Comparativos e distinções das autenticações 2FA e MFA
13 de setembro de 2022Para entender como exatamente 2FA e MFA diferem, em primeiro lugar é importante entender os conceitos de autenticação e seus fatores específicos
Por Adriano Silva
A autenticação de dois fatores (2FA) é um tipo de autenticação multifatorial (MFA). Ambas as soluções de autenticação fornecem segurança adicional da conta, exigindo fatores adicionais de autenticação.
O que é autenticação?
Primeiramente, a autenticação é um conceito fundamental de gerenciamento de acesso à identidade que permite que um sistema verifique a identidade de um usuário.
Eles agem como mecanismos de segurança que provam que um usuário é quem ele afirma ser antes de conceder acesso. Existem três tipos de fatores de autenticação, incluindo:
– Fator de conhecimento: Senha única (OTP), ou seja, um número de identificação pessoal (PIN)/senha ou uma resposta a uma pergunta pessoal.
– Fator de posse: Dispositivo móvel ou físico, um token de hardware ou chave de segurança.
– Fator de inerência: Biometria, como impressões digitais, reconhecimento facial, varredura de retina ou reconhecimento de voz.
Além disso, existem as definições específicas quanto ao nível de etapa de verificação. A autenticação de dois fatores (2FA), por exemplo, é um tipo de MFA (autenticação multifatorial) que verifica as identidades dos usuários finais com base em dois fatores antes de conceder acesso a contas online.
Isso ocorre quando o usuário tenta fazer login em um serviço online com seu nome de usuário e senha. Após isso, o sistema confirma que as credenciais de login estão corretas, levando a um segundo fator de autenticação.
Neste ponto, o indivíduo abre o aplicativo autenticador do Google em seu celular (fator de posse), que gera um código de segurança. Finalmente, ele digita o código na página de login e têm acesso à sua conta.
Em contrapartida, outro tipo de verificação em etapas é a autenticação multifatorial (MFA) no qual exige que os usuários forneçam dois ou mais fatores diferentes de autenticação antes de conceder o acesso de um sistema. Ele usa uma combinação dos fatores de autenticação.
O processo ocorre quando um usuário tenta fazer login em um serviço online. O sistema confirma que as credenciais de acesso estão corretas, solicitando o segundo fator de autenticação.
O usuário recebe uma notificação push (fator de posse) para confirmar que está tentando fazer login e acaba sendo redirecionado para a página de login do serviço, no qual é solicitado um reconhecimento facial (fator biométrico).
Por fim, o sistema verifica a tentativa de reconhecimento e concede acesso ao usuário caso seja validado.
Ademais, é importante que se diga que apesar de sua importância, o método ainda é pouco usual em muitas das instituições financeiras, de saúde, educacionais e até mesmo governamentais, que não possuem esses tipos de especificações para com o credenciamento de seus colaboradores de base, o que facilita a entrada em contas online.
Esses provedores de serviços armazenam pontos pessoalmente identificáveis como informações de saúde protegidas e outros dados confidenciais.
Sendo assim, a proteção de uma conta como estas, geralmente se baseia em sistemas de autenticação de fator único (SFA) que, por sua vez, não são mais suficientes para proteção completa do usuário.
Hodiernamente, os cibercriminosos no cenário de ameaças transformaram-se em altamente especializados em obter acesso não autorizado a dados confidenciais, especialmente através de logins SFA.
Existem muitas técnicas que os hackers podem usar para roubar senhas e explorar informações pessoais dos usuários para fins maliciosos. Os métodos mais comuns de roubo de senha incluem:
– Ataques com força bruta: Neste tipo de ataque cibernético, um hacker adivinha estrategicamente a senha de um usuário até que eles decifram a combinação correta.
Este método tem uma taxa de sucesso particularmente alta quando os usuários têm senhas fracas, por exemplo, datas de nascimento.
– Vazamentos de dados: Um usuário/serviço expõe acidentalmente dados confidenciais na Internet, que um hacker encontra e explora para obter acesso não autorizado, por exemplo, uma data de nascimento no LinkedIn.
Credenciais vazadas de violações históricas de dados fornecem aos hackers um vetor de ataque ainda mais fácil.
Apesar de seus principais problemas de segurança, muitas pessoas ainda utilizam as mesmas senhas em diferentes contas. Os invasores podem usar essas senhas comprometidas em várias contas para o mesmo usuário até encontrar uma combinação de login bem-sucedida.
– Keyloggers: Os hackers instalam esse tipo de malware em sistemas de usuários desavisados. Os Keyloggers registram pressionamento de teclas e lêem dados da área de transferência em dispositivos hackeados, permitindo que criminosos virtuais roubem senhas e outras informações que poderiam permitir acesso não autorizado.
Tanto o 2FA, como o MFA impedem que os cibercriminosos aproveitem senhas comprometidas, confiando em métodos adicionais de autenticação.
Ao contrário do modelo primário, se um hacker rouba a senha de um usuário, ele ainda não pode ter acesso à conta do usuário.
Eles ainda terão que fornecer pelo menos uma autenticação adicional – inerência ou biométrica – algo que eles são menos propensos a fazer.
Dito isso, pode-se concluir que ambos são formas muito mais seguras de autenticação do que a de um único fator, contando com mais do que apenas uma senha.
O MFA é geralmente considerado mais seguro do que o 2FA, pois fornece a maior parte das camadas de segurança contra cibercriminosos.
No entanto, a força de uma solução MFA depende de quão seguros são seus métodos adicionais de autenticação.
O fator de posse dos códigos de verificação de e-mail e SMS não são tão seguros quanto outros tipos de autenticação.
A abundância de golpes de phishing em ambas as plataformas e a capacidade de hackear cartões SIM criam riscos adicionais de segurança cibernética.
Portanto, o MFA é mais eficaz quando se baseia em fatores de autenticação biométrica, que são exclusivos do usuário e difíceis de replicar.
Estudo de especialista do IEEE visa aumentar segurança em equipamentos
Cibercrime armado: o que as organizações podem aprender com o conflito na Ucrânia
Sobre Adriano da Silva Santos
O jornalista e escritor, Adriano da Silva Santos é colunista colaborativo do Crypto ID. Formado na Universidade Nove de Julho (UNINOVE). Reconhecido pelos prêmios de Excelência em webjornalismo e jornalismo impresso, é comentarista do podcast “Abaixa a Bola” e colunista de editorias de criptomoedas, economia, investimentos, sustentabilidade e tecnologia voltada à medicina.
Adriano Silva (@_adrianossantos) / Twitter
Leia outros artigos escritos por Adriano da Silva Santos aqui!
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!