Em um mundo extremamente conectado, em que informações valiosas como dados pessoais estão presentes na internet ou na deep web, é essencial investir em medidas que fortaleçam a autenticação de usuários. Sabendo disso, foram criadas medidas para evitar acessos indevidos que podem levar a prejuízos, tanto para as empresas quanto para as pessoas que utilizam o serviço.
A seguir, você vai aprender o que é MFA, como ela faz a autenticação multifator de clientes e quais tecnologias já são usadas pelo mercado antifraude.
Leia também: Onboarding de clientes: dicas para um processo mais seguro
O que é MFA ou autenticação multifator?
A MFA ou autenticação multifator é uma metodologia de verificação de identidade que tem como objetivo aumentar a segurança digital, ao analisar dois ou mais fatores de identificação.
Essa validação de credenciais normalmente é composta por etapas que solicitam informações específicas para quem está acessando a conta, sendo fundamental para verificar se um usuário é realmente quem diz ser.
Apesar de ser semelhante à autenticação de dois fatores (ou 2FA), a MFA é uma tecnologia que propõe ainda mais segurança, visto que possui mecanismos que utilizam mais de duas credenciais.
Uma autenticação de usuários mais forte ajuda a diminuir os riscos de ataques cibernéticos e invasão de contas. Por isso, a grande maioria dos serviços online — como bancos, redes sociais e aplicativos de compras, por exemplo — contam com essa ferramenta para promover maior segurança e mitigar riscos.
Aprofunde-se: Como proteger a identidade digital para evitar fraudes?
Como a MFA faz a autenticação de usuários?
Como o próprio nome sugere, a autenticação multifator solicita diferentes tipos de fatores para que o usuário confirme a sua identidade antes de acessar um serviço ou produto. Ou seja, não basta apenas informar um e-mail e senha, até porque esses dados são muito fáceis de serem descobertos.
Basicamente, o processo da autenticação multifator é feito da seguinte forma: no momento do cadastro de uma conta, a MFA pede várias informações e estas são armazenadas para que, quando necessário, possam ser verificadas. Geralmente, esses fatores se enquadram em três categorias: conhecimento, posse e inerência.
Confira na seção abaixo os tipos de autenticação multifator.
Tipos de autenticação multifator
Seguindo os critérios de segurança, cada solução pode ser solicitada em um contexto diferente.
Conhecimento ou algo que você conhece
Aqui estão incluídas informações de conhecimento do usuário. Os exemplos mais comuns são o nome de usuário e senha, mas algumas empresas podem solicitar também perguntas pessoais de segurança, como o nome de solteira da mãe, o nome do primeiro animal de estimação ou outro detalhe específico. Nesse caso, é preciso que o usuário insira a resposta correta, de acordo com o que foi cadastrado na plataforma inicialmente.
Apesar da sua importância, podemos considerar esse o tipo menos seguro de garantia, já que essas informações são fáceis de serem conseguidas a partir de tentativas, investigações ou mesmo dados vazados.
Posse ou algo que você possui
Posse é quando o usuário possui algum recurso necessário para a autenticação. Por exemplo, uma senha temporária gerada por um aplicativo instalado no celular, dispositivos físicos, chaves de segurança, ativos digitais e outros.
Porém, é importante ter em mente que esses insumos podem ser perdidos ou roubados, portanto, também oferecem uma garantia média, estando vulneráveis a possíveis ataques.
Confira: O que você precisa saber sobre fraudes e segurança no mercado financeiro
Inerência ou quem você é
Por fim, a inerência possui o maior nível de segurança, já que se trata de recursos únicos, exclusivos e inalteráveis de cada usuário, logo, são difíceis de serem falsificados ou burlados. É o caso de características físicas, ou até mesmo comportamentais, como a biometria de voz.
Tipos de autenticação para uma estratégia de MFA
Agora que você entendeu o que é MFA e as três categorias que enquadram essa autenticação de usuários, conheça os tipos de tecnologia que compõem uma estratégia de MFA.
Biometria
A biometria é um fator de inerência, isto é, uma característica que representa cada indivíduo de forma única. Esse é um tipo de autenticação que confirma a identidade por meio de características físicas e, quando combinadas com outros dados, características comportamentais.
Tem sido bastante utilizada em serviços online, já que combina um maior nível de segurança com uma experiência de usuário mais fluida e de pouco atrito. Afinal, a biometria não é reproduzível e a sua verificação é baseada em inteligência artificial com alto nível de confiança e agilidade.
Quer saber mais sobre esse tipo de MFA e suas aplicações? Confira o artigo: Biometria: o que é e quais os principais tipos?
Soft tokens
Os soft tokens são autenticadores que têm como base a adição de uma camada de segurança por meio de um software. Em resumo, esse processo é feito a partir de links ou códigos de autenticação, como PINs temporários e descartáveis, gerados em aplicativos instalados no dispositivo móvel ou enviados por mensagem.
Geralmente, o aplicativo de autenticação é usado como uma segunda validação, após a inserção da senha, pois o aplicativo fornece um código de seis dígitos que muda em poucos segundos. Assim, só consegue saber o código correto quem realmente tem o aplicativo de autenticação autorizado.
A vantagem desse tipo de autenticação é o fato de fornecer segurança sem sobrecarregar o usuário com informações necessárias de serem lembradas. Em contrapartida, depende de dispositivos físicos para funcionar, o que pode gerar problemas em casos de perdas e roubos de celular.
Mensagem de texto
A mensagem de texto para autenticação de usuário consiste em enviar código de verificação ao dispositivo móvel. No entanto, é importante frisar que apesar de ser uma prática bastante popularizada, devido à sua facilidade e baixo custo, essa não é a melhor forma de preservar a segurança digital.
Segundo um artigo publicado por Alex Weinert, da Divisão de Identidade Segurança e Proteção da Microsoft, as mensagens de texto podem ser facilmente interceptadas e não oferecem nenhum tipo de proteção extra, como a criptografia, por exemplo.
Notificação push
A notificação push fornece um código de autenticação na tela do dispositivo móvel. A autorização desse método é feita de forma simples e rápida e, para que ele seja ativado, basta associar o dispositivo à conta.
Dessa forma, a mensagem aparece na tela de bloqueio do dispositivo, o que pode ser uma vantagem ou desvantagem, já que ao mesmo tempo em que facilita a ação do usuário, também facilita a ação do invasor que tem acesso ao dispositivo.
Autenticação por dispositivo autorizado
É comum que a autenticação por dispositivo autorizado seja combinada com outros fatores, como a mensagem de texto ou a notificação push. Isso porque, no momento que o usuário cria uma conta, a empresa pode solicitar o cadastro da senha e o cadastro do dispositivo com o código enviado.
Nessa hora, o sistema antifraude da empresa registra que aquela nova conta foi feita em um dispositivo específico. Assim, quando ocorrer um desvio de comportamento na conta da pessoa, será possível verificar se o acesso foi feito no dispositivo autorizado ou se está acontecendo uma invasão de conta. Essa prática é bastante comum, por exemplo, em internet banking.
Tokens de hardware
Os tokens de hardware solicitam que os usuários forneçam um código de login gerado em um dispositivo separado, normalmente no formato de um cartão de crédito ou chaveiro.
Esses tokens costumam vir previamente programados e possuem códigos que mudam regularmente, entre 30 e 60 segundos ou de acordo com o tempo que o usuário definir. Assim como os dispositivos móveis, esse tipo de autenticação também tem o risco de ser roubado e, consequentemente, ser utilizado para autorizar um acesso indevido.
Perguntas de segurança
Como já citado, as perguntas de segurança compõem uma MFA de conhecimento, ou seja, autenticam informações que apenas o usuário sabe. Essas questões dizem respeito a fatores pessoais e são frequentemente usadas em processos de redefinição de senhas.
Essa medida, assim como as outras, não está livre de ameaças, visto que com uma pesquisa profunda do histórico do usuário é possível descobrir informações desse tipo.
Senhas
O uso de senhas é o fator de autenticação mais comum e também o menos seguro, já que grande parte das invasões de contas acontecem devido ao vazamento de dados de login. Atualmente, está cada vez mais comum a aplicação de golpes, como phishing ou tailgating, e diversas vezes os próprios usuários colaboram com esse cenário ao utilizarem chaves muito óbvias ou repetidas.
Diante disso, uma solução adotada é a passwordless, que consiste na autenticação sem o uso de senhas. Quer entender melhor? Confira o artigo: Passwordless: entenda a tendência do mundo sem senhas
FIDO ou autenticação assinada
Finalmente, a autenticação assinada, criada pela Aliança FIDO (Fast IDentity Online), Universal 2nd Factor (U2F e FIDO2), é um dos padrões mais seguros de autenticação de usuários.
O principal objetivo dessa tecnologia é reduzir o uso de senhas e melhorar os padrões de autenticação, protegendo a segurança do usuário e permitindo uma experiência mais leve, pois a chave definida não pode ser rastreada.
A ideia é que um mesmo login, muito seguro, funcione em diferentes dispositivos e serviços. Assim, é possível utilizar a impressão digital ou um PIN único, sem precisar se lembrar de uma senha específica.
Por que usar uma autenticação multifator?
Como sabemos bem, os riscos de fraudes, vazamento de dados e ataques cibernéticos estão crescendo diariamente, portanto, todo cuidado é válido. Como resposta a esse cenário, a autenticação multifator converge diversas alternativas e tecnologias para promover a segurança digital das empresas e usuários, o que por si só já pode ser considerado um grande benefício.
No entanto, para que não fique dúvidas, confira mais algumas vantagens do uso da MFA para a sua empresa:
-
- Colabora com a proteção de dados e a conformidade com a LGPD;
- Diminui consideravelmente os riscos de a organização sofrer ataques ou invasões;
- Promove uma maior confiança do usuário na empresa, evitando prejuízos financeiros;
- Agiliza processos em alta escala, como o bloqueamento de contas e a redefinição de senhas;
- Pode ser combinada com outras ações de segurança e prevenção à fraude, sendo customizável de acordo com a jornada do usuário.
Neste texto, você entendeu o que é MFA ou autenticação multifator e qual a importância dessa tecnologia para a segurança da sua empresa e dos seus usuários. Além disso, conferiu com detalhes as diversas possibilidades dessa solução e como cada uma pode ser utilizada em determinado contexto para criar um sistema antifraude mais seguro e confiável.
Para continuar o seu aprendizado, leia o artigo “Sistema antifraude: o que é usado pelo mercado?” e esteja ainda mais por dentro de como a sua empresa pode se proteger de ataques cibernéticos.
A seguir, você vai aprender sobre: