Participe de nossos boletins informativos diários e semanais para obter as atualizações mais recentes e conteúdo exclusivo sobre a cobertura de IA líder do setor. Saber mais
Durante muito tempo, a autenticação multifator (MFA) — na forma de notificações push, aplicativos autenticadores ou outras etapas secundárias — foi considerada a resposta para o crescente problema de segurança cibernética.
Mas os hackers são astutos e astutos e sempre inventam novas maneiras de romper a fortaleza do MFA.
As empresas de hoje precisam de defesas ainda mais fortes – embora os especialistas digam que a MFA ainda é crítica, deveria ser apenas uma pequena parte do processo de autenticação.
“Os métodos tradicionais de MFA, como SMS e notificações push, provaram ser vulneráveis a vários ataques, tornando-os quase tão suscetíveis quanto as senhas por si só”, disse Frank Dickson, vice-presidente do grupo de segurança e confiança da CDI. “A crescente prevalência de ameaças sofisticadas exige uma mudança em direção a métodos de autenticação mais fortes.”
Por que o MFA não é suficiente?
A prática, antes testada e comprovada, de confiar em senhas agora parece estranha.
Independentemente da sequência de números, letras, caracteres especiais ou números que eles continham, eles se tornaram muito fáceis de roubar, pois os usuários eram descuidados, preguiçosos, crédulos ou confiantes demais.
“As senhas tradicionais são simplesmente segredos compartilhados, não muito mais avançados do que uma sentinela romana pedindo a palavra-código secreta há milhares de anos (‘Halt, quem vai lá? Qual é a senha?)’, disse Lou Steinberg, fundador e sócio-gerente da Informações sobre CTM.
Como Matt Caulfield, vice-presidente de produto para segurança de identidade da Ciscodisse ao VentureBeat: “Assim que eles foram roubados, o jogo acabou.”
A MFA tornou-se mais popular entre meados da década de 1990 e 2000, à medida que mais empresas entravam na Internet, e parecia uma solução para as senhas tradicionais. Mas com a transformação digital, a mudança para a nuvem e a adoção de dezenas ou mesmo centenas de aplicações SaaS, as empresas estão mais vulneráveis do que nunca. Eles não se escondem mais com segurança atrás de firewalls e data centers. Eles carecem de controle e transparência.
“A MFA mudou o jogo durante muito tempo”, disse Caulfield. “Mas o que descobrimos nos últimos cinco anos com estes recentes ataques de identidade é que o MFA pode ser facilmente derrotado.”
Uma das maiores ameaças ao MFA é a engenharia social ou táticas psicológicas mais personalizadas. Como as pessoas colocam muito de si mesmas online – através das redes sociais ou do LinkedIn – os invasores têm liberdade para pesquisar qualquer pessoa no mundo.
Graças a ferramentas de IA cada vez mais sofisticadas, os agentes de ameaças furtivas podem criar campanhas “em grande escala”, disse Caulfield. Inicialmente, eles usarão phishing para acessar a credencial primária de um usuário e, em seguida, empregarão divulgação baseada em IA para induzi-los a compartilhar uma segunda credencial ou tomar medidas que permitam que invasores entrem em sua conta.
Ou os invasores enviarão spam ao SMS secundário do MFA ou ao método de notificação push, causando “fadiga do MFA”, quando o usuário eventualmente cede e pressiona “permitir”. Os atores da ameaça também irão preparar as vítimas, fazendo com que as situações pareçam urgentes, ou enganando-as fazendo-as pensar que estão recebendo mensagens legítimas de um suporte técnico de TI.
Enquanto isso, com ataques man-in-the-middle, um invasor pode interceptar um código durante a transmissão entre o usuário e o provedor. Os agentes de ameaças também podem implantar ferramentas que espelham páginas de login, enganando os usuários para que forneçam suas senhas e códigos MFA.
Entrar sem senha
As quedas da MFA levaram muitas empresas a adotar métodos sem senha, como chaves de acesso, impressão digital de dispositivos, geolocalização ou biometria.
Com as chaves de acesso, os usuários são autenticados por meio de “chaves” de segurança criptográfica armazenadas em seus computadores ou dispositivos, explicou Derek Hanson, vice-presidente de padrões e alianças da Yubicoque fabrica o amplamente utilizado Dispositivo Yubikey.
Cada parte deve fornecer provas da sua identidade e comunicar a sua intenção de iniciar a autenticação. Os usuários podem entrar em aplicativos e sites com um sensor biométrico (como impressão digital ou reconhecimento facial), PIN ou padrão.
“Os usuários não são obrigados a recuperar ou inserir manualmente longas sequências de caracteres que podem ser esquecidos, roubados ou interceptados”, disse Hanson. Isso reduz a carga dos usuários de fazerem as escolhas certas e não entregarem suas credenciais durante uma tentativa de phishing.
“Abordagens como impressão digital de dispositivos ou geolocalização podem complementar o MFA tradicional”, explicou Anders Aberg, diretor de tecnologia sem senha da Bitwarden. “Esses métodos ajustam os requisitos de segurança com base no comportamento e contexto do usuário – como localização, dispositivo ou rede – reduzindo o atrito e mantendo a alta segurança.”
O uso conjunto de dispositivos e biometria está aumentando, concordou Caulfield. No login e verificação inicial, o usuário mostra seu rosto junto com a identificação física, como passaporte ou carteira de motorista, e o sistema realiza o mapeamento 3D, que é uma espécie de “verificação de vivacidade”. Assim que as identificações com foto forem confirmadas nos bancos de dados do governo, o sistema registrará o dispositivo e a impressão digital ou outros dados biométricos.
“Você tem o dispositivo, seu rosto, sua impressão digital”, disse Caulfield. “A peça de confiança do dispositivo é muito mais prevalente como a nova solução mágica para prevenir phishing e ataques de phishing baseados em IA. Eu chamo isso de segunda onda de MFA. A primeira onda foi a bala de prata até que deixou de ser.”
No entanto, esses métodos também não são totalmente infalíveis. Os hackers podem contornar ferramentas biométricas usando deepfakes ou simplesmente roubando uma foto do usuário legítimo.
“A biometria é mais forte que as senhas, mas, uma vez comprometidas, é impossível alterá-las”, disse Steinberg. “Você pode alterar sua senha se necessário, mas você já tentou alterar sua impressão digital?”
Aproveitando a análise, criando um ambiente à prova de falhas
Caulfield destacou que as organizações estão incorporando ferramentas analíticas e acumulando montanhas de dados – mas não as utilizam para reforçar sua segurança cibernética.
“Essas ferramentas geram muita telemetria”, disse Caulfield, como quem está acessando, de onde e em qual dispositivo. Mas eles estão “enviando tudo isso para um buraco negro”.
A análise avançada pode ajudar na detecção e análise de ameaças de identidade, mesmo após o fato, para fornecer uma “medida provisória ou à prova de falhas” quando os invasores contornam a MFA, disse ele.
Em última análise, as empresas devem ter uma estratégia à prova de falhas, concordou Ameesh Divatia, cofundador e CEO da empresa de privacidade de dados Defletor. As informações de identificação pessoal (PII) e outros dados confidenciais devem ser protegidos criptograficamente (mascarados, tokenizados ou criptografados).
“Mesmo se houver uma violação de dados, os dados protegidos criptograficamente são inúteis para um invasor”, disse Divatia. Na verdade, o GDPR e outras leis de privacidade de dados não exigem que as empresas notifiquem as partes afetadas se dados protegidos criptograficamente vazarem, porque os dados em si ainda estão seguros, ressaltou.
“Fail safe significa apenas que quando uma ou mais de suas defesas de segurança cibernética falharem, seus dados ainda estarão seguros”, disse Divatia.
Há uma razão pela qual é chamado de ‘multifator’
Ainda assim, isso não quer dizer que o MFA vá desaparecer completamente.
“Em todo o esquema, a hierarquia de autenticação começa com MFA, já que um MFA fraco ainda é melhor do que não tê-lo, e isso não deve ser esquecido”, disse Dickson.
Como Caulfield apontou, é chamada de autenticação multifator por uma razão – “multi” pode significar qualquer coisa. Em última análise, pode ser uma mistura de senhas, notificações push, leituras de impressões digitais, posse física de um dispositivo, biometria ou hardware e tokens RSA (e o que quer que evolua a seguir).
“O MFA veio para ficar, mas a definição agora é ‘Quão bom é o seu MFA’? É básico, maduro ou otimizado?”, disse ele. No entanto, no final, ele enfatizou: “Nunca haverá um único fator que por si só seja completamente seguro”.