as suas limitações, a utilização adequada e a adoção das medidas de segurança recomendadas garantem uma maior cibersegurança com a autenticação de dois factores. Seguem-se algumas lacunas de segurança associadas à 2FA:
- Falsificação e phishing: Os adversários utilizam frequentemente o spoofing para intercetar mensagens, comprometendo a sua rede telefónica. Sem encriptação de ponta a ponta, torna-se muito fácil para os atacantes acederem às suas mensagens de texto (é quando as OTPs ficam comprometidas na 2FA). Os agentes de ameaças também utilizam tácticas de phishing para manipular os utilizadores de modo a que instalem malware nos seus dispositivos, o que os ajuda a aceder aos códigos de acesso, nomes de utilizador e outros dados confidenciais dos utilizadores.
- Troca de SIM: Esta é uma técnica comum de engenharia social que os atacantes utilizam para ligar para a companhia telefónica de um utilizador, fazer-se passar por ele e pedir para ativar o seu número num novo telefone. Com isto feito, não há forma de o SMS 2FA poder salvaguardar as suas contas digitais.
Desafios e considerações sobre a 2FA
A autenticação de dois factores é uma medida de segurança cibernética fiável e a sua utilização é também muito frequente no sector bancário - um sector que exige segurança avançada. A autenticação por palavra-passe e palavra-passe de uso único (OTP), que permanece válida durante apenas 5-10 minutos, é uma prática eficaz para garantir um risco mínimo de intrusão cibernética. As empresas globais estão gradualmente a reconhecer a robustez da 2FA e a implementá-la nos seus regimes de cibersegurança. Seguem-se alguns aspectos a ter em conta ao implementar a 2FA:
- A autenticação por SMS é uma 2FA conveniente, mas pode tornar-se um ponto de acesso fácil durante ataques man-in-the-middle.
- A implementação da 2FA nos seus dispositivos não requer que seja um especialista em segurança. É fácil de encontrar e implementar nas definições de segurança do dispositivo.
- Faça uma pesquisa exaustiva sobre o seu fornecedor de serviços antes de optar por aplicações de autenticação de terceiros.
Dicas práticas para uma segurança 2FA melhorada
Ao implementar a autenticação de dois factores, é essencial seguir estas dicas práticas para garantir uma segurança óptima:
- Mantenha os códigos de backup seguros: Durante o processo de configuração da 2FA, receberá códigos de segurança. Guarde estes códigos em segurança, num gestor de palavras-passe ou num local fisicamente seguro, para garantir o acesso em caso de perda do dispositivo 2FA.
- Seja cauteloso com as tentativas de phishing: Mantenha-se atento às ameaças de phishing. Evite clicar em ligações suspeitas ou partilhar os seus códigos 2FA, uma vez que estas acções podem comprometer a sua segurança.
- Utilize opções biométricas quando disponíveis: Se o seu dispositivo suportar a 2FA biométrica, como a impressão digital ou o reconhecimento facial, considere a utilização destas opções para maior comodidade e segurança.
- Informe-se sobre a 2FA: É crucial compreender a importância da autenticação de dois factores. Esta adiciona uma camada crítica de segurança às suas contas, dificultando o acesso de pessoas não autorizadas.
- Atualizar regularmente as definições de segurança: Reveja e actualize periodicamente as suas definições de segurança, incluindo os seus métodos 2FA, para garantir que está a utilizar as opções mais seguras disponíveis.
A autenticação de dois factores ajuda a garantir que terceiros não autorizados não podem aceder às contas dos utilizadores. É certamente melhor do que depender de uma única camada de proteção por palavra-passe. Apesar das suas limitações que se manifestam sob a forma de e-mails de phishing, troca de SIM ou ataques de engenharia social, a 2FA continua a ser uma medida eficiente de verificação de identidade e segurança.
Encontrar o método 2FA mais adequado às suas necessidades de segurança cria uma diferença e garante a sua eficácia. Embora a 2FA aumente consideravelmente a segurança, deve fazer parte de uma estratégia de segurança abrangente de uma organização que inclua uma combinação de outras práticas recomendadas de segurança, como práticas recomendadas de palavras-passe robustas, actualizações regulares de software, sensibilização para a cibersegurança, educação e formação.