• Marcelo Ramos

Two-factor authentication: vale a pena?

Em nossa vida pessoal, do banco ao serviço de streaming, do e-mail ao aplicativo de entrega de comida ou as redes sociais; é necessário para acessar cada um deles informar uma senha. Na empresa, temos senhas para acessar os sistemas – locais ou em cloud –, para ler nossos e-mails, destravar nossos dispositivos e por aí vai.


Acredita-se que o primeiro uso de senha em ambiente computacional tenha ocorrido no MIT (Massachusetts Institute of Technology) em meados de 1960. A evolução da tecnologia trouxe também a “evolução” de complexidade das senhas. Políticas como um tamanho mínimo de 8 caracteres, pelo menos um caracter especial, pelo menos uma letra maiúscula, não deve ser a mesma que uma das n últimas senhas, devem ser trocadas a cada 60 dias etc.


O ambiente de senhas, tanto pessoal quanto corporativo, se tornou complicado demais. A última revisão do NIST sobre o assunto – Digital Identity Guidelines, 800-63 – removeu inclusive a obrigatoriedade de complexidade da senha. Complexidade esta que levou a ocorrências de vulnerabilidades mais humanas por assim dizer, como o papelzinho com a senha colado no monitor ou embaixo do teclado ou ainda a anotação da senha na agenda de papel.


Temos também o comportamento inadequado de empréstimo de senha para um colega, seja para ele fazer o favor de executar uma tarefa no lugar de quem empresta, seja para quem recebe acessar dados aos quais ele não teria direito de acordo com a política da empresa. Isso sem falar no empréstimo da senha do serviço de streaming para o vizinho (espero que se esse for seu caso, não use essa mesma senha em suas redes sociais ou no seu banco).


Outro problema relacionado a senha são os malwares que coletam o que o usuário digita em seu dispositivo e depois enviam para tratamento, permitindo a captura de dados.


E como resolver o problema da senha?


Ferramentas de IAM (Identity and Access Management) vieram para tentar colocar ordem na casa, permitindo ao usuário autenticação única para todos os serviços corporativos, mas no final o usuário ainda precisam digitar a senha.


No passado, os militares tentaram resolver com o uso de senha e contrassenha. Posteriormente tivemos a autenticação de dois fatores (em inglês two-factor authentication, que se abrevia 2FA), onde se informa um usuário e senha e um segundo fator de autenticação que pode ser:


Algo que você sabe: um PIN (número de identificação pessoal), uma senha, uma ou mais respostas a perguntas pré-combinadas ...


Algo que você possui: um token – físico ou virtual –, um cartão de senhas, um pendrive.


Algo que você é: algum padrão biométrico como impressão digital, íris, voz, velocidade de digitação etc.


Baseado em localização: de acordo com a localização do usuário uma forma de acesso pode estar disponível ou ser requisitada. Por exemplo, se o acesso está sendo realizado a partir da rede corporativa, basta informar o PIN. Se o usuário está fora da empresa, terá de informar também um código recebido em um token software.


Complicado? No dia a dia provavelmente você já teve contato com esse tipo de autenticação ao utilizar o token, físico ou digital, para fazer uma transferência ou pagar uma conta no seu banco.

E como habilitar 2FA?


Para as pessoas físicas basta acessar seus produtos preferidos e procurar por dupla autenticação ou 2FA. Tem naquele serviço de e-mail grátis que quase todo mundo usa, tem para aquele aplicativo usado para mandar mensagens ou ligar, tem nas redes sociais, tem nos serviços de streaming etc. Antes de ativar, leia com atenção as regras de uso e como fazer se você perder a ferramenta de dupla autenticação (se você optar por software token e seu celular for roubado, por exemplo).


Para as empresas, converse com seus fornecedores e veja as opções disponíveis. Se sua empresa usa IAM não tem problema. A maioria das boas ferramentas possibilita – e deveria encorajar – o uso de 2FA. Os grandes provedores de cloud que ofertam IAM para gerência do acesso ao ambiente, por exemplo, possibilitam o uso de 2FA.


E pensando bem, para quem ainda não utiliza este é um benefício adicional para as corporações. O uso de 2FA obrigará que cada profissional tenha sua própria credencial de acesso, evitando o compartilhamento. Com isso, as ações executadas por cada um serão identificadas mais simplesmente, bem como se tornam mais rápidas ações destinadas a usuários específicos. E o permissionamento pode ser facilmente tratado via grupos.


Conclusão


O uso de duplo fator de autenticação não deve ser considerado como a solução de todos os problemas com senha. Os usuários pessoa física devem também fazer uso de um gerenciador de senha e evitar o uso repetido em mais de um local. No mercado corporativo as ferramentas/funcionalidades de 2FA devem ser analisadas pelo time de segurança e todos os aspectos entendidos antes de sua implementação.


O NIST na publicação 800-63-3 desencoraja o uso de SMS como 2FA. Embora SMS seja de simples implementação e barato, é vulnerável a uma série de ataques, como malwares que interceptam e redirecionam mensagens recebidas via SMS.


O processo de recuperação quando o mecanismo de 2FA não está mais disponível é outro fator a ser considerado. Muitos mecanismos simplesmente enviam uma mensagem com uma senha temporária a um e-mail alternativo. O hacker pode tomar posse deste e-mail durante um ataque e comandar o processo de recuperação do 2FA.


Diante disso, o uso de duplo fator de autenticação é altamente recomendado e aumenta consideravelmente o nível de segurança do processo. Os potenciais problemas podem ser mitigados com um estudo de como a implementação deve ser realizada e com o treinamento dos colaboradores em sua utilização.

©2020 por Tiga Tecnologia