O que é autenticação de dois fatores? | Explicação da verificação em duas etapas

Com a autenticação de dois fatores (2FA), um usuário deve provar sua identidade por dois meios diferentes antes de receber acesso.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir a autenticação de dois fatores
  • Esboçar exemplos de fatores de autenticação
  • Explorar as desvantagens do 2FA

Copiar o link do artigo

O que é autenticação de dois fatores?

A autenticação de dois fatores, abreviada como 2FA, é um processo de autenticação que requer dois fatores de autenticação diferentes para estabelecer a identidade. Em poucas palavras, significa exigir que um usuário prove sua identidade de duas maneiras diferentes antes de conceder acesso. A 2FA é uma forma de autenticação multifator.

O que é Autenticação?

A autenticação é um componente importante do controle de acesso. É a prática de segurança de confirmar que alguém é quem afirma ser. Um viajante mostrando seu passaporte a um agente alfandegário é um exemplo.

No âmbito da cibersegurança, o exemplo mais comum de autenticação é fazer login em um serviço na web, como entrar no Gmail em um navegador web ou fazer login no aplicativo do Facebook. Quando um usuário fornece uma combinação de nome de usuário e senha, o serviço pode confirmar esses detalhes e usá-los para autenticar o usuário.

O que é um fator de autenticação?

Os fatores de autenticação são diferentes classes de métodos de verificação de identidade. Alguns fatores de autenticação comumente usados para 2FA incluem:

  • Conhecimento: esta é uma informação que apenas o usuário deve saber, como uma senha ou a resposta a uma pergunta de segurança.
  • Posse: este fator depende do usuário manter a posse física de um objeto. Por exemplo, uma chave de hardware que pode gerar códigos de acesso ou um dispositivo móvel que pode receber códigos.
  • Dados biométricos: são traços biológicos exclusivos do usuário que podem ser usados na autenticação. Os exemplos incluem impressões digitais, varreduras de retina e identificação facial.
  • Localização: ferramentas baseadas em localização, como GPS, podem ser usadas para restringir a autenticação a usuários em uma região geográfica especifica.

Deve-se observar que exigir duas instâncias do mesmo fator de autenticação não se qualifica como 2FA. Por exemplo, exigir uma senha e uma pergunta de segurança ainda é uma autenticação de fator único. Ambos pertencem ao fator do conhecimento.

Como funciona a autenticação de dois fatores?

A autenticação de dois fatores pode funcionar de várias maneiras. Um dos exemplos mais comuns de 2FA requer uma verificação de nome de usuário/senha e uma verificação de texto SMS.

Neste exemplo, quando o usuário cria uma conta para um serviço, ele deve fornecer um nome de usuário exclusivo, uma senha e seu número de telefone celular. Quando o usuário faz login nesse serviço, ele fornece seu nome de usuário e senha. Isso fornece o primeiro fator de autenticação (conhecimento; o usuário provou que conhece suas credenciais de login exclusivas).

Em seguida, o serviço enviará ao usuário uma mensagem de texto automática com um código numérico. Será solicitado ao usuário que insira o código numérico. Supondo que o código esteja correto, o usuário forneceu um segundo fator de autenticação (posse; o usuário está de posse de seu dispositivo móvel). Agora, as condições para a 2FA foram atendidas e o usuário pode ser autenticado e ter acesso à sua conta.

Por que usar autenticação de dois fatores?

A segurança baseada em senha se tornou muito fácil de ser explorada por invasores. Com a prevalência de golpes de phishing, ataques de invasores intermediários, ataques de força bruta e reutilização de senhas, tornou-se cada vez mais simples para os invasores coletar dados roubados credenciais de login. Essas credenciais roubadas podem ser negociadas ou vendidas para uso em ataques de preenchimento de credenciais. Por esse motivo, a 2FA está se tornando cada vez mais comum.

A verificação de identidade mais forte também aumentou em importância à medida que as forças de trabalho remotas se tornam mais comuns. Como a presença física dos funcionários no escritório não pode ser usada para verificar sua identidade, medidas como a 2FA ajudam a garantir que suas contas não sejam comprometidas.

Os especialistas em segurança geralmente recomendam que os usuários habilitem a 2FA sempre que possível, bem como a solicitem de serviços que lidam com dados confidenciais do usuário, mas que atualmente não oferecem a 2FA. Embora a 2FA não seja impossível para os invasores quebrarem, ela é significativamente mais difícil e cara para ser comprometida do que a autenticação somente por senha.

A autenticação de dois fatores baseada em SMS é segura?

A 2FA baseada em SMS (verificação por mensagem de texto) é muito mais segura do que a autenticação de fator único (somente senha). Dito isto, o SMS está entre os métodos 2FA menos seguros. O protocolo SMS não é muito seguro e as mensagens SMS podem ser interceptadas por invasores.

Existem outras maneiras de implementar a 2FA usando um dispositivo móvel que são mais seguras: por exemplo, enviando o código de verificação por meio de um aplicativo seguro que usa criptografia forte. O Google e muitos outros serviços importantes da internet usam senhas de uso único por tempo limitado (TOTP). Com a TOTP, um cliente (geralmente um aplicativo executado em um smartphone) cria um código temporário de uso único com base na hora do dia. Esses códigos têm uma vida útil extremamente curta, geralmente menos de um minuto. Esse cronograma apertado torna extremamente desafiador para um invasor interceptar e descriptografar o código antes que ele expire.

Há também uma tecnologia de 2FA emergente chamada "Sound-Proof", que usa o ruído ambiente captado pelos microfones embutidos em dispositivos móveis e notebooks. O Sound-Proof funciona comparando as amostras de ruído ambiente para garantir que ambos os dispositivos estejam no mesmo espaço.

Há inconvenientes para a autenticação de dois fatores?

Embora a 2FA esteja ajudando a tornar a internet mais segura, existem algumas desvantagens que devem ser consideradas. Por exemplo, a 2FA pode desencorajar usuários menos experientes tecnicamente, para quem baixar e navegar em aplicativos de verificação de smartphone pode ser um desafio.

Exigir a 2FA para um serviço também pode criar algumas barreiras econômicas à entrada. Nem todos os usuários têm os smartphones modernos necessários para muitos métodos de 2FA. Além disso, os dados móveis são muito caros em algumas partes do mundo, portanto, mesmo aqueles com smartphones podem sofrer consequências econômicas ao baixar um aplicativo com verificação 2FA.

A 2FA também impõe custos de negócios para aqueles que gerenciam o serviço. A 2FA é muito mais difícil de implementar do que a autenticação somente por senha e uma empresa que forneça a 2FA terá que incorrer em custos de configuração ou pagar um serviço de terceiros para fornecer a autenticação a um custo contínuo. As empresas menores podem renunciar ao aumento da segurança da 2FA porque simplesmente não podem se dar ao luxo de suportá-lo.