Autenticação

A autenticação é o processo de verificação da identidade de um utilizador, dispositivo ou sistema. É um método de cibersegurança utilizado para garantir que a pessoa ou entidade que tenta aceder a um recurso está autorizada a fazê-lo. A autenticação envolve a validação de credenciais, como um nome de utilizador e uma palavra-passe, um certificado digital ou um fator biométrico, como uma impressão digital ou reconhecimento facial. É uma parte importante da proteção de informações sensíveis e da prevenção do acesso não autorizado a sistemas e dados.

VERIFICAÇÃO DE VÍRUS GRATUITA

O que é a autenticação

Métodos de autenticação e melhores práticas 

Desde os primórdios da civilização, a humanidade tem procurado formas seguras e convenientes de autenticar identidades para permitir o acesso apenas a quem está autorizado e manter-se um passo à frente dos agentes de ameaças. Caraterísticas faciais, tokens, criptografia, assinaturas, impressões digitais e palavras-passe eram apenas alguns dos métodos de autenticação utilizados antes da era digital. Uma evolução destas técnicas alimenta a autenticação atual.

Por exemplo, em vez de confiarmos no olho humano para reconhecer as caraterísticas faciais, confiamos em ferramentasbiométricas para autenticar uma pessoa pela sua íris, retina, impressão digital, voz ou outras caraterísticas biológicas distintas. Do mesmo modo, em vez de fichas físicas, os sistemas de segurança emitem fichas digitais aos utilizadores que provaram com êxito a sua identidade.

No entanto, os agentes de ameaças continuam a encontrar formas de contornar a autenticação. Numa época anterior, os criminosos podiam falsificar selos para contornar a segurança. Atualmente, há mais cibercriminosos a roubar tokens de autenticação para contornar a MFA (autenticação multifactor), por vezes com efeitos devastadores. Por exemplo, os piratas informáticos desviaram tokens de sessão para assumir espetacularmente o controlo de três canais do YouTube do Linus Media Group.

As equipas de cibersegurança de gigantes tecnológicos como a Google, a Microsoft e a Apple estão constantemente a tentar melhorar os seus sistemas de autenticação para proteger os utilizadores e as organizações de ataques de cibersegurança cada vez mais inteligentes e frequentes.

No entanto, muitos utilizadores preferem ter mais conveniência do que segurança, o que explicaria a lenta adoção da MFA pelos utilizadores da Microsoft, apesar de 25,6 mil milhões de tentativas de sequestro de contas utilizando palavras-passe roubadas por força bruta em 2021. Isso também pode explicar por que a Microsoft desativou a autenticação Basic para o Exchange Online em favor da autenticação moderna, com opções como MFA, cartões inteligentes, autenticação baseada em certificado (CBA) e provedores de identidade SAML (Security Assertion Markup Language) de terceiros.

Leia o nosso guia pormenorizado para saber mais:

  1. Significado da autenticação.
  2. Autenticação de dois factores vs autenticação multi-fator.
  3. Autenticação vs autorização.
  4. Métodos de autenticação.
  5. Autenticação sem palavra-passe.

Significado de autenticação

A autenticação é um método de cibersegurança que ajuda a verificar a identidade de um sistema ou de um utilizador. O método de autenticação mais comum é através de nomes de utilizador e palavras-passe. Outros métodos de autenticação, como a verificação biométrica, são mais sofisticados e completos. Um exemplo de autenticação seria se tentasse aceder ao seu correio eletrónico, teria de introduzir o seu nome de utilizador e a sua palavra-passe para entrar na sua caixa de correio.

Porque é que a autenticação é importante? 

A autenticação é fundamental para proteger a nossa segurança e privacidade. Realizamos muitos tipos diferentes de acções em linha, desde trabalhar e comunicar a fazer compras ou armazenar dados privados, normalmente de forma remota. A autenticação ajuda a preservar a integridade de qualquer espaço digital, como bancos, plataformas de computação em nuvem, páginas de redes sociais e outros, reduzindo o risco de acesso não autorizado. É graças à autenticação que podemos confiar em sistemas e identidades fisicamente invisíveis.

Algumas ferramentas de autenticação também podem abrandar ou parar um ataque informático. Por exemplo, um cibercriminoso com um nome de utilizador e uma palavra-passe roubados pode violar uma conta para roubar dados, lançar malware ou iniciar um ataque Man-in-the-Middle (MitM). No entanto, os seus movimentos laterais podem ser travados num sistema com protocolos de autenticação mais profundos.

A autenticação também é essencial porque aumenta a responsabilidade do utilizador. Um utilizador autenticado pode ter menos probabilidades de se envolver em actividades maliciosas porque sabe que está a ser seguido. A autenticação pode ajudar as organizações de alguns sectores a cumprir as leis de segurança e privacidade, melhorando a segurança dos dados.

Para que é que a autenticação é utilizada? 

A autenticação pode ser utilizada para vários fins:

  • Segurança dos dispositivos: Todos os tipos de dispositivos com sistemas operativos implementam a autenticação para segurança, incluindo computadores de secretária, computadores portáteis, smartphones, tablets e até uma vasta gama de dispositivos da Internet das Coisas (IoT).
  • Segurança da conta: Várias plataformas utilizam a autenticação para aumentar a segurança da conta. Por exemplo, as contas de correio eletrónico e de redes sociais utilizam a autenticação para impedir que utilizadores não autorizados acedam às contas. As plataformas financeiras protegem as operações bancárias em linha, os pagamentos digitais e o comércio eletrónico contra fraudes através da autenticação.
  • Computação em nuvem: À medida que mais organizações mudam para plataformas de computação em nuvem como o Microsoft Azure, a autenticação é utilizada para a segurança de activos, dados e operações. A autenticação também é utilizada para a segurança das organizações com activos no local, como redes e sistemas que adoptam o trabalho remoto.
  • Controlo de acesso: A autenticação é utilizada não só para a segurança externa, mas também para a segurança interna. As organizações podem utilizar a autenticação para garantir que o pessoal pode aceder a redes, aplicações e dados com base na necessidade de conhecimento.

Autenticação vs autorização

Embora a autenticação e a autorização pareçam semelhantes, e os dois termos sejam por vezes incorretamente utilizados como sinónimos, são dois conceitos diferentes em cibersegurança. A explicação mais longa é que a autorização é o processo de verificação da identidade através de credenciais de início de sessão, caraterísticas faciais, voz ou um token de autenticação. A autorização é o que acontece após a autenticação. Depois de o sistema ter autenticado a identidade de um sistema ou de uma pessoa, permite que a entidade aceda a recursos ou execute acções com base nos seus privilégios. 

A explicação resumida da autenticação versus autorização é que a primeira determina se uma entidade tem permissão de acesso e a segunda determina quais os recursos com que pode interagir após a autorização.

Factores de autenticação habitualmente utilizados 

Qualquer pessoa que tenha utilizado um sistema operativo moderno ou trabalhado numa plataforma de computação em nuvem sabe que existem muitos tipos diferentes de métodos e ferramentas de autenticação, como PINs (Personal Identification Numbers), impressões digitais, tokens e endereços IP. Estes métodos ou ferramentas dividem-se em diferentes categorias denominadas factores de autenticação.

Factores de conhecimento 

Um fator de conhecimento é considerado como qualquer coisa que um utilizador saiba, como uma palavra-passe ou uma resposta a uma pergunta de segurança. Os factores de conhecimento são normalmente rápidos, mas vulneráveis à pirataria informática. Por exemplo, as palavras-passe podem ser roubadas. As palavras-passe fracas são susceptíveis a ataques de força bruta, comoos ataques de dicionário .

Recomendamos vivamente que aprenda a criar uma palavra-passe forte para proteger as suas contas. Também pode considerar a utilização de umgestor de palavras-passe de topo para gerir a sua lista de credenciais de início de sessão complexas.

Factores de posse 

Um fator de posse pode ser mais seguro do que um fator de conhecimento porque exige que um utilizador esteja na posse de um determinado item, como um token ou um smartphone, para provar a sua identidade. Por exemplo, um sistema pode enviar uma palavra-passe de uso único para o dispositivo inteligente de um utilizador quando este tenta obter acesso. No entanto, os factores de posse também não são perfeitos, uma vez que as posses podem ser desviadas ou roubadas.

Factores de hereditariedade 

Um dos factores de autenticação mais seguros é o fator de herança, porque se baseia nas caraterísticas físicas únicas de um utilizador, como a impressão digital ou a íris.

A maior desvantagem de depender de factores de hereditariedade é que o hardware do sistema deve ser capaz de absorver e processar dados biométricos, embora a maioria dos dispositivos modernos tenha essas caraterísticas.

Um fator de herança pode também revelar-se demasiado eficaz em circunstâncias raras. Por exemplo, houve vários casos em que o parente mais próximo não conseguiu aceder às criptomoedas do seu filho falecido porque o dispositivo estava protegido por um fator de herança. 

Factores de localização 

Uma organização, como um serviço de streaming, pode utilizar um fator de localização como o bloqueio geográfico para restringir o acesso a utilizadores de localizações específicas. Por exemplo, um serviço de streaming como o Netflix USA pode bloquear a visualização de alguns conteúdos a utilizadores do Canadá. No entanto, os factores de localização têm normalmente soluções alternativas. Por exemplo, alguém no Canadá poderia teoricamente utilizar umaVPN privada para ocultar a sua localização e aceder à Netflix EUA.

Factores comportamentais 

Um fator de autenticação baseado no comportamento exige que um utilizador execute determinadas acções para provar a sua identidade. Por exemplo, pode ser-lhes pedido que desenhem determinados padrões ou resolvam um puzzle reudimentar para provar que são humanos e não um bot. O reCAPTCHA da Google utiliza um motor de análise de risco e segue os movimentos do rato para verificar o comportamento humano.

Tipos de autenticação 

Autenticação baseada em palavra-passe

A forma mais comum de autenticação, a autenticação baseada na palavra-passe, é o processo de verificação da identidade de um utilizador, pedindo-lhe que forneça uma palavra-passe que corresponda totalmente à palavra-passe armazenada. O sistema rejeitará uma palavra-passe que não corresponda à palavra-passe armazenada, nem que seja por um carácter.

Como mencionado, os hackers podem adivinhar palavras-passe fracas muito rapidamente utilizando as ferramentas mais recentes. É por isso que os utilizadores devem definir palavras-passe com pelo menos 10 caracteres e complexas e alterar as palavras-passe periodicamente.

Autenticação multi-fator (MFA)

A MFA nasceu por necessidade. Mesmo a palavra-passe mais sofisticada pode ser roubada. Com aautenticação multifactor , os utilizadores não autorizados podem ter de autenticar a sua identidade de outra forma se acionarem o sistema de segurança do sistema. Por exemplo, se um sistema identificar um novo dispositivo ou endereço IP durante uma tentativa de início de sessão, pode pedir um PIN ou um token, mesmo que o utilizador apresente as credenciais de início de sessão corretas.

Autenticação de dois factores (2FA)

Muitas pessoas interrogam-se sobre a diferença entre 2FA e MFA. A resposta é que a 2FA é essencialmente um subconjunto da MFA. Como mencionado, a MFA exige dois ou mais factores de autenticação. A 2FA apenas pede dois, normalmente uma palavra-passe e um código de acesso enviado para uma conta de correio eletrónico ou dispositivo móvel. Para saber mais, pode ler em os conceitos básicos da autenticação de dois factores.

Embora os utilizadores de páginas de redes sociais utilizem a 2FA para proteger as suas contas, algumas plataformas estão, infelizmente, a rentabilizar a segurança das contas. Por exemplo, pode ter lido sobre o Twitter e a autenticação de dois factores, em que a plataforma está a alterar drasticamente as definições de segurança. Desde 19 de março, os utilizadores não podem utilizar a 2FA baseada em SMS sem pagar uma subscrição.

No entanto, os utilizadores têm outras opções (por enquanto). Por exemplo, podem configurar a autenticação de dois factores no Twitter utilizando uma chave de hardware para segurança avançada. Uma chave de hardware é uma ferramenta de segurança melhor do que o SMS, que está aberto a um ataque de swim-swapping.

Autenticação de fator único (SFA) 

Tal como o nome sugere, a SFA apenas exige que os utilizadores forneçam um elemento de autenticação. Normalmente, uma palavra-passe é o tipo mais comum de SFA. Embora a SFA possa ser mais conveniente do que a MFA, pode ser significativamente menos segura, especialmente se o tipo de autenticação for fraco. A SFA também é vulnerável a ataques de engenharia social, como o phishing.

Autenticação baseada em certificados

Com este tipo de autenticação, um sistema utiliza um certificado digital. A autenticação baseada em certificados é mais segura do que as palavras-passe porque os certificados são sofisticados, utilizam chaves e são revogáveis pela autoridade emissora. As organizações de alto nível, como os governos, utilizam esta técnica criptográfica para aumentar a segurança.

Autenticação biométrica

Como mencionado, a autenticação biométrica baseia-se em caraterísticas físicas únicas, como impressões digitais, vozes e íris, para proteger os sistemas. A autenticação biométrica é a forma mais segura e conveniente de autenticação.

Autenticação baseada em token

As aplicações Web, APIs e outros sistemas utilizam frequentemente tokens para autenticar utilizadores. Em poucas palavras, um token é um identificador único que é emitido para um utilizador autorizado. Embora a utilização de tokens esteja a crescer devido ao aumento de ambientes de trabalho híbridos, o roubo de tokens também está a aumentar.

Autenticação Basic 

Um sistema de autenticação básico apenas pede um nome de utilizador e uma palavra-passe para autenticar um utilizador. Os sistemas que utilizam métodos básicos são mais susceptíveis aos hackers. Atualmente, apenas os recursos de teste internos ou os sistemas públicos, como o WiFi público, utilizam a autenticação básica. A autenticação Basic é a principal razão pela qual os utilizadores devem ter mais cuidado quando utilizam redes WiFi públicas.

Autenticação sem palavra-passe

À medida que os utilizadores e as organizações exigem mais comodidade com segurança, as opções de autenticação sem palavra-passe, como a biometria, as chaves de segurança, os tokens e os códigos de utilização única, estão a ganhar popularidade em ambientes empresariais e plataformas utilizadas pelos consumidores.

Para além da conveniência extra, a autenticação sem palavra-passe pode proporcionar mais segurança porque muitos utilizadores continuam a utilizar palavras-passe fracas ou são vítimas de ataques de phishing que atacam as credenciais.

Autenticação baseada no conhecimento (KBA) 

O KBA é um tipo de autenticação que testa o conhecimento de uma pessoa sobre as informações que guardou para autenticar a sua identidade. Exemplos de KBA incluem responder a perguntas sobre a rua onde cresceu, a sua cor favorita ou o nome de solteira da sua mãe.

Há várias razões pelas quais o KBA é um método de autenticação fraco. Com mais dados de utilizadores disponíveis publicamente em fóruns de mensagens e plataformas de redes sociais como o LinkedIn e o Facebook, é mais fácil para um agente de ameaças recolher os dados necessários para contornar o KBA. Além disso, é menos provável que os utilizadores definam respostas complexas a perguntas secretas do que palavras-passe complexas.

Autenticação mútua

A autenticação mútua, também conhecida como autenticação bidirecional, é um tipo de autenticação em que ambas as partes numa ligação se verificam mutuamente, normalmente com certificados digitais. Embora a autenticação mútua seja utilizada mais frequentemente por protocolos de comunicação como o Transport Layer Security (TLS) e o Secure Sockets Layer (SSL), muitos dispositivos da Internet das Coisas (IoT) também utilizam a técnica em ligações dispositivo-a-dispositivo.

Autenticação por SMS

A autenticação por SMS utiliza mensagens de texto como componente da MFA. A autenticação por SMS funciona melhor quando os métodos de autenticação não são adulterados. Por exemplo, uma operadora sem fios teve a brilhante ideia de misturara autenticação por SMS com um anúncio, o que poderia permitir aos agentes de ameaças conceber ataques smishing mais convincentes.

Autenticação de rede ou de servidor 

A autenticação de rede refere-se à identificação de utilizadores que estão a tentar obter acesso a uma rede ou servidor. Este tipo de autenticação é utilizado em protocolos de comunicação, VPNs, firewalls e sistemas que controlam o acesso a aplicações.

Autenticação por chave secreta

Num sistema que utiliza autenticação por chave secreta, o utilizador e o sistema partilham uma chave de sessão criptográfica que só é conhecida pelas duas partes. Estas chaves são simétricas. Por outras palavras, funcionam para encriptação e desencriptação. Os protocolos de comunicação, como o Secure Sockets Layer (SSL), utilizam a autorização de chave secreta para garantir a segurança da transferência de dados, como entre um navegador Web e um sítio Web.

Chave de segurança física

Uma chave de segurança física é uma peça de hardware que ajuda um utilizador a provar a sua identidade e é um exemplo de fator de posse. Uma chave de segurança física gera normalmente um código único que é partilhado com um sistema para autenticação. As chaves de segurança física só eram utilizadas por organizações de alto nível, como bancos e agências de inteligência, há mais de uma década.

No entanto, atualmente, muitos tipos diferentes de plataformas, como jogos, comércio eletrónico e redes sociais, permitem que os utilizadores protejam as suas contas com chaves de segurança físicas. Por exemplo, os utilizadores podem ativar a autenticação de chave de hardware do Facebook para iOS e Android para uma camada extra de segurança de fator de posse em torno das suas contas.

Melhores práticas de autenticação

  1. Tenha cuidado com o malware concebido para roubar credenciais ou dados sensíveis, como alguns tipos de Trojans, spyware e keyloggers. Saiba também em como remover um keylogger, uma vez que este pode recolher as teclas premidas, capturas de ecrã e outras informações para enganar um sistema de autenticação.
  2. Defina palavras-passe com, pelo menos, dez caracteres e que contenham uma mistura de números, símbolos e alfabetos.
  3. Evite utilizar padrões conhecidos nas palavras-passe, como a data de nascimento ou o nome de uma celebridade favorita.
  4. Nunca guarde as suas credenciais de início de sessão à vista de todos, por exemplo, num pedaço de papel na sua secretária. Encripte as palavras-passe nos dispositivos.
  5. Dê uma ajuda à sua palavra-passe utilizando métodos MFA, como a identificação biométrica ou uma chave de segurança.
  6. Tenha cuidado com os ataques de engenharia social concebidos para roubar as suas credenciais.
  7. Evite reutilizar a sua palavra-passe; caso contrário, uma palavra-passe roubada pode resultar em várias violações de conta.
  8. Altere a sua palavra-passe regularmente. Para maior comodidade, tente utilizar um gestor de palavras-passe de boa reputação.
  9. Incentive o administrador de rede da sua organização a limitar a duração das sessões para evitar o sequestro de sessões.
  10. Os administradores devem monitorizar os registos de autenticação e os dados de rede para reagir rapidamente a actividades suspeitas, tais como múltiplas tentativas de acesso a partir de endereços IP suspeitos.
  11. As organizações devem considerar a adoção de uma arquitetura de confiança zero para uma maior segurança.
Logótipo do Malwarebytes sobre um fundo azul

Artigos relacionados

O que é a cibersegurança?

Dicas de segurança na Internet

Chave de acesso

FAQs

O que é a autenticação e o exemplo?

A autenticação é o processo de verificação da identidade de um utilizador, dispositivo ou sistema. É um mecanismo de segurança utilizado para garantir que a pessoa ou entidade que tenta aceder a um recurso está autorizada a fazê-lo.

Um exemplo de autenticação é quando inicia sessão na sua conta de correio eletrónico utilizando o seu nome de utilizador e a sua palavra-passe. O sistema compara as suas credenciais com uma base de dados de utilizadores autorizados para verificar se é quem diz ser. Se as suas credenciais corresponderem, é-lhe concedido acesso à sua conta de correio eletrónico. Isto ajuda a evitar o acesso não autorizado aos seus e-mails e a proteger as suas informações pessoais.

Quais são os 3 tipos de autenticação?

  1. Autenticação baseada no conhecimento: Este tipo de autenticação implica que o utilizador forneça informações que só ele deve saber, como uma palavra-passe, um PIN ou uma resposta a uma pergunta de segurança.

  2. Autenticação baseada na posse: Este tipo de autenticação implica que o utilizador forneça prova de posse de um objeto físico, como um token de segurança, um cartão inteligente ou um dispositivo móvel.

  3. Autenticação por inerência: Este tipo de autenticação implica que o utilizador forneça informações biométricas, como uma impressão digital, reconhecimento facial ou digitalização da íris, para verificar a sua identidade.