Embora no informatico.pt consideremos que seja uma forma de arte, não precisa de ter nenhum mestrado em Belas Artes para conseguir ativar o sistema de segurança MFA ou então mais conhecido por Autenticação Multifator. Basicamente, é uma forma de conseguir fortalecer a identidade da sua empresa e de melhorar a gestão dos acessos dos seus utilizadores.
De facto, os funcionários são a melhor proteção de uma organização contra a cibercriminalidade e a maioria das vulnerabilidades tecnológicas. Implementar uma segunda medida de segurança entre a sua equipa de trabalho e os seus dados, ajuda bastante na segurança de cada um dos interveniente e de todos em geral.
Isto aplica-se não só a plataformas académicas e de trabalho como também s sistema de diversão e lazer que encontramos online que devemos assegurar que não são violados por nenhum cibercriminoso. Exemplo disso são os sites de apostas online como a 20Bet, onde podemos fazer apostas online no conforto da nossa casa como se estivessemos num casino real.
A autenticação multifator é um sistema de defesa por camadas. Ou seja, se uma camada de proteção for violada, o atacante ainda terá de transpor mais barreiras para conseguir aceder ao sistema. Lembramos que os nomes de utilizador e as passwords tradicionais estão cada vez mais sujeitos a ataques de força bruta que recorrem a dicionários de palavras. Os sistemas MFA ajudam a reforçar a segurança das suas credenciais de acesso aos seus sistemas de informação.
Mas então, o que é exatamente um sistema MFA e como ele os pode proteger? Como se pode implementar um sistema MFA? A segurança dos sistemas MFA será mesmo infalível?
Neste artigo vamos tentar responder a estas questões para ficar a perceber melhor a segurança cibernética da sua organização.
1 – O que é a autenticação multifator MFA?
A autenticação multifator é um sistema de segurança que acrescenta mecanismos de proteção adicional às tradicionais credenciais de acesso para conseguir garantir uma segurança reforçado dos sistemas de autenticação.
Normalmente, os funcionários para conseguirem aceder aos seus sistemas de informação, utilizam o seu nome de utilizador e a sua password. Com o MFA é executado um segundo sistema de autenticação que, recorrer a diversos mecanismos, para garantir que se trata realmente do utilizador que está a tentar aceder. Pode ser mais uma password gerada aleatoriamente até um scan da retina do utilizador. Mais à frente vamos mostrar algumas dessas técnicas de MFA.
Podemos classificar esse tipo de técnicas em três categorias diferentes. Ou o MFA utiliza algo que só o utilizador sabe, ou algo que ele tem na sua posse, ou então alguma parte do seu corpo como a face, a impressão digital ou a retina. O ideal é que cada nível de autenticação tenha uma categoria diferente do nível anterior.
Mas não pense que o MFA é apenas mais uma recomendação que só é útil para algumas empresas. De facto, nos últimos anos tornou-se num padrão de segurança de dados utilizado pela indústria de cartões de pagamento (PCI). Para poderem estar em conformidade com este padarão essas empresas têm de utilizar sistemas MFA em todos os acessos remotos à rede que utilize dados de cartão (CDE).
Há já vários serviços estaduais que implementaram sistemas MFA com a utilização de múltiplos fatores de autenticação para acesso aos seus portais online.
Qual a diferença entre MFA e autenticação de dois fatores
Ao falarmos em sistemas de autenticação multifator temos de ter em conta que tudo começou nos sistemas de autenticação de dois fatores. Os dois fatores de autenticação foram utilizados no início do sistema MFA quando a maioria das organizações adicionava apenas mais um fator à sua segurança.
Por exemplo, passar o seu cartão de débito num terminal de pagamento multibanco está enquadrado na categoria de “algo que tem”, que nesse caso é o próprio cartão de débito. Quando digita o seu pin, passa a utilizar outro fator de autenticação da categoria “algo que conhece”. Ou seja, quando fazemos pagamentos com o nosso cartão multibanco, utilizamos dois fatores de autenticação.
Com o tempo, passamos do termo mainstream para a atual autenticação multifator. Isso aconteceu porque cada vez mais empresas reconheceram a necessidade de adicionarem mais fatores de autenticação com biometria, localização e tempo.
Autenticação x autorização
Embora pareçam palavras semelhantes, autenticação e autorização são bem diferentes.
Autenticação é o processo de verificar a identidade de alguém. A autorização é verificar se alguém tem acesso a um ficheiro, dados, etc.
A autenticação sempre vem antes da autorização. Antes que o seu segurança deixe alguém entrar no seu prédio, gostaria que eles confirmassem que a pessoa é quem eles dizem ser, certo? Logo que a pessoa se autentique, o guarda pode autorizar a entrada.
Para determinar se alguém está autorizado a visualizar uma parte dos dados, considere a possibilidade de aproveitar os controles de acesso . Depois de determinar o que cada utilizador pode aceder, pode configurar a sua autenticação para garantir que eles sejam identificados.
2- Que tipos de autenticação MFA existem
Como mencionamos anteriormente, existem três tipos principais de categorias para fatores de autenticação. O que o utilizador sabe, o que o utilizador tem e o que o utilizador é.
Mas, além destes têm aparecido novos fatores de autenticação como, por exemplo, onde o utilizador está e o momento em que tentar fazer login. São tudo técnicas que ajudam os sistemas de segurança a perceberem se realmente quem tenta aceder à informação é o verdadeiro utilizador ou algum criminoso.
Mostramos a seguir algumas das caraterísticas dos principais fatores de autenticação utilizados atualmente.
Coisas que o utilizador sabe
Sim, este é o sistema mais clássico e intemporal que existe de autenticação digital. Quer esteja a aceder a num documento secreto, ou ao seu e-mail, ou então a um portal do estado, a questão é sempre a mesma.
“Qual é a password?”
Esta categoria de autenticação é classificada como “algo que o utilizador sabe” e faz com que as pessoas que sabem password pertençam a um grupo exclusivo.
Mas com um número de tentativas suficientes e o desenvolvimento da tecnologia a ajudar praticamente qualquer tipo de password mais tarde ou mais cedo acaba por ser possível de descobrir. Sim, a utilização de sistemas de autenticação que recorrem apenas à segurança de uma password já não são recomendados. Entre outras coisas, as passwords devem ser compridas, conter caracteres especiais, letras maiúsculas e minúsculas não ser uma palavra do dicionário, etc…
Se é um leitor assíduo do Informatico.pt provavelmente já percebeu que precisa de mais do que apenas uma password para conseguir estar seguro. Abordamos regulamente assuntos relacionados com ataques de força bruta e de dicionário, mas às vezes nem são necessários esses tipos de ataques. Pela experiência que temos, o que acontece muitas vezes é que os funcionários para facilitarem a sua vida escolhem passwords muito fracas.
As respostas às perguntas de segurança pessoal podem ser uma segunda camada da categoria “algo que o utilizador sabe”, mas também esse sistema de segurança está sujeito a ataques. Não há assim tantas respostas a perguntas como o “primeiro carro”, “cidade onde nasceu” e “nome de solteira da mãe”.
Portanto, se a tecnologia moderna consegue descobrir a sua password, também irá conseguir descobrir a sua pergunta de segurança. Certifique-se de respeitar sempre as práticas recomendadas relativamente à utilização de passwords, como por exemplo utilizar passwords diferentes para cada conta e utilizar um gestor de passwords .
Mas o melhor ainda será um sistema adicional de autenticação para reforçar a segurança dos seus dados.
Coisas que o utilizador tem
Provavelmente ainda se lembra do tempo que passou no sue jogo favorito à procura da chave daquela porta misteriosa que precisa de abrir. É uma sensação de frustração quando andamos em círculos sem sabermos para onde ir até que encontramos a chave.
Pense no seu segundo fator como sendo essa chave da porta do jogo que não consegue abrir. No entanto, desta vez é o guardião dessa chave e já não precisa de passar pela frustração de a procurar. Basicamente, é como se tivesse um crachá de livre acesso, ou a chave mestra conhecida na informática como “token” de hardware.
No caso da informática, essa chave de acesso será por exemplo o seu smartphone que irá gerar uma password de utilização única (OTP). Essa chave de acesso ou OTP, será gerada por uma aplicação autenticadora ou então ser-lhe-á enviada por mensagem de texto ou e-mail. Muitas vezes, também precisamos dessas chaves quando queremos redefinir a nossa password principal.
As aplicações autenticadoras também são conhecidas com “tokens de software”.
Basicamente, a chave OTP é uma coisa que conhece, no entanto, só lhe pode ser fornecida através de algo que tem na sua posse como por exemplo o seu smartphone.
Coisas que o utilizador é – Biometria
A biometria utiliza as características humanas para conseguirem a autenticação e o acesso aos sistemas de informação. Já é muito utilizada atualmente por exemplo em alguns smartphones que se desbloqueiam utilizando a sua impressão digital ou o seu rosto.
Para as organizações que querem ir um pouco mais longe, podem utilizar a digitalização da retina ou da íris dos olhos em vez da digitalização do rosto. Outros atributos físicos utilizados pela biometria são a geometria da mão, geometria do lóbulo da orelha e autenticação por voz.
Uma utilização recente da biometria para autenticação é a análise comportamental. Ou seja, não recorre apenas a uma característica física do utilizador “como ele é” mas também ao seu comportamento.
Um exemplo desta tecnologia são os scanners de assinaturas digitais que autenticam uma imagem digital da nossa assinatura manuscrita comparando-a com outras versões que o sistema tem guardado da mesma.
Basicamente, uma análise de digitação não considera o que digita, mas sim como digita. Ou seja, quão rápido digita, por que ordem, que padrões são mais comuns ao digitar certos conjuntos de caracteres.
Por mais maluco que isso lhe pareça, é um comportamento que pode ser utilizado para confirmar a sua identidade. Também pode ser utilizado outro tipo de comportamento como por exemplo, a forma como movimenta o cursor no seu ecrã. Estas versões mais complexas da biometria são muito utilizadas no setor financeiro.
Data, hora e local
As leis da física podem influenciar ou afetar o nosso acesso às tecnologias de informação, assim como tudo o resto.
Lembra-se daquele dia em entrou num bar em Tóquio, comprou algumas bebidas e imediatamente a seguir entrou numa loja em Nova York para comprar um guarda-chuva? Provavelmente não porque isso nunca seria possível de acontecer.
É por isso que o seu banco, quando se apercebe que há transações muito seguidas, em lugares muito distantes uns dos outros, bloqueia a utilização dos dispositivos que utiliza para se autenticar, quer seja um cartão de crédito, quer seja uma aplicação do telemóvel. Assim como o seu banco zela pelo seu dinheiro, também o pode fazer com os seus dados.
Qualquer bom provedor de segurança cibernética impede a autenticação das contas dos seus utilizadores em dois locais fisicamente distantes que sejam impossíveis de fazer num período de tempo racional.
3 – Porque utilizar a autenticação MFA?
Há muita coisa em jogo quando precisamos de uma credencial de autenticação. O seu objetivo principal é conseguir proteger algum tipo de informação. Por isso, não tem desculpa se não utilizar a autenticação multifator MFA até porque a sua ativação é bastante fácil.
Diariamente são roubadas Biliões de credenciais de acesso de milhares de sistemas de informação. Sim, tal como na vida real os roubos cibernéticos acontecem e com mais frequência que os utilizadores pensam. Descobrir algumas passwords tornou-se fácil sobretudo porque cada vez mais aparecem formas simples de o fazer.
Já para não falar das situações em que as passwords são simplesmente entregues pelos utilizadores aos criminosos. Os e-mails de phishing são um dos ataques cibernéticos mais bem-sucedidos e que nem se quer precisam de sofisticados mecanismos para descobrirem as passwords. Na verdade, o que as organizações devem fazer é dar formação sobre segurança cibernética aos seus funcionários, desde os gestores de topo até às funcionárias da limpeza.
Se é o proprietário de uma empresa ou o CEO de uma organização lembre-se sempre que os seus funcionários são a sua maior preocupação e responsabilidade em termos de segurança cibernética. Sim, os seus funcionários irão fazer tudo o que conseguirem para lhes facilitar a vida sobretudo na hora de escolherem uma password. Além disso, pelo menos um membro da sua equipa irá cair num ataque de phishing que recebeu por email e revelar uma das credenciais da sua organização. O pior é que isso normalmente é o suficiente para que um criminoso consiga entrar no seu sistema de informação e aceder aos seus dados.
Ao acrescentar um segundo fator de autenticação, os indivíduos mal-intencionados que roubam uma credencial irão deparar-se com uma segunda barreira. Depois como não têm o equipamento ou a biometria do funcionário atacado não irão conseguir ter acesso aos seus dados.
Os funcionários que trabalham à distância também podem ser uma ameaça se estiverem a utilizar um equipamento não corporativo ou que não esteja a ser gerido. Muitas vezes, esses equipamentos acedem aos seus dados remotamente, mas não possuem as mesmas medidas de segurança que as suas máquinas corporativas têm na organização. Se todos os equipamentos, redes ou aplicações não tiverem a proteção adequada, os cibercriminosos terão uma porta dos fundos que poderão utilizar para conseguirem chegar aos seus dados.
Resumindo, o MFA é um reforço das medidas de segurança que já existem na sua organização. Acrescentar outros sistemas secundários e terciários só servirá para melhorar a segurança daquilo que mais valoriza que são os seus dados. Se tem uma porta de entrada para o seu armazém, de certeza que vai querer um ter uma fechadura ou um cadeado. Mas e se além disso também adicionar um scanner de impressão digital ou facial para evitar ser roubado?
Muitas vezes basta implementar um sistema adicional de segurança que recorre por exemplo ao seu telemóvel. Parece complicado, mas afinal quantas vezes utiliza o seu telemóvel por dia? Nunca se queixou de o ter de utilizar muitas vezes. Então uma nova chave de autenticação MFA não será certamente algo que o incomodará no seu dia a dia e pode poupá-lo de contratempos muito complicados.
4 – Quais as limitações da autenticação MFA
No início de 2019, um investigador da Polónia chamado Piotr Duszvnski, especialista em segurança cibernética, revelou uma ferramenta chamada “Modlishka” que utilizava um sistema de proxy reverso para contornar os sistemas de autenticação MFA. Tornou essa ferramenta pública para tentar mostrar que ainda existem riscos que a autenticação multifator não consegue evitar.
É importante perceber que nenhuma medida de segurança é 100% infalível. Conhecer a suas fraquezas é muito importante independentemente de quão reforçadas sejam as suas defesas. Reconhecemos que os sistemas de autenticação MFA, apesar das suas enormes vantagens, também têm as suas desvantagens. Lembramos que infelizmente nesta vida nada é perfeito e até mesmo os sistemas de segurança MFS podem ser derrotados.
A maior desvantagem que encontramos é que a recuperação das contas normalmente requer apenas um fator de autenticação. Mesmo que a segurança esteja configurada para só se conseguirmos aceder ao sistema utilizando dois fatores de autenticação.
Se um dos seus fatores de autenticação recorrer à utilização de um equipamento móvel, há uma grande probabilidade de limitar o acesso a alguns utilizadores.
Sim, os smartphones nem sempre são totalmente confiáveis. Talvez a bateria esteja descarregada ou o serviço de dados seja fraco no sítio onde se encontra. Se não puder aceder à Internet por qualquer motivo, será impedido de utilizar os seus fatores de autenticação que recorrem aos seus equipamentos móveis.
Mas as coisas ainda pioram mais se esse equipamento móvel for perdido ou roubado. Se um token ou OTP for roubado por um cibercriminoso ele irá depois conseguir ludibriar o seu sistema de autenticação.
O mesmo é possível se um utilizador for vítima de um ataque de phishing e se por exemplo foi redirecionado para um endereço de um site falsificado. Nesses casos os utilizadores, sem se aperceberem, entregam o seu nome de utilizador, a sua password e um OTP que pode ser utilizado imediatamente pelo criminoso.
Existem outros ataques do tipo man-in-the-middle que podem intercetar as credenciais de segurança:
- Man-in-the-browser: Muito semelhante ao tradicional ataque man-in-the-middle, em que o hacker consegue o controlo do seu navegador da internet;
- Clonagem de SIM: Neste caso, um hacker conseguirá o acesso ao cartão SIM de um equipamento móvel com ajuda do seu software assume as funções desse equipamento.
- IMSI-catchers: Semelhante a um ataque man-in-the-middle, mas utilizando uma torre de comunicações móveis em vez de um navegador ou sistema operativo. Utilizado para aceder a equipamentos móveis e intercetar OTPs ou outros tokens.
Muitos destes ataques mostram-nos porque é que os sistemas de segurança que recorrem à biometria tão a ser cada vez mais utilizados. O que lhe parece mais fácil, roubar um smartphone ou roubar uma impressão digital? O que será mais difícil, falsificar um site ou passar-se pela pessoa copiando o seu rosto, retina ou comportamento?
Atualmente, a melhor maneira de reforçar o seu segundo fator de autenticação é utilizando um token de hardware ou seja, um padrão universal (U2F).
5 – Como simplificar a autenticação MFA
Claro que, com camadas adicionais de segurança, o acesso irá demorar mais tempo. De facto, isso pode ser algo frustrante para alguns dos seus utilizadores, mas lembre-se que é uma coisa que vale sempre a pena.
Para tentar mitigar alguns destes constrangimentos mostramos a seguir algumas das formas que pode utilizar para simplificar a sua MFA, mantendo sempre a sua segurança cibernética reforçada.
Autenticação Única (SSO)
A autenticação única (SSO) é um serviço que permite que os utilizadores acedam a várias aplicações através de um único conjunto de credenciais. O SSO atua como intermediário, fornecendo um único conjunto de credenciais às aplicações quando o utilizador envia um pedido de autenticação. Depois de concluída com sucesso a autenticação, os utilizadores já não precisam mais de voltar a reinserir as suas credenciais.
O SSO diminui a frustração dos utilizadores que se esquecem constantemente-se depois precisam de recuperar as suas passwords. Nesses casos, já não precisam de se lembrarem de tantas passwords o que faz com que se esqueçam com menos frequência. Com menos oportunidades de inserirem credenciais, há menos probabilidades de serem vítimas de tentativas de phishing.
No entanto, lembre-se de que, com os sistemas de autenticação única SSO, se um criminoso tiver acesso a uma aplicação, provavelmente terá acesso a todos elas. É por isso que também nestes casos é necessário um segundo fator de autenticação.
Autenticação Push
A maioria dos sistemas mais recentes oferece autenticação por notificações push. Utilize esta opção em vez de os utilizadores terem de fazer login numa aplicação de autenticação ou então terem de se lembrar de um OTP para depois o inserem noutro lugar.
O sistema funciona como qualquer notificação que recebe no seu telefone, mas tudo o que um utilizador tem de fazer é clicar em “confirmar”. Se a autenticação push for enviada para o seu smartphone, o ideal é desbloquear o seu próprio telefone utilizando um sistema de biometria.
As autenticações push facilitam o processo de autenticação e muitas vezes melhoram a segurança e a proteção dos sistemas de informação.
Autenticação Adaptável
A autenticação adaptável consiste na utilização de um sistema capaz de conseguir determinar se um utilizador se autentica em muitos cenários reais. Lembre-se do exemplo anterior em que supostamente o utilizador fez uns compra em Tóquio e Nova York com poucos minutos de distância.
De facto, este é um exemplo de autenticação Adaptável que existe um conjunto de regras, ou as leis da física utilizadas para conseguir confirmar se uma autenticação é ou não falsa. As empresas podem configurar as suas próprias regras para conseguirem descobrir quais são as tentativas de acesso suspeitas baseando-se para isso nas suas operações.
Mostramos a seguir um exemplo simples deste tipo de sistema de autenticação:
Imagine que todos os seus utilizadores trabalham no mesmo escritório físico, nunca fazem viagens de negócios e não têm permissão para trabalharem em casa. A organização pode bloquear por exemplo a autenticação em outros locais ou endereços IP. Sim, isto até pode parecer um exagero, mas certamente irá impedir que as outras pessoas que não estejam na empresa consigam aceder aos dados.
Se a sua empresa utiliza apenas o mesmo computador padrão para todos os funcionários, pode limitar a autenticação a um sistema operativo da sua escolha. Se um utilizador tentar fazer login num sistema operativo Apple, mas a sua empresa utiliza o Windows da Microsoft, a autenticação irá falhar.
Estes fatores, combinados com outros exemplos, adaptam-se ao seu negócio e fornecem uma camada adicional de proteção. Com a configuração correta, as organizações podem adaptar a sua MFA a todos os potenciais cenários.
Autenticação MFA no Microsoft 365 e Google Workspace
Portanto, neste momento já deve estar convencido e pronto para configurar a autenticação multifator na nuvem do seu Microsoft 365 ou Google Workspace da sua organização. Mas como consegue fazer isso e que opções tem?
De facto, configurar o sistema de autenticação MFA no Microsoft 365 é bastante fácil. Basta para isso utilizar o seu portal do Microsoft 365 e escolher os seus utilizadores. Em seguida clique no botão de autenticação multifator para ativar o sistema para esses mesmos utilizadores. Claro que para conseguir fazer isso tem de ter privilégios de administrador global.
O cenário ideal é administrador do sistema aplicar a autenticação MFA para todos os utilizadores. Existe outro aspeto importante que é configurar as suas políticas de acesso condicional através do sistema Azure AD da Microsoft. O Microsoft Azure AD tem sistema de configuração de segurança padrão que pode ativar antes de fazer as suas alterações mais granulares.
À semelhança do sistema da Microsoft também o Google Workspace oferece a opção de ativar a verificação em duas etapas para as contas dos seus utilizadores. É uma camada extra de segurança para os dados dos seus colaboradores, permitindo-lhes autenticarem-se com um código de verificação adicional.
No Informatico.pt recomendamos que ative esta opção para tornar as suas contas mais seguras e obrigar os seus funcionários a utilizarem este recurso. No entanto, por defeito, o sistema de autenticação da Google não obriga os utilizadores a utilizarem a verificação por duas etapas.
Mas quiser mesmo reforçar a segurança do seu sistema de informação tem de ativar o sistema de autenticação em duas etapas. Para isso, basta utilizar as instruções a seguir para conseguir ativar e configurar o sistema de segurança adicional.
O processo começa por aceda ao Google Workspace Admin Console, depois clique no painel “Segurança”, faça scroll e procure por “Verificação em duas etapas”. Em seguida, basta certificar-se que a opção “Permitir que os utilizadores ativem a verificação em duas etapas” está selecionada.
Finalmente deve configurar os recursos adicionais mais avançados obrigando os utilizadores a utilizarem a verificação em duas etapas. Também pode configurar o tempo que os novos utilizadores têm para começarem a utilizar o sistema de verificação em duas etapas. Consegue permitir aos utilizadores definirem quais são os seus equipamentos confiáveis e os métodos que querem utilizar para a verificação (telefone, texto, e-mail, etc).
A nossa equipa de suporte técnico, pode ajudá-lo a ativar o seu sistema de autenticação multifator MFA e a configurar as opções de acesso aos sistemas Microsoft 365 ou Google Workspace. Conseguimos gerir proativamente a sua segurança cibernética por menos do que paga atualmente ao seu fornecedor de serviços de TI. Tem uma organização e preocupa-se com a segurança dos seus sistemas de informação? Entre em contacto com o Informatico.pt e com certeza que irá conseguir dormir mais tranquilo.