Você provavelmente já utiliza a autenticação multifator (MFA, na sigla em inglês) para proteger uma ou mais contas online de trabalho. O processo normalmente funciona assim: você digita sua senha, o site ou aplicativo pede uma segunda forma de autenticação (como um código que é enviado para o seu celular ou gerado por um aplicativo autenticador), você apresenta essa segunda forma de autenticação, e o site ou aplicativo concede o acesso à conta. A autenticação multifator talvez pareça relativamente nova, mas ela já é utilizada há bastante tempo.
Este artigo detalha a evolução da autenticação multifator e como ela está avançando ainda mais para proteger empresas contra ameaças cibernéticas.
Dos anos 1990 aos 2000: de ferramentas nichadas a soluções intuitivas de autenticação de dois fatores
A autenticação multifator e sua antecessora, a autenticação de dois fatores, têm nos ajudado de diversas formas há mais de vinte anos. Embora não haja um consenso sobre as origens da autenticação de dois fatores (a AT&T diz que a inventou na década de 1990), o fato é que ela só pegou para valer em meados dos anos 2000. Essa demora se deu porque os consumidores a consideraram inconveniente, supondo que uma única forma de autenticação – ou seja, as senhas –, seria suficiente para proteger suas contas. Embora algumas empresas e organizações maiores preocupadas com segurança adotassem uma forma de criptografia de chave pública conhecida como RSA que usava dois tokens de autenticação independentes para validar logins de usuários, muitas empresas na época consideraram essa forma de solução cara e complicada demais para ser implementada. A evolução autenticação multifator acelerou em meados da década de 2000, quando os smartphones começaram a conquistar o mercado. Como esses novos tipos de celular também eram ferramentas incríveis para aumentar a produtividade no trabalho, as empresas logo começaram a adotá-los também. Algumas, inclusive, lançaram os programas chamadas BYOD, sigla em inglês para “Traga Seu Próprio Dispositivo”, em que os colaboradores podiam usar seus dispositivos pessoais para fins comerciais. Com a onipresença dos smartphones em casa e no trabalho, muito mais pessoas passaram a ter acesso a soluções mais práticas de autenticação de dois fatores para protegerem suas contas online. Ficou mais fácil receber códigos de autenticação por SMS ou e-mail, tornando toda a ideia da autenticação de dois fatores muito mais palatável.Dos anos 2000 aos 2010: o boom das violações de dados causa a disseminação da adoção da autenticação de dois fatores e da autenticação multifator
Conforme os consumidores e as empresas foram ficando mais abertos à ideia de usar autenticação de dois fatores e autenticação multifator em seus smartphones entre o final da década de 2000 e o início dos anos 2010, invasões e violações de dados começaram a emergir como graves ameaças à segurança e à privacidade na internet. Os Estados Unidos viram uma onda de grandes violações de dados que afetaram o setor privado, pessoas físicas, prestadores de serviços de defesa e órgãos públicos. A Sony Pictures Entertainment e o Departamento de Gestão de Pessoal dos Estados Unidos (OPM, na sigla em inglês) são apenas dois grandes exemplos de violações que dominaram as manchetes nesse período. No início de 2016, o presidente Obama escreveu um editorial no Wall Street Journal em que declarou que só as senhas não eram suficientes para proteger consumidores e empresas. Observando o fato de que 9 em cada 10 americanos afirmavam que se sentiam como se tivessem perdido o controle sobre seus dados pessoais, o presidente anunciou uma campanha nacional de conscientização chamada #Turnon2FA para estimular mais americanos a se protegerem online. Em pouco tempo, os smartphones começaram a oferecer técnicas de autenticação biométrica, como leitura de impressões digitais e reconhecimento facial. Isso, mais uma vez, acelerou a evolução da autenticação multifator, permitindo que consumidores e empresas começassem a usar uma gama mais ampla de métodos para proteger suas contas.Como a autenticação multifator evoluiu em resposta a novas ameaças
Diferentemente da autenticação de dois fatores, que usa apenas dois fatores (ou formas) de autenticação, a autenticação multifator normalmente averígua a identidade de uma pessoa utilizando três fatores: algo que o usuário sabe, como a resposta a uma pergunta de segurança; algo que o usuário tem, como um código de segurança gerado por um aplicativo autenticador no celular; e algo que o usuário é, por exemplo, por reconhecimento facial, leitura de impressão digital ou reconhecimento de voz. Com três fatores de autenticação protegendo o acesso à conta, os criminosos digitais têm muito mais dificuldade de se passarem pelo usuário e não serem despercebidos. A autenticação multifator oferece às empresas muito mais proteção do que as senhas, mas nem mesmo esse método é infalível. Por exemplo, se os dados pessoais de um usuário já tiverem vazado e forem comprados por um hacker na dark web, ficará mais fácil invadir a conta desse usuário. Agentes mal-intencionados são conhecidos por garimpar posts públicos nas redes sociais em busca de dicas sobre as intimidades de usuários para tentarem obter dados que facilitarão o acesso a contas pessoais. Alguns métodos de autenticação também têm vulnerabilidades de segurança. Em esquemas de clonagem de chips de celular, os hackers conseguem invadir celulares e concluir a autenticação por SMS antes mesmo de a vítima perceber. Se alguém roubar o celular da vítima e ele não estiver bloqueado com uma forma de autenticação biométrica, como reconhecimento facial ou leitura de impressão digital, é possível entrar nas contas online dessa pessoa e comprometer dados comerciais sensíveis sem muita dificuldade. Mesmo a autenticação biométrica pode ser ludibriada se o hacker tiver ferramentas sofisticadas, portanto, é fundamental que a autenticação multifator continue evoluindo para manter as empresas protegidas. Como a autenticação multifator preparou o caminho para o nosso futuro sem senhas Em sua evolução, a autenticação multifator também preparou o caminho para o nosso futuro sem senhas. Antes de ela entrar em cena, muitos colaboradores só sabiam usar senhas. Se uma pessoa tiver hábitos ruins relacionados a senhas, as credenciais dela podem ser facilmente comprometidas, colocando a empresa em um grave risco de violação de dados. Depois que aprenderam a usar a autenticação multifator para intensificar a proteção das contas e proteger os dados da empresa, os colaboradores acabaram descobrindo que não era tão difícil adicionar múltiplas formas de autenticação aos processos tradicionais de login baseados em senhas. Por exemplo, um usuário de iPhone ou Android que recebe um código por SMS poderia definir que o desafio da autenticação multifator fosse preenchido automaticamente. Para quem usa um aplicativo autenticador, bastaria entrar no aplicativo, copiar o código ativo e colá-lo diretamente no desafio da autenticação. Tudo ficou ainda mais fácil com a biometria, que possibilitou a autenticação com o toque de um dedo. Depois de um tempo, essas etapas extras deixaram de parecer trabalhosas, e os usuários passaram a assumir uma posição mais clara de protetores contra ataques cibernéticos. Agora que as empresas e seus colaboradores dominam a autenticação multifator, chegou a hora da autenticação sem senhas. Por exemplo, com um protocolo seguro de autenticação como o padrão FIDO2, é possível usar a autenticação multifator para substituir ou eliminar as senhas. Como o padrão FIDO2 também facilita a autenticação em serviços online pelo desktop e por dispositivos móveis, usando, por exemplo, métodos que os colaboradores talvez já conheçam, como a biometria, é provável que a autenticação sem senhas passe a ser vista como tão fácil e prática quanto a autenticação multifator. Assim, eles fortalecerão uma consciência já existente, em vez de sentirem que estão começando algo do zero – e a empresa terá mais tranquilidade por saber que seus dados estão mais protegidos.Como o LastPass MFA pode ajudar a proteger sua empresa
A tecnologia de autenticação multifator adaptativa do LastPass está em constante evolução em resposta a grandes ameaças, como ataques de ransomware. Explicamos a seguir como os benefícios da autenticação multifator podem ajudar a manter a sua empresa segura diante do recrudescimento do cenário de cibersegurança:- Autenticação adaptativa. O LastPass MFA mescla inteligência biométrica e contextual para confirmar a identidade de um usuário com uma combinação de fatores, então, sua empresa tem a melhor proteção possível conforme o ambiente muda.
- Experiência de usuário sem senhas. Seus colaboradores podem usar o LastPass para acessar o trabalho em todos os dispositivos, de celulares a desktops, sem a necessidade de uma senha.
- Métodos personalizáveis de autenticação multifator. O LastPass oferece à sua empresa opções flexíveis de autenticação. Você cria e aplica fatores únicos de autenticação multifator no nível do usuário ou de grupo para garantir a segurança total.
- Facilidade de administração da autenticação multifator. Com o LastPass, fica fácil para a equipe de TI aplicar a autenticação multifator a uma gama de pontos de acesso, como aplicativos de nuvem, conexões de rede privada virtual (VPN), estações de trabalho, provedores de identidade e muito mais. Isso ajuda a aproximar sua organização de uma arquitetura de Zero Trust e fortalece sua postura geral de cibersegurança.
