Nos primórdios da computação, a autenticação era simples, mas a abordagem cresceu em sofisticação ao longo do tempo. Por exemplo, sistemas modernos de autenticação baseados em senha como Kerberos na verdade não transmitem mais senhas; eles geram um token de autenticação que é enviado em vez disso.
Mas mesmo com esses aprimoramentos, uma abordagem baseada em nome de usuário e senha para autenticação ainda tem um ponto fraco importante: se alguém descobrir a senha de outro usuário, eles serão indistinguíveis de o verdadeiro usuário. E embora Bill Gates tenha previsto a morte da senha há quase 20 anos, eles continuam sendo o método padrão de autenticação para uma variedade de serviços no trabalho e em casa.
Em dezembro de 2022, o PayPal alertou seus clientes sobre um acesso não autorizado de terceiros a várias contas, resultando potencialmente em vazamentos de informações pessoais. O incidente imediatamente questionou as provisões básicas de segurança do PayPal e questões como por que a autenticação multifator (MFA) não foi aplicada por padrão para um serviço tão sensível como o PayPal.
Em tais eventos, a causa principal é um problema predominante em que os titulares de contas estão usando o mesmo Combinações de ID/senha para vários sites e aplicativos. De acordo com o recente One Identity pesquisa, 84% dos entrevistados disseram ter uma senha favorita. Essa pulverização de senha simplifica o acesso dos agentes de ameaças a informações confidenciais, especialmente se não estiverem protegidas com uma camada adicional de autenticação. O vice-presidente de segurança de identidade da Microsoft, Alex Weinert, em sua palestra na The Experts Conference ( TEC) 2022 destacou que os ataques de pulverização de senha aumentaram de 350 mil em 2018 para mais de 5 milhões em 2022. Ele também observou que a probabilidade de comprometimento aumenta mais de 20 vezes sem MFA ativado.
Assim, o MFA está se tornando um componente crucial da estratégia de segurança cibernética, beneficiando tanto as organizações quanto seus usuários, abordando os principais pontos fracos da autenticação de nome de usuário e senha.
Com empresas como a Microsoft aprimorando suas próprias recomendações para identificações de MFA e em breve permitindo uma nova metodologia de autenticação, chamada de correspondência de números, a implementação de MFA para usuários em risco está se tornando crucial e altamente recomendada pelos líderes do setor.
Usando correspondência de números
De acordo com o US’s Cybersecurity and Infrastructure Securi ty Agency (CISA), a correspondência de números é a melhor mitigação temporária para organizações que podem não conseguir implementar imediatamente MFA resistente a phishing. A correspondência de número exige que os usuários correspondam um número gerado automaticamente na tela de login com o número em seu aplicativo Authenticator. Em um guia, a CISA aconselha o uso de autenticação multifator baseada em correspondência de número como uma proteção adicional para os aplicativos em nuvem. Vários fornecedores já estão incluindo a correspondência de números em suas implementações de MFA e, embora a Microsoft não esteja exigindo multifatores baseados em números no momento, eles começarão a implantar o mandato em 27 de fevereiro de 2023.
Em além do MFA de correspondência de número, os administradores são aconselhados a revisar periodicamente os logs de auditoria e as autenticações multifatoriais com falha, bem como incentivar a equipe a relatar qualquer incomum, específico no momento em que os eventos ocorrem, solicita o MFA, para a equipe forense revisar.
No entanto, é sempre importante ter em mente a fadiga de MFA, bem como outros vetores de ataque, como phishing, e seguir as recomendações da CISA sobre a implementação de MFA resistente a phishing para melhor proteção de segurança.
Implementações de MFA resistentes a phishing
Existem várias variações de autenticação multifator, mas quase todas elas compartilham uma fraqueza: a interação humana é necessária. E onde a interação humana é necessária, pode ocorrer phishing.
Uma resposta comum e uma resposta para as formas mais problemáticas de MFA é o MFA resistente a phishing–o padrão ouro de segurança cibernética da CISA, que remove o fator humano da equação.
A autenticação resistente a phishing mais amplamente disponível é a autenticação FIDO/WebAuthn, compatível com os principais navegadores, sistemas operacionais e smartphones. Com autenticação resistente a phishing, as senhas são substituídas por meio de criptografia forte vinculada a um autenticador externo, como uma chave de segurança USB, um dispositivo em posse do usuário ou APIs de gerenciamento de credenciais. Com base na criptografia de chave pública, o MFA resistente a phishing elimina o uso de códigos compartilhados, reduzindo a capacidade dos invasores de interceptar códigos de acesso e reproduzi-los.
Claro, há custos e orçamento a serem considerados ao escolher isso metodologia, pois a implementação de tokens leva tempo e é recomendável ter mais de um token como backup. Os tokens físicos também exigem que o usuário se lembre de guardá-los, enquanto para muitos de nós, um telefone é um item mais natural de se manter. As empresas são aconselhadas a pensar em dispositivos que ajudem os usuários a manter os tokens à mão e facilitem tê-los em mãos quando necessário.
À prova de falsificação
Mas, do lado positivo, a implementação de MFA resistente a phishing garante que o multifator não possa ser falsificado. Ao implementar MFA resistente a phishing, as empresas precisam investigar se os aplicativos que desejam proteger oferecerão suporte a essas implementações multifatoriais aprimoradas. Alguns não oferecem suporte a esses tokens adicionais e, em vez disso, dependem apenas de tokens de aplicativos.
Também pode haver uma curva de aprendizado e tempo de implementação, o que pode levar ao uso de um multifator baseado em aplicativo como um temporário medida para garantir que a proteção esteja em vigor e, posteriormente, implantar a abordagem baseada em token para proteção adicional.
Não há dúvida de que a autenticação multifator beneficia organizações e usuários ao fortalecer drasticamente a segurança. Porém, exigir autenticação multifatorial para todos o tempo todo certamente frustrará os usuários e prejudicará a produtividade. É importante adotar uma abordagem equilibrada.
A MFA é melhor compreendida como um aspecto da estratégia de segurança mais ampla da sua organização. Muitos especialistas agora recomendam o desenvolvimento de uma estratégia de segurança baseada nos princípios Zero Trust e usando ferramentas como Azure AD Conditional Access, que oferece muita flexibilidade para aplicar o MFA criteriosamente.
Com números de ataques cibernéticos continuam subindo e um relatório constatando que 20 por cento das empresas dizem que um ataque cibernético ameaçou sua solvência, implementação da MFA é uma etapa vital para proteger os negócios e a reputação da empresa contra ameaças cibernéticas. Embora não seja uma panacéia para todas as vulnerabilidades cibernéticas, é necessária na mitigação de ameaças.
Crédito da imagem: Jirsak/depositphotos
Alistair Holmes é o principal arquiteto de soluções, Quest Software