好色先生TV

Tópicos técnicos

O que é autentica??o multifatorial?

Ilustra??o de itens de TI com foco em uma l?mpada

Vis?o geral

Ao acessar um recurso protegido, você se autentica em um armazenamento de dados com suas informa??es de credenciais. Elas consistem em uma identidade reivindicada e um segredo associado a ela. Tradicionalmente, isso é feito apenas com um nome de usuário e uma senha simples, e é o método de autentica??o mais comum atualmente. Infelizmente, a autentica??o por nome de usuário/senha tem se mostrado bastante vulnerável a phishing e hacking de credenciais. Como as senhas podem ser difíceis de lembrar, as pessoas tendem a escolher uma senha simples e reutilizá-la em seus vários servi?os on-line e na nuvem. Isso significa que, quando uma credencial é hackeada em um servi?o, pessoas mal-intencionadas de fora a testam em outros servi?os digitais pessoais e profissionais.?

A autentica??o multifatorial (MFA) foi criada para proteger contra esses e outros tipos de amea?as, exigindo que o usuário forne?a dois ou mais métodos de verifica??o antes de obter acesso a um recurso específico, como um aplicativo, armazenamento de dados ou rede privada.

O termo "fator" descreve os diferentes tipos ou métodos de autentica??o usados para verificar a identidade reivindicada de alguém. Os diferentes métodos s?o:

  • Algo que você conhece, como uma senha, um PIN memorizado ou perguntas de desafio.
  • Algo que você tenha - embora historicamente fosse um hard token, hoje é mais comum que seja um smartphone ou uma chave USB segura.
  • Algo que você é - biometria comum é a impress?o digital e o reconhecimento facial; menos comuns s?o biometrias como voz ou outras tecnologias de reconhecimento.

Autentica??o multifatorial

Como decido quantos fatores devo configurar para um recurso protegido?

Os requisitos de seguran?a e usabilidade determinam o processo usado para confirmar a reivindica??o de identidade do solicitante. A autentica??o multifatorial permite que as equipes de seguran?a respondam ao contexto ou à situa??o do solicitante (pessoa ou processo programático), sendo a remo??o do acesso o cenário mais comum. Além de determinar quantos tipos de autentica??o devem ser exigidos, a TI também precisa equilibrar o custo dos requisitos de usabilidade com o custo de implementá-los.

Autentica??o de fator único (SFA)

A SFA foi e ainda é o padr?o para garantir o acesso a informa??es e instala??es móveis, on-line e outras informa??es e instala??es seguras. Por ser t?o onipresente e barato, o tipo mais comum de SFA é o nome de usuário e a senha. Ainda assim, as tecnologias sem senha est?o sendo adotadas em um ritmo cada vez maior para evitar as amea?as representadas por vários ataques de phishing. Por exemplo, a maioria dos aplicativos móveis permite o uso de impress?o digital ou reconhecimento facial no lugar do tradicional nome de usuário e senha.?

Atualmente, os servi?os on-line oferecidos pela Microsoft e pelo Yahoo oferecem uma op??o de SFA sem senha, e outros fornecedores, como a Apple e o Google, oferecer?o a mesma op??o no próximo ano.

Como s?o usados para verificar identidades, os tokens de autentica??o precisam ser protegidos contra pessoas de fora. Além da forte seguran?a dos tokens, eles geralmente s?o configurados para expirar com bastante frequência, aumentando sua taxa de atualiza??o. Embora a implementa??o de tokens de curta dura??o usados na interface sem senha aumente a seguran?a, ela n?o atinge o nível oferecido pela autentica??o de dois fatores.

Autentica??o de dois fatores (2FA)

A 2FA refor?a a seguran?a exigindo que o usuário forne?a um segundo tipo (saber, ter, ser) para verifica??o de identidade. Uma prova de identidade pode ser um token físico, como uma carteira de identidade, e a outra é algo memorizado, como um desafio/resposta, código de seguran?a ou senha. Um segundo fator eleva significativamente o nível para que agentes mal-intencionados e outros agentes externos consigam violar a seguran?a.?

Aqui está uma lista comum de métodos de autentica??o populares:?

  • Senhas de uso único - TOTP, HOTP, YubiKey e outros dispositivos compatíveis com FIDO
  • Outros fora de banda - chamada de voz, push móvel
  • PKI - certificados
  • Biometria - impress?o digital, reconhecimento facial e de voz
  • Proximidade - cart?es, geo-fencing de aplicativos móveis
  • O que você sabe - senhas, perguntas de desafio
  • Credenciais sociais

Autentica??o de três fatores (3FA)?

Adiciona outro fator a dois fatores para dificultar ainda mais a falsifica??o de uma identidade reivindicada. Um cenário típico pode ser adicionar a biometria a um nome de usuário/senha existente, além de um login com cart?o de proximidade. Como ela acrescenta um nível notável de atrito, deve ser reservada para situa??es que exijam um alto nível de seguran?a. Os bancos podem encontrar situa??es em que a 3FA faz sentido, assim como vários órg?os governamentais. ?reas específicas de alto controle dentro de uma parte de um aeroporto ou hospital também s?o áreas em que as equipes de seguran?a consideram a 3FA necessária.

Onde a MFA é normalmente usada?

Embora muitas organiza??es considerem a verifica??o do usuário como uma reflex?o tardia, é importante observar que o DBIR anual da Verizon mostra consistentemente o hacking de credenciais como uma das principais estratégias de viola??o. ? simplesmente uma quest?o de tempo até que praticamente todas as organiza??es sofram um evento de perda de informa??es confidenciais que resulte em uma perda financeira tangível e na possível perda da confian?a do cliente.

O que torna essas tendências notáveis é o fato de que nunca houve um momento em que a autentica??o multifator fosse t?o conveniente e acessível de implementar como hoje. Tradicionalmente, as organiza??es têm limitado suas implementa??es de MFA a um pequeno subconjunto de usuários especializados que trabalham com informa??es que representam um nível mais alto de risco para a empresa. O custo e a usabilidade costumam ser os fatores limitantes que impedem implementa??es mais amplas da tecnologia de autentica??o forte. Historicamente, os métodos de autentica??o forte eram caros para comprar, implementar (incluindo a inscri??o dos usuários) e administrar. Mas, recentemente, houve uma série de mudan?as radicais nos setores, nas próprias organiza??es, em seus clientes (ou pacientes, cidad?os, parceiros etc.) e na tecnologia à qual eles têm acesso.

Quais s?o os principais motivadores comerciais para a implementa??o da autentica??o multifator?

Embora cada organiza??o tenha seus próprios requisitos concretos, há fatores de negócios de alto nível que s?o frequentemente comuns a todas elas:?

  • A maioria dos setores precisa estar em conformidade com algum tipo de lei de privacidade referente a informa??es de clientes, pacientes ou financeiras. Além disso, os órg?os governamentais continuam a firmar suas políticas que exigem MFA para verifica??o da identidade do usuário.
  • Trabalho remoto - mais do que nunca, os profissionais est?o trabalhando fora do escritório, seja como guerreiros das estradas ou como funcionários remotos. Seja como parte de suas práticas de gerenciamento de riscos ou como parte de uma iniciativa de conformidade que abrange informa??es (cliente, paciente, cidad?o, RH etc.) sujeitas a exigências de autentica??o do governo.
  • Os usuários avan?ados e as organiza??es em que trabalham fazem isso em um mundo conectado de forma generalizada, o que significa que, quando suas credenciais s?o violadas, a vulnerabilidade exposta ao empregador é uma for?a convincente para proteger suas contas com a MFA.
  • Praticamente todas as pessoas têm um computador conectado (smartphone) no bolso, a partir do qual conduzem suas vidas: mídia social, conteúdo personalizado para o consumidor e comércio eletr?nico. Como os clientes esperam interagir com as empresas digitalmente em seus dispositivos, as organiza??es geralmente adotam uma estratégia agressiva de aplicativos móveis que precisam de MFA para gerenciar seus riscos.?

Quais mandatos exigem que as organiza??es usem MFA para estar em conformidade?

  • Em outubro de 2005, o emitiu uma orienta??o exigindo que os bancos reavaliassem seus protocolos de login, considerando que a autentica??o de fator único, quando usada como único mecanismo de controle, é inadequada para transa??es de alto risco que envolvem acesso ou movimenta??o de fundos, e que aprimorassem a autentica??o com base no risco de seu servi?o. Além do mandato, as institui??es financeiras também est?o sujeitas a um alto padr?o para ganhar a confian?a de seus clientes.
  • - As institui??es financeiras dos EUA devem garantir a seguran?a e a confidencialidade dos registros de seus clientes.
  • A Se??o 404 da exige que o CEO e o CFO de empresas de capital aberto atestem a eficácia dos controles internos da organiza??o.
  • O Requisito 8.2 do PCI DSS define os requisitos de autentica??o que incluem MFA para acesso remoto ao ambiente de dados do titular do cart?o (CDE). Ele também recomenda quais métodos devem ser usados.

Quais s?o algumas maneiras de tornar a MFA menos intrusiva na experiência do usuário?

A TI tem acesso a algumas tecnologias para reduzir o atrito que a MFA pode potencialmente impor aos usuários:

  • Logon único.
  • Avalia??o de risco de uma solicita??o de acesso.
  • Combine o melhor tipo de autentica??o com o usuário.

Logon único (SSO)

O logon único (SSO) permite que um usuário se autentique em vários recursos a partir de uma única intera??o do usuário, o que significa que o usuário insere uma única credencial a partir da qual a infraestrutura abaixo dele se autentica em cada um dos recursos protegidos em seu nome durante essa sess?o. A abordagem mais segura para o SSO é que o mecanismo de autentica??o use um conjunto exclusivo de credenciais para cada recurso configurado para SSO. Isso aumenta a seguran?a em um nível alto porque:

  • O usuário n?o conhece a credencial real do recurso, mas apenas a credencial usada fornecida ao gateway de autentica??o. Isso for?a o usuário a usar o gateway de autentica??o em vez de ir diretamente ao recurso. Isso também significa que cada recurso tem uma credencial exclusiva, portanto, se o armazenamento de identidade de um deles for violado, isso n?o comprometerá os outros. Essa abordagem permite que a TI esteja em conformidade com os requisitos de MFA enquanto realiza autentica??es em série para recursos protegidos. ?
  • Ao aproveitar o contexto do usuário, a tecnologia baseada em risco (RBA) pode ser usada para invocar a MFA somente quando necessário. Seja para cumprir uma exigência governamental ou para aplicar a política de gerenciamento de riscos da organiza??o, a RBA pode ser usada para diminuir as inst?ncias em que uma solicita??o de autentica??o é imposta a um usuário. As políticas geralmente s?o uma combina??o de local, dispositivo e horário de acesso.?

Op??es de autentica??o de baixo atrito

Embora as OTPs/TOTPs tradicionais continuem a ser o tipo mais comum de autentica??o de segundo fator, pode haver outras op??es que fa?am mais sentido para uma determinada situa??o. Os aplicativos móveis push fora de banda oferecem uma op??o de baixo atrito para a OTP, pois tudo o que o usuário precisa fazer é apertar o bot?o de aceita??o. Para situa??es de maior risco, alguns aplicativos push têm a op??o Os aplicativos móveis push podem ser configurados para exigir uma impress?o digital para verificar a identidade da pessoa, bem como uma confirma??o de informa??es, como um número, apresentada no desktop para verificar ainda mais se o usuário possui o desktop e o smartphone.

O reconhecimento facial está se tornando rapidamente a autentica??o biométrica preferida. A natureza de baixo atrito do Windows Hello, observando que ele melhora com o tempo, oferece uma experiência de usuário conveniente. O maior desafio é que o Windows Hello n?o funciona bem em várias situa??es de ilumina??o. Essa incapacidade de reconhecer rostos em todas as condi??es de ilumina??o pode ser gerenciada com registros faciais adicionais. Mais recentemente, alguns aplicativos móveis oferecem a capacidade de registrar os padr?es da íris dos olhos de uma pessoa. Usadas em conjunto (facial, impress?o digital, íris), as op??es de autentica??o biométrica elevam bastante o nível de seguran?a para que um estranho possa ser derrotado. Os métodos biométricos também s?o uma excelente op??o para as organiza??es que buscam uma forma de baixo atrito para se proteger contra ataques de phishing.

O reconhecimento de voz ganhou popularidade no setor de servi?os financeiros. As institui??es gostam dele porque é totalmente passivo para os clientes enquanto eles falam com um representante de atendimento. O representante é notificado quando a identidade do cliente é verificada. Elas usam o reconhecimento de voz no lugar de perguntas de desafio com clientes que frequentemente têm dificuldade para lembrar as respostas corretas. Nesse caso, a seguran?a e a usabilidade s?o otimizadas.

FIDO/FIDO2 s?o op??es atraentes para os casos em que os usuários se deslocam por vários dispositivos. Parte do que torna a FIDO uma op??o de autentica??o atraente é seu amplo suporte a fornecedores e seu foco na usabilidade. A FIDO ganhou notável for?a nas universidades que lidam com um grande número de alunos que usam uma variedade de servi?os digitais. A FIDO permite a portabilidade da autentica??o sem senha em diferentes dispositivos e plataformas.

O perfil de gestos de smartphones é um tipo de análise comportamental que executa heurísticas sobre como o proprietário manuseia e interage fisicamente com seu dispositivo. O resultado s?o classifica??es de confian?a com base nos padr?es de gestos de rastreamento. Com o passar do tempo, a cria??o de perfis aumenta a confian?a e desenvolve a fidelidade dos gestos. Embora inicialmente n?o seja forte o suficiente para ser a principal forma de verifica??o de identidade, o perfil de gestos pode servir como um método adequado usado em conjunto com outros tipos de autentica??o.

Como o NetIQ é diferente de outras solu??es de MFA?

As equipes de seguran?a geralmente implementam o software de suporte que acompanha a autentica??o que est?o adotando. Isso parece funcionar bem até que sejam adquiridos dispositivos diferentes que exijam uma implementa??o de software diferente, criando mais um silo. Em grandes organiza??es, é bem possível ter vários silos de tecnologias sem senha usadas para autentica??o multifatorial ou para atender a algum outro requisito de autentica??o. O ponto fraco dessa situa??o é que cada silo de autentica??o tem seu próprio conjunto de políticas. Manter esses vários armazenamentos de políticas atualizados exige uma sobrecarga administrativa maior e introduz o risco de ter políticas desiguais.

好色先生TV? O NetIQ? Advanced Authentication foi projetado para atender até mesmo às necessidades de autentica??o multifatorial das maiores organiza??es. Sua abordagem baseada em padr?es oferece uma arquitetura aberta, livre dos riscos de dependência de fornecedores. A estrutura oferece suporte a uma variedade de dispositivos e métodos adicionais prontos para uso, mas também pode ser expandida à medida que novas tecnologias s?o lan?adas no mercado.

Independentemente da plataforma (Web, móvel, cliente), o AA também oferece suporte imediato para as plataformas e os aplicativos mais comuns. Além de servir como mecanismo de política central para autentica??es em toda a empresa, o AA também oferece um mecanismo baseado em risco para controlar quando a MFA é invocada, bem como para controlar quais tipos de autentica??o s?o oferecidos em diferentes níveis de risco. Além de seu próprio mecanismo incorporado, o AA integra-se ao NetIQ Access Manager, que oferece um conjunto robusto de op??es de logon único e métricas de risco que podem ser usadas como parte de casos de uso de gerenciamento de acesso adaptável.

Notas de rodapé