Segurança dos dados com autenticação de dois fatores [atualizado] – Computerworld Portugal

Todos os anos, milhares de artigos alertam para os problemas da utilização de passwords pouco seguras. Mas uma password segura poderá também não ser suficiente no caso em que as credenciais de um utilizador tenham sido comprometidas. E é aqui que entra a autenticação de dois fatores.

Por Ricardo Neves – Marketing Manager na ESET Portugal

A autenticação de dois fatores (2FA) oferece uma camada adicional de segurança que protege o utilizador mesmo que as suas credenciais tenham sido comprometidas, através de um código ou password temporária e de utilização única.

Esta camada adicional de proteção começa a tornar-se mais comum à medida que diversos websites e serviços disponibilizam esta tecnologia. Muitas vezes de forma opcional, mas com tendência para se tornar quase obrigatória.

Isto faz com que a resistência para a adoção da tecnologia 2FA nas empresas comece pouco a pouco a dissipar-se. Contudo, na prática a maioria das organizações continua a utilizar apenas a tradicional autenticação através de nome de utilizador e palavra-passe. Um método que sendo simples e fácil de implementar pode colocar grandes problemas ao nível da segurança. 

Um risco para as organizações

De acordo com a Verizon 2020 Data Breach Investigation Report, a par do phishing, a utilização de credenciais roubadas é a forma mais comum dos ataques bem-sucedidos de hackers. O mesmo relatório indica que as variantes de malware mais usadas em ciberataques são os chamados “password dumpers”, destinados precisamente a procurar e recolher credenciais dos utilizadores.

Existem outros tipos de ataques que podem comprometer os utilizadores e as empresas, tais como: ataques de força bruta, utilização de código malicioso, engenharia social, phishing, entre outros. A partir do momento em que as credenciais são obtidas, a sua utilização possibilita o acesso não autorizado a contas/sistemas e pode representar um sério impacto nas operações das organizações. A perda e roubo de dados é um dos problemas mais evidentes, mas há outros impactos indiretos, tais como a reputação negativa, prejuízos financeiros, falhas na conformidade legal e roubo de propriedade intelectual, por exemplo.

O problema é que estes tipos de ataques podem ser também lançados contra aplicações empresariais, sendo que estas contêm dados de negócios extremamente sensíveis. Acessos a contas de email, sistemas ERP, CRM ou até mesmo intrusões nos acessos VPN ou RDP podem ser catastróficos para as organizações. Assim sendo, é de extrema importância reforçar a segurança de autenticação nestes sistemas tão críticos.

Muitas vezes, os atacantes não precisam de ser hackers sofisticados, uma vez que na deep/dark web é possível encontrar milhões de credenciais de utilizadores distribuídos por listas e prontas a serem compradas ou descarregadas.

Mesmo nas organizações que optam por implementar boas práticas de gestão de palavras-passe, implementando protocolos para impedir a sua reutilização ou chaves demasiado simples, pode não ser suficiente para assegurar a integridade dos acessos.

Um método de autenticação seguro

Ou seja, mesmo com a implementação das melhores práticas de políticas de palavra-passe, existe sempre o risco de estas serem descobertas. E é neste contexto que a tecnologia 2FA vem reforçar significativamente a segurança na autenticação dos utilizadores.

O conceito é muito simples e consiste em adicionar um segundo fator de autenticação às credenciais baseadas apenas no nome de utilizador e palavra-passe. Podemos definir que o 2FA é um processo de autenticação com base em “algo que eu sei” (as credenciais do utilizador) mas também em “algo que eu tenho” (o segundo fator de autenticação). 

Este segundo fator de autenticação é tipicamente uma palavra-passe de única utilização (OTP, iniciais de One Time Password) gerada localmente, numa app do smartphone ou enviada através de SMS ou email. Outros métodos podem incluir o envio de uma “Push Notification” (mensagem enviada para o smartphone onde o utilizador simplesmente aprova ou nega o acesso) ou a utilização de um “hard-token”.

Qualquer que seja a solução de 2FA desenhada, ela deve ser simples e fácil de utilizar, de forma a evitar a resistência na sua implementação.

A tecnologia multi-fator (2FA) da ESET é conhecida por ser fácil e rápida de instalar, dado que o instalador verifica todas as dependências necessárias e instala todos os componentes, incluindo o serviço RADIUS. A sua utilização é simplificada através da sua consola de gestão web e reforça a autenticação em serviços de ligação remota, como VPN e ambientes de trabalho remotos (RDP). Permite ainda o reforço da autenticação em aplicações empresariais nativas Microsoft, assim como Google Apps, Dropbox e outros. Está ainda disponível para smartphones iOS e Android.

Esta é claramente uma tecnologia muito importante no panorama da cibersegurança, sobretudo numa altura em que o trabalho em mobilidade está a contribuir para o aumento do ciber-risco nas empresas e seus utilizadores. 



Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *