O que é a autenticação multifator (MFA) e como ela é diferente da 2FA?

Shutterstock / Art Alex

A autenticação de dois fatores, ou 2FA, já existe há algum tempo. Geralmente se refere ao uso de um código SMS como uma etapa adicional para fazer login em sua conta. No entanto, o termo foi substituído por “ Autenticação multifatorial. ” Qual é a diferença?

A autenticação de senha é uma droga

Antes que a autenticação de dois fatores existisse, o mundo funcionava com senhas. As senhas ainda são comumente usadas hoje, pois são muito úteis para a maioria das pessoas — uma frase curta e fácil de lembrar que dá acesso aos seus serviços protegidos.

Mas, as senhas têm muitos problemas de segurança na prática. O principal problema é que você está confiando sua senha a muitos terceiros aleatórios, o que corre o risco de o hash de sua senha ser roubado em uma violação de dados. Se você tiver uma boa senha longa, estará seguro, mas muitas pessoas têm senhas terríveis. Além disso, muitas pessoas reutilizam a mesma senha, o que significa que uma violação de dados em uma empresa pode afetar sua conta em um serviço diferente.

Mesmo com tudo o mais sendo ignorado, uma senha é uma única string que dá acesso à sua conta. Qualquer pessoa de posse desta string pode agir e realizar ações como você. Um único ponto de falha nunca é uma boa ideia.

Então, uma solução foi feita, chamada “ Autenticação de dois fatores. ” Todo mundo tem um telefone; de muitas maneiras, o dispositivo em seu bolso o identifica publicamente. Portanto, a ideia é simples — você &’ receberá uma mensagem de texto com um código curto para o seu telefone sempre que alguém tentar fazer o login. Sem o código, o invasor é bloqueado. Se um invasor roubou sua senha e quis fazer login em sua conta, ele não conseguirá sem acesso ao seu telefone.

Os “ Dois fatores ” em 2FA são sua senha e o código enviado para o seu telefone. Sem acesso a ambos os fatores (nem um nem outro), ninguém pode entrar em sua conta.

Mas a autenticação de dois fatores também tem problemas

Embora o 2FA seja ótimo para bloquear contas e tenha funcionado bem, muitas implementações dele têm seus próprios problemas. Como a 2FA depende de SMS para enviar códigos, não é realmente uma “ senha + telefone ” combinação que permite o acesso à sua conta, é &’ s “ senha + número de telefone. ”

Isso é um problema porque é incrivelmente fácil roubar o número de telefone de alguém com um ataque de troca de SIM. Funciona assim — um determinado invasor deseja entrar em sua conta, então eles fazem algumas pesquisas e encontram seu número de telefone e, opcionalmente, seu aniversário. Com essas duas coisas, eles podem ir até a loja da operadora de telefonia e comprar um novo telefone. Muitas vezes, os funcionários dessas lojas não estão cientes desse risco à segurança e, por padrão, apenas pedirão seu aniversário. Tudo o que o invasor precisa fazer é mentir e sair da loja com o seu número de telefone no cartão SIM. Isso não é apenas teórico, mas aconteceu comigo pessoalmente quando atualizei meu telefone na Verizon. Eles não pediram meu aniversário, nenhuma informação identificável ou mesmo meu telefone antigo. Dei a eles meu número de telefone para trocar, mas poderia facilmente ser o seu.

Claro, o invasor ainda exigirá sua senha para acessar sua conta, mas muitos serviços usarão seu telefone também como dispositivo de recuperação. Mesmo sem sua senha, um invasor pode optar por redefini-la, enviar o código de recuperação para o seu telefone (que agora é o telefone dele) e desbloquear sua conta, tudo sem saber nenhum dos dois fatores.

“ Autenticação multifator ” Corrige todos esses problemas

A solução para isso é muito simples. Em vez de usar SMS para fornecer códigos ao seu dispositivo, você &’ em vez disso, fará o download de um “ aplicativo Authenticator ” e vincule-o com segurança à sua conta. Em vez de receber um código, você simplesmente precisa inserir o código mostrado no aplicativo, que muda a cada 30 segundos ou mais. Caso contrário, é o mesmo que 2FA; sem telefone, sem acesso.

Nos bastidores, ele usa um código de acesso único baseado em tempo (TOTP), que é muito seguro. Você e o serviço trocam segredos ao vincular o aplicativo à sua conta. Esse segredo é usado como semente para um gerador de números aleatórios, que gera códigos exclusivos a cada 30 segundos. Como você e o servidor estão conectados, você terá códigos idênticos e ninguém mais estará na mesma página sem saber o segredo que você trocou. Isso por si só corrige o problema de troca do SIM, porque o segredo está vinculado ao telefone, não ao número de telefone.

Os aplicativos TOTP são apenas um exemplo de fator de MFA. O termo é uma generalização, usado para se aplicar a qualquer tipo de autenticação de duas ou mais etapas. MFA é um termo mais novo e inclusivo, geralmente usado por serviços que oferecem suporte a aplicativos TOTP e outros fatores de autenticação. Embora a frase “ Two Factor Auth ” ainda pode tecnicamente se aplicar a chaveiro + senha de autenticação, geralmente sempre se refere a SMS.

Os fatores de MFA geralmente se enquadram em uma de três categorias:

• Algo que o usuário sabe, como senhas ou PINs
• Algo que o usuário possui, como um telefone ou chaveiro
• Algo que o usuário é, como como reconhecimento facial ou de impressão digital

Destes, a autenticação de chaveiro (tem) é a mais comum, depois dos aplicativos TOTP. Estes são dispositivos físicos (semelhantes a drives flash) que você conecta ao seu dispositivo ao fazer login:

Eles contêm um certificado que verifica sua identidade. Essencialmente, é um certificado SSH em uma chave de fácil acesso, que é muito segura, ainda mais do que sua chave SSH média, já que eles não existem em um dispositivo conectado à Internet. Teoricamente, não há como quebrar a autenticação do chaveiro, a não ser roubando fisicamente o chaveiro, o que é altamente improvável, ou removendo a própria porta, o que não pode ser evitado de qualquer maneira.

Deve-se observar que a recuperação de senha MFA nem sempre é totalmente segura — às vezes ainda pode ignorá-la, dependendo do serviço. Para o Google em particular, contas bloqueadas com aplicativos autenticadores ainda podem ser redefinidas dessa forma. Se você usa uma conta do Google para serviços comerciais, ou apenas deseja que seu e-mail seja bloqueado, você deve ativar o Google &’ s “ Advanced Protection ” que requer um chaveiro e corrige esse problema.