Uma das principais vulnerabilidades no mundo da segurança cibernética é o uso de senhas básicas ou fracas. Comumente, os usuários que necessitam criar uma senha recorrem, de maneira natural, a um conjunto ou combinação de números e letras que seja fácil de lembrar, considerando principalmente dados pessoais – por exemplo, datas de aniversário, bodas, nomes de familiares, mascotes e terminologias relacionadas diretamente a seus gostos o interesses. Também é recorrente o uso de palavras como “senha” e sequências de números sem grande complexidade, como “123456789”.
Não obstantes os perigos de criar e utilizar uma senha fraca, os usuários utilizam um fator único de autenticação para acessar diferentes contas, isto é, reutilizam a mesma senha para diferentes propósitos, o que facilita em grande medida o trabalho dos criminosos cibernéticos.
É uma situação preocupante. Os invasores contam com una ampla variedade de táticas e técnicas para roubar senhas, como o uso de spyware, keyloggers e outros tipos de malware, bem como ataques de phishing. Também existem “dicionários de senhas comuns”; se alguma senha que utilizamos se encontra nesses dicionários, o invasor só precisa esperar que elas coincidam em um processo automatizado e terá acesso à conta ou ao sistema – isso é conhecido como um ataque de força bruta. Se essa estratégia falha, pode-se pôr em prática o que se denomina ataques de engenharia social, nos quais se tenta manipular a vítima fazendo-se passar por entidades de confiança.
Ao utilizar um único fator de autenticação, a possibilidade de ser atacado com êxito dependeria das habilidades do criminoso e da eficácia das ferramentas de segurança que tenham sido implementadas nos dispositivos ou na rede. Assumindo-se que a experiência do criminoso cibernético nesse tipo de ataque seja considerável e que seu objetivo seja um usuário médio, poderíamos dizer que seria relativamente fácil atingir o objetivo.
Em nível empresarial, o cumprimento normativo insta a utilizar autenticação multifator ou MFA (Multi Factor Authentication) para aumentar a segurança ao acessar dados ou sistemas. O objetivo é reduzir o risco de exposição e roubo de dados confidenciais, uma vez que, se os invasores conseguiram obter a senha, ainda necessitarão do segundo ou terceiro fator para concretizar o acesso. Nesse tipo de ambientes corporativos, os criminosos cibernéticos utilizam técnicas como whaling, que é um tipo de ataque de phishing dirigido a altos executivos e, portanto, com danos de grandes proporções, tanto em nível econômico quanto de reputação.
Como funciona a MFA
A autenticação multifator, ou MFA, funciona com base em três fatores:
• Algo que você sabe (senhas, PIN, perguntas de segurança)
• Algo que você tem (celular, tablet, token)
• Algo que você é (impressão digital, voz, reconhecimento facial etc.)
Pode-se inferir que, ao aplicar os três níveis de fatores, a segurança será maior, embora seja indispensável considerar a facilidade de uso e a comodidade do usuário. Nesse sentido, encontrou-se um equilíbrio na utilização de somente dois fatores (2FA); porém, o fator chave que dá maior segurança é o relacionado a “Algo que você é”, uma vez que as características biométricas raramente se alteram e são mais difíceis de falsificar.
A MFA é um grande passo para a proteção de dados; porém, é impossível deixar todo o fardo da segurança nas mãos de uma boa prática. De certo modo, poderíamos comparar à segurança de um edifício: ter de usar múltiplas chaves para abrir uma porta pode torná-la mais segura, mas, se não houver alguém ou algo mais para impedir ou detectar intenções não autorizadas, cedo ou tarde os malfeitores encontrarão a maneira de abri-la.
Para proteger as organizações contra brechas é necessário defender em profundidade, trazer a distintas camadas soluções específicas que façam sentido e agreguem valor à organização. Em suma, a autenticação multifator se posicionou como uma prática que não deve faltar no planejamento de segurança cibernética de qualquer empresa; todavia, não deve ser utilizada de maneira isolada, e sim como parte de uma estratégia integral de confiança zero.
*Gabriel Lima é Sales Engineer da Hillstone Brasil.