Os prós e contras dos diferentes métodos de autenticação multifator (MFA)

A autenticação multifator (MFA) ajuda a adicionar uma camada extra de segurança às contas, mas é importante entender que nem todos os métodos de MFA são criados iguais em termos de facilidade de uso e segurança. Neste blog, veremos os diferentes tipos de métodos de MFA, juntamente com os prós e contras de cada um.

MFA baseada em SMS

A MFA baseada em SMS permite que usuários verifiquem suas identidades através de uma senha de uso único (OTP) enviada para o telefone. Quando um usuário tenta fazer login em sua conta, o sistema envia um OTP exclusivo por mensagem de texto para o número de telefone associado. O usuário deve inserir o código na interface de login para concluir o processo de autenticação e obter acesso à conta.

Vantagens

1. Fácil de configurar e usar: os usuários precisam apenas de um número de telefone válido.

2. Amplamente disponível: quase todos os telefones celulares podem receber mensagens SMS, sejam smartphones ou telefones básicos.

3. Sem necessidade de hardware especial: os usuários precisam apenas de um telefone celular capaz de receber mensagens.

Contras

1. Vulnerável à troca de SIM: um invasor pode convencer a operadora de celular de um usuário a transferir o número de telefone dele para um novo cartão SIM que o invasor controla. Isso permite que invasores interceptem mensagens SMS, incluindo OTPs.

2. Vulnerável ao phishing: invasores podem se passar por organizações legítimas através de mensagens de texto, enganando usuários para que revelem seus OTPs.

3. Não é tão seguro quanto outros métodos de MFA: mensagens SMS não são criptografadas, o que significa que há o risco de que o OTP possa ser interceptado durante a transmissão.

MFA baseada em e-mail

A MFA baseada em e-mail permite que usuários se verifiquem através de um código ou link mágico enviado para o endereço de e-mail registrado. Quando um usuário tenta fazer login em sua conta, ele recebe um email com um OTP ou um link mágico. O usuário deve inserir o OTP ou clicar no link mágico para concluir o processo de autenticação e obter acesso à conta.

Vantagens

1. Fácil de configurar e usar: os usuários precisam apenas de um endereço de email, que a maioria já tem.

2. Não há necessidade de aplicativos ou dispositivos extras: é necessário apenas um dispositivo com acesso à conta de email do usuário, seja ele um smartphone, tablet ou computador.

Contras

1. Vulnerável a comprometimento de contas de email: se a conta de email de um usuário for comprometida, um invasor pode obter acesso à OTP e contornar a MFA.

2. Depende da disponibilidade do e-mail: se o usuário não puder acessar sua conta de e-mail devido a problemas como conexão com a internet indisponível ou interrupções de serviço, ele será impedido de fazer login na conta, pois nenhum OTP ou link mágico pode ser recebido.

Autenticação de chamadas de voz

A autenticação por chamadas de voz permite que usuários se verifiquem através de um OTP entregue por chamada de voz para o número de telefone registrado associado à sua conta. Quando um usuário tenta fazer login em sua conta, ele recebe uma chamada de voz automatizada na qual o sistema lê um OTP exclusivo. O usuário, então, insere esse código na interface de login para concluir o processo de autenticação e obter acesso à conta.

Vantagens

1. Simples e acessível para usuários sem smartphones: não exige que os usuários tenham um smartphone ou plano de dados, diferentemente de aplicativos baseados em SMS ou de autenticação. Apenas um telefone celular básico capaz de receber chamadas é necessário.

2. Funciona sem a necessidade de conexão com a internet: desde que o usuário tenha acesso à rede móvel, ele pode receber uma chamada de voz com o OTP, independentemente do acesso à internet.

Contras

1. Vulnerável à troca de SIM: um invasor pode convencer a operadora de celular de um usuário a transferir o número de telefone dele para um novo cartão SIM que o invasor controla. Isso permite que invasores interceptem o OTP enviado por chamada de voz.

2. Vulnerável a ataques de spoofing e vishing: invasores podem falsificar o número de telefone de um serviço legítimo e enganar usuários para que acreditem que estão recebendo uma chamada de OTP. O invasor pode, então, solicitar informações confidenciais ou convencer o usuário a inserir o OTP em um site malicioso.

3. Limitações de deficiências auditivas: usuários com dificuldades auditivas podem não conseguir ouvir com clareza o OTP fornecido durante a ligação.

Aplicativos autenticadores

Aplicativos autenticadores são aplicativos que geram OTPs com base no modelo de verificação de senhas de uso único baseadas em tempo (TOTP). Gerenciadores de senhas de qualidade geralmente têm uma função de autenticação dentro da plataforma, permitindo que os usuários salvem e acessem códigos em todos os dispositivos.

Ao configurar a MFA com um aplicativo autenticador, os usuários escaneiam um código QR ou inserem manualmente uma chave secreta. Usando essa chave, o aplicativo aplica um algoritmo para gerar OTPs exclusivos e sensíveis ao tempo, que mudam a cada 30 ou 60 segundos. Quando um usuário tenta fazer login em sua conta, ele deve inserir o código exibido no aplicativo autenticador. O servidor verifica se o código inserido corresponde ao gerado e, caso corresponda, o usuário recebe acesso.

Vantagens

1. Disponível offline: não é necessário ter conexão com a internet para gerar OTPs, pois o aplicativo utiliza a chave secreta armazenada no dispositivo para gerar códigos baseados em tempo.

2. Uso gratuito: a maioria dos aplicativos autenticadores pode ser baixada e utilizada gratuitamente, tornando-se uma solução de MFA segura e econômica.

Contras

1. Requer um smartphone ou outro dispositivo dedicado: os usuários devem ter acesso a um dispositivo compatível com o aplicativo.

2. Vulneráveis a ataques direcionados a aplicativos: se um invasor obtiver acesso ao dispositivo de um usuário, poderá acessar as chaves secretas armazenadas para gerar OTPs e obter acessos não autorizados.

3. Pode ser desafiador para alguns usuários: o processo de instalação do aplicativo, digitalização de um código QR e gerenciamento de várias contas online dentro do aplicativo pode ser desafiador para usuários menos experientes em tecnologia.

Chaves de segurança FIDO2

Uma chave de segurança FIDO2 é um método de MFA baseado em hardware desenvolvido para permitir que usuários façam login em suas contas com segurança sem a necessidade de inserir uma senha ou código. É um dispositivo físico que um usuário conecta ao seu computador ou dispositivo móvel, geralmente via USB, NFC ou Bluetooth. Chaves de segurança FIDO2 usam criptografia de chave pública para criar um par de chaves: uma chave pública armazenada no servidor e uma chave privada armazenada com segurança na própria chave de segurança. Quando um usuário tenta fazer login em uma conta, ele insere a chave de segurança FIDO2 quando solicitado e toca nela, assinando o desafio de autenticação com a chave privada para verificar sua identidade.

Vantagens

1. Imune a ataques man-in-the-middle: invasores não podem interceptar dados transmitidos entre o usuário e o servidor porque não terão a chave privada necessária para concluir a autenticação.

2. Imune a ataques de phishing: invasores não podem enganar usuários para que revelem chaves privadas ou códigos de autenticação devido à dependência da criptografia de chave pública e aos requisitos físicos da chave de segurança.

3. Resistência a ataques de troca de SIM: as chaves de segurança não dependem de um número de telefone, eliminando a vulnerabilidade a ataques de troca de SIM.

4. Funciona em vários aplicativos e sites: As chaves de segurança FIDO2 são amplamente aceitas nos principais navegadores, plataformas e dispositivos.

Contras

1. Custa dinheiro: chaves de segurança FIDO2 podem ter preços de US$ 20 a US$ 100 ou mais, dependendo dos recursos e da marca.

2. Perder a chave pode resultar em bloqueio se nenhum método de backup for configurado: se um usuário perder sua chave de segurança FIDO2, ele pode ser bloqueado de sua conta, a menos que tenha um método de autenticação de backup, como outra chave, um código de backup ou uma opção de recuperação.

3. Requer um dispositivo físico: os usuários devem sempre ter a chave consigo para se autenticar, o que pode ser inconveniente se ela for perdida, esquecida ou não estiver facilmente acessível.

Tokens de hardware

Tokens de hardware são dispositivos físicos, como chaveiros ou cartões inteligentes, usados para verificar a identidade de um usuário gerando códigos TOTP. Quando um usuário tenta fazer login em sua conta, o sistema solicita que o usuário insira o OTP gerado pelo token de hardware. Dependendo do tipo de token, o usuário lê o código na tela do dispositivo ou pressiona um botão para exibir o código, que ele então insere na interface de login. O servidor verifica se o código inserido corresponde ao gerado com base no segredo compartilhado e na hora atual. Se os códigos corresponderem, o acesso será concedido ao usuário.

Vantagens

1. Ele gera OTPs mesmo sem conexão com a internet: isso torna o gerador de OTPs ideal para usuários em ambientes onde uma conexão com a internet não está disponível.

2. Fácil de configurar e usar: o usuário simplesmente precisa vincular o token de hardware à sua conta e ele está pronto para gerar OTPs automaticamente, sem necessidade de intervenção adicional.

Contras

1. Custa dinheiro: usuários ou organizações devem comprar o dispositivo físico, o que pode gerar custos adicionais, especialmente para empresas maiores que precisam fornecer tokens para vários ou todos os usuários. Os tokens podem variar em preço de US$ 20 a US$ 100 ou mais.

2. Tokens perdidos ou roubados: usuários podem não conseguir acessar suas contas até que seja fornecido um substituto, o que pode ser demorado.

3. Requer um dispositivo físico: os usuários precisam carregar os tokens consigo o tempo todo para acessar suas contas, o que pode ser inconveniente se um token for perdido ou esquecido.

Autenticação biométrica

Autenticação biométrica é um tipo de método de MFA que usa características físicas ou comportamentais para verificar a identidade de um usuário. Diferente das senhas tradicionais ou códigos OTP, a autenticação biométrica utiliza características exclusivas inerentes a cada indivíduo. Essas características podem incluir impressões digitais, características faciais, padrões de voz, varreduras da íris ou retina ou até mesmo padrões de digitação. Quando um usuário tenta fazer login, o sistema captura e analisa sua biometria e as compara com dados armazenados da configuração inicial para verificar sua identidade.

Vantagens

1. Rápido, fácil e requer configuração mínima: A configuração inicial exige que o usuário escaneie sua impressão digital, rosto ou outro traço biométrico. Uma vez configurada, a autenticação requer nada mais do que um olhar ou toque.

2. Exclusivos para cada usuário: traços biométricos são difíceis de replicar e a probabilidade de duas pessoas terem exatamente a mesma impressão digital, características faciais ou padrão de retina é extremamente baixa.

Contras

1. Pode não funcionar com eficácia em determinadas circunstâncias: por exemplo, se o dedo de um usuário estiver sujo ou ferido, o sistema pode ter dificuldade para ler a impressão digital corretamente. Da mesma forma, se eles estiverem usando óculos, máscaras ou chapéus, o sistema pode não conseguir escanear o rosto com precisão.

2. Preocupações com privacidade e uso indevido de dados biométricos: se dados biométricos forem armazenados ou acessados de maneira insegura, eles podem ficar vulneráveis a roubo ou uso indevido.

3. Potencial para falsos positivos: por exemplo, gêmeos ou indivíduos com aparência parecida e características faciais semelhantes podem acionar um falso positivo.

Notificações push

As notificações push permitem que usuários verifiquem sua identidade recebendo uma notificação em seus dispositivos móveis. Ao tentar fazer login, em vez de precisar inserir um código OTP, o usuário recebe uma notificação push solicitando que ele aprove ou negue a tentativa de login. Ao selecionar “aprovar”, o usuário verifica sua identidade e confirma que está iniciando o login, sem precisar inserir um código manualmente.

Vantagens

1. Processo de aprovação rápido: ao contrário dos métodos OTP, onde o usuário precisa esperar por uma mensagem de texto e inserir um código, o processo de aprovação de notificações push é instantâneo.

2. Mais seguro que o SMS: as notificações push são entregues através de uma conexão criptografada com o servidor, o que as torna menos vulneráveis a interceptações.

Contras

1. É necessário um smartphone ou dispositivo para receber a notificação push: um dispositivo capaz de receber notificações é necessário para concluir o processo de autenticação.

2. Pode não ser eficaz se o telefone do usuário for perdido, roubado, estiver offline ou no modo avião: Se um usuário não tiver seu smartphone ou estiver em uma situação em que o dispositivo esteja indisponível, ele não poderá acessar suas contas.

O que considerar na escolha de um método de MFA

Ao decidir qual método de MFA usar, é importante avaliar vários fatores para garantir que a solução escolhida satisfaça seus requisitos específicos. Esses fatores incluem suas necessidades de segurança, conveniência e custo de implementação.

• Necessidades de segurança: o nível de segurança necessário varia dependendo da sensibilidade das informações que estão sendo protegidas. Para dados altamente confidenciais, é melhor escolher uma solução de MFA que ofereça o mais alto nível de proteção. Soluções como biometria, tokens de hardware ou chaves de segurança FIDO2 são consideradas as formas mais fortes de MFA devido à sua resistência a ameaças cibernéticas comuns.
• Facilidade para os usuários: avalie sua preferência entre facilidade de acesso e segurança máxima. É importante encontrar um equilíbrio entre simplicidade e segurança para garantir uma experiência intuitiva e ainda proteger informações confidenciais. Se conveniência é prioridade, soluções como biometria ou notificações push são ideais, pois oferecem autenticação rápida e sem complicações.
• Custo: avalie o custo inicial da implementação e os custos de manutenção contínuos. Algumas soluções de MFA podem ter custos baixos, como autenticação baseada em SMS, enquanto outras, como tokens de hardware ou chaves de segurança FIDO2, podem ser mais caras de implantar e manter.

Proteja suas contas com métodos de MFA seguros

Entender as vantagens e desvantagens de diferentes métodos é crucial na seleção da solução de MFA certa. Seja qual for o método escolhido, sempre habilite a MFA para todas as contas que oferecem essa opção. Qualquer opção de MFA é muito mais segura do que não ter nenhuma.

O Keeper Password Manager permite que você armazene, acesse e compartilhe códigos TOTP com segurança. Ele até mesmo os preenche automaticamente para você. Isso permite que todos os usuários da sua organização usem senhas fortes e habilitem a MFA para todas as contas.

Comece uma avaliação gratuita de 14 dias do Keeper Password Manager para aprimorar a segurança das suas contas.