Como se viu no tópico anterior, as passwords podem ser facilmente comprometidas, recorrendo a métodos como o Brute Force e o Dictionary Attacks. Por conseguinte, é recomendável, senão imprescindível, estabelecer novas medidas de segurança, e o multi factor authentication (MFA) é uma excelente ferramenta complementar.
O MFA é um método de autenticação no qual o acesso só é fornecido mediante apresentação de duas ou mais provas (fatores) de que a pessoa que está a aceder é efetivamente quem diz ser.
Estes quatro fatores compõem os pilares da autenticação. No entanto, alguns deles podem ser facilmente ultrapassados. Fatores de conhecimento, como respostas a perguntas de segurança por exemplo, podem ser conhecidos por determinadas pessoas ou podem ser investigadas nas de redes sociais.
Devemos ser cuidadosos com a informação que expomos na Internet (mesmo que as contas sejam privadas). Há muitas formas de se aceder aos dados. A partir do momento em que esteja na Internet, há pessoas que vão conseguir aceder-lhe.
A password é o tipo de fator de conhecimento mais utilizado na autenticação em 2 etapas (two-factor authentication – 2FA), mas geralmente é o elo mais fraco. Por isso é pedido um outro fator adicional como o de posse.
Os fatores de posse são uma das formas mais antigas de autenticação. No mundo digital, os fatores de posse podem ser tokens desconectados que geram códigos aleatórios, tokens de hardware, como a Yubico Yubikey e a Google Titan Key, ou tokens de software, como as apps OTP (One Time Password) de autenticação, das quais são exemplos Free OTP, Microsoft Authenticator e Google Authenticator.
Os telemóveis também são amplamente utilizados como fator de posse, através de autenticação push ou via SMS. Os telemóveis estão, porém, sujeitos a serem clonados e usados indevidamente. Para colmatar essa vulnerabilidade, cresce a utilização de um terceiro fator (3FA), a partir de leituras biométricas (impressão digital, reconhecimento facial, de voz ou íris, da dinâmica de digitação), ou mesmo da localização do utilizador.
Para obter um maior grau de segurança, a Eurotux aconselha que sempre que, sempre que possível, se utilize no mínimo a 2FA para permitir o acesso remoto à informação crítica para a empresa. Uma implementação tipo deste nível de proteção implicaria, por exemplo, a introdução de uma password e o fornecimento de outro fator de autenticação, eventualmente um token, via SMS, OTP ou localização.
De forma a garantir a segurança máxima, recomenda-se a 4FA. Neste caso, por exemplo, poderiam ser pedidas para a concessão do acesso passphrase (conhecimento), hardware token (posse), localização e impressão digital (inerente).
Cada organização deverá decidir, dependendo dos sistemas e/ou sensibilidade da informação que protegem, qual o número e tipo de factores de autenticação a utilizar.
Estas barreiras contra o acesso indevido à informação e às plataformas críticas das organizações não são totalmente à prova de falha. Os utilizadores mesmo assim estão suscetíveis a ataques de phishing e outras técnicas de social engineering.
Abrace a transformação digital com a Eurotux.
