O que é Autenticação?

Autenticação é o processo de verificação de identidade. Requer o uso de senhas, tokens de hardware ou outros métodos.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir autenticação
  • Descrever quando a autenticação é utilizada e como ela funciona
  • Identificar os diferentes tipos de autenticação

Copiar o link do artigo

O que é Autenticação?

Na segurança cibernética, a autenticação é o processo de verificar a identidade de alguém ou algo. A autenticação geralmente ocorre verificando uma senha, um token de hardware ou alguma outra informação que comprove a identidade. Assim como um funcionário de uma companhia aérea verifica um passaporte ou uma carteira de identidade para verificar a identidade de uma pessoa quando embarca em um avião, os sistemas de computador precisam ter certeza de que a pessoa realmente é quem diz ser. Em um aeroporto, esse processo de autenticação garante que apenas pessoas com passagem entrem no avião; para sistemas digitais, isso garante que os dados sejam visualizados e usados pelas pessoas certas.

A autenticação não se aplica apenas à verificação de usuários humanos. Os sistemas de computador também precisam verificar servidores, software, APIs e outros computadores para ter certeza de que são quem "dizem" ser.

Como a autenticação é utilizada em um contexto de segurança?

A autenticação é uma parte importante do gerenciamento de identidade e acesso (IAM), que determina quem pode visualizar os dados e o que eles podem fazer com eles. Mas também se aplica a muitas outras áreas de segurança, incluindo:

  • TLS: Quase todos os principais sites hoje são compatíveis com o Transport Layer Security (TLS). O TLS, entre outras funções, autentica a identidade de um servidor web para garantir que os dispositivos do usuário não carreguem sites falsos.
  • APIs: A maioria dos aplicativos web modernos dependem de APIs para funcionar. As APIs protegidas adequadamente autenticam ambos os endpoints de integração da API para evitar ataques direcionados a essas APIs.
  • E-mail: Os e-mails são autenticados usando um processo chamado DomainKey Identified Mail (DKIM). O DKIM ajuda a garantir que as mensagens de e-mail venham de servidores que têm permissão para usar o domínio (por exemplo, @cloudflare.com) de onde vem o e-mail. Mensagens de e-mail não autenticadas provavelmente acabarão em pastas de spam.

Como funciona a autenticação?

Como um computador não pode "reconhecer" uma pessoa ou outro computador como um humano pode, o processo de autenticação depende de critérios objetivos que um computador pode medir. Um tipo de critério objetivo envolve a verificação de alguma qualidade que a pessoa ou computador em questão possui. Outra envolve o uso de uma tecnologia chamada criptografia de chave pública para provar a identidade.

Verificação de identidade através de fatores de autenticação

Esse tipo de autenticação envolve a verificação de uma característica mensurável de identidade contra um registro digital correspondente. As características que um sistema de autenticação verificará são chamadas de "fatores". Três fatores de autenticação comuns são amplamente usados hoje:

1. Algo que a pessoa sabe

Esse fator de autenticação verifica um conhecimento secreto que somente a pessoa real deve ter. Uma combinação de nome de usuário e senha é o exemplo clássico desse fator. Perguntas de segurança e códigos PIN também são exemplos.

2. Algo que a pessoa tem

Esse fator de autenticação verifica se a pessoa possui um item físico que foi emitido ou que se sabe que possui. Muitas pessoas usam esse fator de autenticação todos os dias: moram em uma casa ou apartamento que podem ser destrancados com uma chave de metal. A posse desta chave, portanto, prova que eles estão autorizados a entrar nas instalações e os habilita a fazê-lo.

Em sistemas digitais, esse fator de autenticação não depende de uma fechadura e chave antiquadas. Mas ele usa um princípio semelhante verificando um token físico. Existem dois tipos de tokens: tokens de software e tokens de hardware.

Tokens de software: Um token de software envolve verificar a posse de um dispositivo, como um smartphone, enviando um código para esse dispositivo e solicitando que o usuário o insira. O código pode ser enviado como mensagem de texto ou por meio de um aplicativo que gera códigos aleatórios.

Tokens de hardware: Um token de hardware é um pequeno item físico que se conecta a um computador ou dispositivo móvel via Bluetooth, uma porta USB ou alguma outra porta. Os usuários devem conectar esse token ao dispositivo para verificar sua identidade.

Alguns especialistas em segurança consideram os tokens de hardware mais seguros do que os tokens de software. Um invasor pode interceptar remotamente um código a caminho do telefone de um usuário e usar esse código para se passar pelo usuário. Mas é muito mais difícil roubar um token de hardware: o invasor precisa acessar fisicamente o token para fazê-lo.

3. Algo que a pessoa é

Este fator de autenticação avalia as qualidades inerentes de uma pessoa. Na vida real, as pessoas fazem isso o tempo todo — dois amigos podem se reconhecer pela aparência ou pela maneira de falar, por exemplo. Um computador poderia fazer o mesmo escaneando o rosto ou a retina de uma pessoa, verificando sua impressão digital, medindo as frequências de sua voz ou verificando os resultados de um exame de sangue (embora este último seja mais raro).

Fatores de autenticação adicionais

Alguns membros do setor de segurança propuseram ou usaram fatores de autenticação adicionais além dos três principais listados acima. Dois desses fatores adicionais são local (onde o usuário está) e horário (quando ele está acessando o sistema).

Verificação de identidade através de certificados digitais

Além de utilizar os fatores de autenticação descritos acima, entidades conhecidas e confiáveis também podem emitir certificados digitais. Um certificado digital é um pequeno arquivo digital que contém informações para verificação de identidade, assim como uma carteira de identidade contém informações que verificam a identidade de uma pessoa na vida real.

Os certificados digitais recebem uma assinatura digital para provar sua autenticidade da autoridade que os emite, como um passaporte, carteira de identidade ou papel-moeda pode ter uma marca d'água provando que não é falsificado.

Um certificado digital também contém uma sequência de valores aleatórios chamada de chave pública. A chave pública corresponde a uma chave privada que é armazenada separadamente. A entidade que possui o certificado pode assinar digitalmente os dados com essas chaves para provar que possui a chave privada e, portanto, é autêntica.

Atualmente, os certificados digitais não são frequentemente usados para verificar a identidade de pessoas individuais. Mas a maioria das pessoas confia em certificados digitais todos os dias sem perceber.

Sempre que alguém carrega um site que usa HTTPS, a versão segura do HTTP, o protocolo TLS usa o certificado digital do site (chamado de certificado SSL ou certificado TLS) para autenticar o site. O DKIM, que autentica remetentes de e-mail, é outro exemplo de tecnologia que usa esse método em vez de verificar os fatores de autenticação. O DKIM ajuda os provedores de e-mail a classificar e bloquear e-mails de spam.

O que é autenticação multifator (MFA)?

A autenticação multifator (MFA) é o processo de verificar a identidade de uma pessoa verificando dois ou mais fatores de autenticação, em vez de apenas um. A MFA é um tipo de autenticação mais forte do que a autenticação de fator único, porque é muito mais difícil falsificar dois desses fatores do que falsificar um deles.

Um invasor pode roubar o nome de usuário e a senha do Bob (talvez por meio de um ataque de phishing). Mas se o Bob também tiver que escanear seu rosto, o invasor não poderá falsificar a identidade do Bob, pois seu rosto não se parece com o rosto do Bob. Ou, se Bob tiver que conectar um token de hardware em seu computador além de inserir sua senha, o invasor também terá que roubar esse token. Embora seja possível, esse roubo é muito mais difícil, tornando menos provável a tomada de conta.

Para um verdadeiro MFA, fatores separados devem ser verificados. Avaliar várias instâncias de um fator não é MFA. Por exemplo, se um aplicativo fizer com que um usuário digite uma senha e responda a perguntas de segurança para autenticar, isso ainda será uma autenticação de fator único. A entrada de senha e as perguntas de segurança avaliam o fator "algo que você sabe".

Por causa da maior segurança que oferece, a MFA é um princípio fundamental da segurança Zero Trust, um modelo de segurança que exige verificação de identidade para cada usuário e dispositivo que acessa uma rede privada.

O que é autenticação de dois fatores (2FA)?

A autenticação de dois fatores (2FA) é como a MFA é chamada quando exatamente dois fatores são usados. O tipo mais comum de autenticação de dois fatores é "algo que você conhece" + "algo que você tem". Por exemplo, além de digitar suas senhas, muitas pessoas têm códigos enviados para seus telefones antes que possam acessar suas contas bancárias (um exemplo da versão "token de software" desse fator).

Hoje, muitas empresas estão empregando a 2FA para reduzir o impacto dos ataques de phishing. Por exemplo, o Google conseguiu eliminar ataques de invasão de conta usando a 2FA com tokens físicos para autenticação.

Qual é a diferença entre autenticação e autorização

Enquanto a autenticação se preocupa com a verificação de identidade, a autorização se preocupa com as permissões, ou o que alguém tem permissão para fazer quando obtém acesso a um sistema ou recurso protegido.

Suponha que o Bob trabalhe no departamento de marketing de sua empresa. O Bob digita sua senha, escaneia seu rosto e insere seu token físico para fazer login na rede de sua empresa. Neste ponto, a autenticação está concluída.

Após o login, o Bob não tem acesso a todos os arquivos de dados em poder da empresa. A autorização determina o que o Bob pode e não pode ver. Como profissional de marketing, ele está autorizado a ver alguns dados, como uma lista de clientes em potencial para os quais a empresa enviará mensagens de marketing, mas não outros dados, como a base de código principal da empresa ou a lista de salários dos funcionários.

Consulte nosso artigo sobre autenticação versus autorização para saber mais.

O que é login único (SSO)?

Os funcionários corporativos modernos têm que se autenticar em muitos aplicativos diferentes baseados em nuvem. Isto força esses funcionários a estabelecer muitos conjuntos de fatores de autenticação — um conjunto para cada aplicativo — e cria possíveis preocupações de segurança:

  • Um aplicativo com segurança fraca pode permitir que um invasor comprometa esse aplicativo, mova-se lateralmente, comprometa outras contas de aplicativos do usuário e se espalhe para o resto da organização.
  • Solicitar que os usuários entrem em vários aplicativos os incentiva a parar de seguir as boas práticas de segurança. Um usuário pode começar a usar senhas fracas ou a mesma senha para todos os aplicativos, pois pode ser difícil memorizar várias senhas aleatórias de 16 dígitos.

Login único (SSO) é um serviço que permite que os usuários se autentiquem apenas uma vez. Os usuários fazem login no serviço SSO, que passa essa autenticação para todos os aplicativos, enviando uma mensagem de autenticação digital para cada aplicativo conforme necessário.

O SSO também oferece às equipes de TI um ponto único para aplicar as políticas de segurança. Nem todos os aplicativos são compatíveis com a 2FA, mas se o serviço SSO for compatível, a 2FA poderá ser usada. As equipes de TI também podem impor requisitos de comprimento e complexidade de senha por meio de um serviço de SSO, sobrecarregando menos os usuários para lembrar de várias senhas.

O que é Linguagem de Marcação de Asserção de Segurança (SAML)?

As mensagens de autenticação de SSO usam um protocolo chamado Linguagem de Marcação de Asserção de Segurança (SAML). O SAML é um método padronizado para informar a aplicativos externos que um usuário é quem ele diz ser.

Uma mensagem que autentica um usuário é chamada de "asserção" SAML. Depois que um aplicativo recebe uma asserção SAML para um usuário, ele não precisa autenticar o usuário por conta própria, pois sabe que o serviço SSO já fez isso.

SAML versus OpenID Connect (OIDC)

OpenID Connect (OIDC) é outro protocolo de autenticação que os provedores de SSO está usando cada vez mais. O OIDC funciona de forma semelhante ao SAML, mas formata os dados de outra maneira, além de outras diferenças; enquanto o SAML formata os dados via XML, o OIDC usa JSON.

Como a plataforma Zero Trust da Cloudflare ajuda na autenticação efetiva?

A Cloudflare oferece uma plataforma Zero Trust que funciona com todos os principais provedores de SSO. Depois que os usuários se autenticam em seu serviço de SSO, a Cloudflare impõe controles de acesso consistentes aos aplicativos em nuvem e no local. Para saber mais sobre essa plataforma, que inclui isolamento do navegador, um gateway seguro da web, filtragem de DNS e outros recursos de Zero Trust, consulte a página do produto.