Uma introdução à autenticação multifator e aos tipos de MFA

A autenticação multifator (MFA) é um método de verificação de login em que pelo menos 2 fatores diferentes de prova são necessários. A MFA ajuda a proteger seus ativos de dados adicionando uma camada extra de segurança em um processo chamado proteção. O uso de 2 a 3 tipos de fatores no processo de proteção de ativos é chamado de autenticação multifator. A MFA pode impedir que um invasor acesse um perfil de usuário e se faça passar por um usuário, porque eles devem coletar muitos tipos diferentes de dados do usuário para obter acesso. Isso seria mais difícil de fazer do que se apenas uma senha fosse usada.

Existem vários tipos de MFA:

Algo que você sabe - é tudo o que você precisa lembrar e digitar ou dizer. É algo que você tem que recordar da memória. Um exemplo pode ser o nome de solteira de sua mãe, uma senha, uma frase secreta ou PIN.

Algo que você tem - Isso inclui todos os itens que são objetos físicos que você deve ter. Especificamente, inclui o uso de tokens físicos para fornecer um PIN baseado em tempo ou outro número gerado que deve ser inserido para verificar a identidade de alguém. Um exemplo pode ser este token de hardware: token de hardware RSA SecurID SID700 ou o token de 6 dígitos baseado em tempo HyperOTP para uso com Amazon Web Services.

Algo que você é - Inclui o uso de uma parte do corpo que pode ser usada para verificação (dados biométricos), como impressões digitais, leitura da palma da mão, reconhecimento facial, varredura da retina, varredura da íris, reconhecimento de voz. Isso funciona porque cada pessoa é única, mas pode ser invasivo porque pode revelar informações sobre os problemas de saúde de um indivíduo. Um exemplo pode ser este Reconhecimento Facial e Leitor de Impressões Digitais com WIFI.

Somewhere you are - Usa dados baseados em localização para determinar se alguém está nas proximidades corretas para acessar os dados. Um exemplo de restrição de local usando o Azure é retratado neste artigo da Microsoft .

Restrições de tempo - o tempo pode ser usado como parte do MFA porque os ativos de dados podem ter restrições sobre quando podem ser acessados. Se as tentativas de acesso ocorrerem fora da janela de tempo, alguém poderá ser desclassificado. Um exemplo em que o tempo pode ser usado é em uma senha única baseada em tempo (TOTP). De acordo com o site da Rublon , um TOTP “é uma senha válida por 30 a 90 segundos que foi gerada usando o valor do Segredo Compartilhado e a hora do sistema”. Isso combina o fator “algo que você tem” com restrições de tempo.

Quais são os prós e contras do MFA? Uma lista de Mary Shacklett da Transworld Data neste link mostra que pode ser complicado, mas vale a pena.

É importante ressaltar que muitas violações de dados ocorreram como resultado do não uso da autenticação multifator. Um artigo de Jean Shin inclui informações sobre várias dessas violações que afetaram a Target e a Equifax, entre outras.

O futuro é MFA

É improvável que usar apenas senhas seja um método muito seguro de autenticação e provavelmente não seja o método do futuro. A autenticação multifator está assumindo o controle. Este site escreve: “Em um clima onde os ataques cibernéticos estão no auge (sendo os ataques de força bruta a senhas os mais comuns), não é surpresa que os profissionais de TI em empresas da Fortune 500, como o Google, estejam promovendo novos regimes de segurança. Um negócio após o outro está adicionando autenticação multifator (MFA) à sua infraestrutura de segurança – e a tecnologia biométrica está se tornando o elemento mais procurado, com um crescimento de mercado esperado de US$ 55,42 bilhões até 2027.” Em particular, o uso de dados biométricos está crescendo.

Saber sobre autenticação multifator é importante para a vida cotidiana, mas às vezes o conceito pode ser pouco compreendido ou mal compreendido. É importante para proteger dados e informações pessoais, portanto, pode ser um tópico interessante para um exame mais aprofundado.

Referências:

• https://www.tyntec.com/blog/breaches-multifactor-authentication-could-have-prevented
• https://www.techtarget.com/searchsecurity/definition/multifactor-authentication-MFA
• https://www.biometricupdate.com/202202/back-to-the-secure-future-the-need-for-multi-factor-authentication
• https://www.globalknowledge.com/us-en/resources/resource-library/articles/the-three-types-of-multi-factor-authentication-mfa/#gref