Autenticação multifator, o novo "must" em segurança cibernética

0

Uma das principais vulnerabilidades no mundo da segurança cibernética é o uso de senhas básicas ou fracas. Comumente, os usuários que necessitam criar uma senha recorrem, de maneira natural, a um conjunto ou combinação de números e letras que seja fácil de lembrar, considerando principalmente dados pessoais – por exemplo, datas de aniversário, bodas, nomes de familiares, mascotes e terminologias relacionadas diretamente a seus gostos o interesses. Também é recorrente o uso de palavras como "senha" e sequências de números sem grande complexidade, como "123456789".

Não obstantes os perigos de criar e utilizar uma senha fraca, os usuários utilizam um fator único de autenticação para acessar diferentes contas, isto é, reutilizam a mesma senha para diferentes propósitos, o que facilita em grande medida o trabalho dos criminosos cibernéticos.

É uma situação preocupante. Os invasores contam com una ampla variedade de táticas e técnicas para roubar senhas, como o uso de spyware, keyloggers e outros tipos de malware, bem como ataques de phishing. Também existem "dicionários de senhas comuns"; se alguma senha que utilizamos se encontra nesses dicionários, o invasor só precisa esperar que elas coincidam em um processo automatizado e terá acesso à conta ou ao sistema – isso é conhecido como um ataque de força bruta. Se essa estratégia falha, pode-se pôr em prática o que se denomina ataques de engenharia social, nos quais se tenta manipular a vítima fazendo-se passar por entidades de confiança.

Ao utilizar um único fator de autenticação, a possibilidade de ser atacado com êxito dependeria das habilidades do criminoso e da eficácia das ferramentas de segurança que tenham sido implementadas nos dispositivos ou na rede. Assumindo-se que a experiência do criminoso cibernético nesse tipo de ataque seja considerável e que seu objetivo seja um usuário médio, poderíamos dizer que seria relativamente fácil atingir o objetivo.

Em nível empresarial, o cumprimento normativo insta a utilizar autenticação multifator ou MFA (Multi Factor Authentication) para aumentar a segurança ao acessar dados ou sistemas. O objetivo é reduzir o risco de exposição e roubo de dados confidenciais, uma vez que, se os invasores conseguiram obter a senha, ainda necessitarão do segundo ou terceiro fator para concretizar o acesso. Nesse tipo de ambientes corporativos, os criminosos cibernéticos utilizam técnicas como whaling, que é um tipo de ataque de phishing dirigido a altos executivos e, portanto, com danos de grandes proporções, tanto em nível econômico quanto de reputação.

Como funciona a MFA

A autenticação multifator, ou MFA, funciona com base em três fatores:

  • Algo que você sabe (senhas, PIN, perguntas de segurança)
  • Algo que você tem (celular, tablet, token)
  • Algo que você é (impressão digital, voz, reconhecimento facial etc.)

Pode-se inferir que, ao aplicar os três níveis de fatores, a segurança será maior, embora seja indispensável considerar a facilidade de uso e a comodidade do usuário. Nesse sentido, encontrou-se um equilíbrio na utilização de somente dois fatores (2FA); porém, o fator chave que dá maior segurança é o relacionado a "Algo que você é", uma vez que as características biométricas raramente se alteram e são mais difíceis de falsificar.

A MFA é um grande passo para a proteção de dados; porém, é impossível deixar todo o fardo da segurança nas mãos de uma boa prática. De certo modo, poderíamos comparar à segurança de um edifício: ter de usar múltiplas chaves para abrir uma porta pode torná-la mais segura, mas, se não houver alguém ou algo mais para impedir ou detectar intenções não autorizadas, cedo ou tarde os malfeitores encontrarão a maneira de abri-la.

Para proteger as organizações contra brechas é necessário defender em profundidade, trazer a distintas camadas soluções específicas que façam sentido e agreguem valor à organização. Em suma, a autenticação multifator se posicionou como uma prática que não deve faltar no planejamento de segurança cibernética de qualquer empresa; todavia, não deve ser utilizada de maneira isolada, e sim como parte de uma estratégia integral de confiança zero.

Gabriel Lima, Sales Engineer da Hillstone Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.