194 views 10 mins

É possível confiar apenas na autenticação de dois fatores para estar seguro online?

em Tecnologia
sexta-feira, 10 de março de 2023

A resposta curta é: não. Mas isso não significa que a autenticação de dois fatores, ou 2FA, não seja eficiente. Pelo contrário! Antes, precisamos entender o que é o conceito e responder a pergunta: Existe alternativa para minimizar a fricção? 

Uma pesquisa realizada pela Kaspersky mostrou que 35% dos brasileiros não sabem como proteger os seus dados online e a falta de conhecimento facilita e potencializa o roubo de dados e senhas por criminosos.
De acordo com um estudo da plataforma de conteúdo do IMassachusetts (MIT, o Brasil ficou entre os cinco países com progresso mais lento e desigual na criação de um ambiente de segurança cibernética. Mas como a 2FA ajuda a melhorar esse cenário?

A autenticação de dois fatores é uma técnica que adiciona uma camada extra de segurança ao processo de login, exigindo além da senha, outro tipo de informação de identificação, como um código enviado por SMS / e-mail ou gerado por aplicativo. No entanto, apesar de ser considerada uma medida eficaz, a 2FA já não é suficiente para prevenir fraudes na era digital. 

Em 2018, menos de 10% dos usuários do Google ativaram a autenticação opcional de dois fatores, o que comprova que os usuários tendem a escolher uma experiência com menos fricção em detrimento da segurança. Mesmo assim, é preciso manter os usuários seguros. Então, como oferecer menos fricção e maior segurança de contas?

Para tal solução, seria adequado o uso de tecnologias como inteligência artificial, biometria, reconhecimento de voz, reconhecimento de imagem e reconhecimento de objetos para fornecer a autenticação de acesso mais segura possível, com menor fricção para os usuários. Neste contexto, serviços de autenticação de terceiros, como da Nethone, podem ser usados para aumentar a segurança, com a vantagem de oferecerem a menor fricção possível para os usuários. Portanto, as empresas que desejam oferecer uma experiência de usuário confiável devem investir em soluções de segurança avançadas baseadas em MFA (autenticação multifator), com o objetivo de oferecer a segurança desejada, sem comprometer a experiência do usuário.

Eles são capazes de detectar fraudes de forma rápida e precisa, permitindo aos usuários serem autenticados de forma segura, rápida e confortável. Além disso, aplicações de autenticação multifatorial podem ajudar a garantir que os usuários sejam autenticados com segurança e sem a presença constante de fricção. Tais soluções são capazes de detectar padrões de comportamento de usuários e aplicar medidas de segurança, como a verificação de dois fatores, de acordo com as necessidades – e riscos – de cada usuário. Dessa forma, os usuários têm acesso a um ambiente seguro, às vezes sem nem perceberem, enquanto têm a experiência mais confortável possível.

Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil em 2020, exigindo que as entidades protejam seus dados, houve destaque adicional para melhorar a segurança online. Tais movimentos são particularmente relevantes, pois a fraude online está se tornando cada vez mais sofisticada. 

A primeira razão pela qual a 2FA pode falhar é a vulnerabilidade dos métodos de autenticação. Muitos aplicativos usam a autenticação por SMS, que pode ser facilmente interceptada por hackers. Além disso, a autenticação por aplicativo também não é imune a ataques, como o phishing, que pode levar ao roubo de informações de autenticação. Para que esse método seja bem-sucedido, é importante que sejam utilizados, de fato, dois fatores diferentes de autenticação: o que você sabe (como uma senha) e o que você é (no caso, a biometria comportamental). Se os dois fatores forem “o que você sabe”, a probabilidade de falha é muito maior.

Outra questão é a reutilização de informações de autenticação. Muitos usuários usam a mesma senha em vários aplicativos, o que significa que uma fraude bem-sucedida em um site pode levar ao acesso não autorizado a outros serviços. Encontrar dados de usuários na internet é um processo relativamente fácil, inclusive. O site Have I Been Pwned?, por exemplo, pode te mostrar se você já teve suas senhas vazadas em algum ataque de comprometimento de dados. Além disso, os códigos de autenticação gerados por aplicativo também são frequentemente reutilizados, o que significa que uma fraude sofrida pode levar ao acesso não autorizado a vários serviços.

Finalmente, o 2FA não é capaz de proteger os usuários de engenharia social. Isso significa que, caso você seja vítima de uma pessoa se passando por um técnico de computador ou pelo seu chefe, por exemplo, a ferramenta perderá completamente a eficácia.

Então, como se prevenir de fraudes?

Quando eu disse que ter dois fatores de autenticação não é o suficiente para prevenir fraudes, isso não quer dizer que não seja um método seguro ou que não deva ser utilizado, mas sim deve complementar uma estratégia mais robusta. Cibersegurança é sobre diminuir o risco até um nível aceitável para o negócio e, consequentemente, aumentar o esforço do fraudador. Isso significa que não há – e nunca haverá – um método de segurança online 100% eficaz. O que existem são métodos que fazem com que o trabalho do fraudador seja tão difícil que, provavelmente, ele desistirá de te atacar.

Sendo assim, há uma série de regras que devem ser utilizadas para garantir que uma transação online, como um login ou um pagamento, seja a mais segura possível. Para os usuários, uma ferramenta que pode ajudar é um cofre de senhas. A aplicação cria e armazena diferentes senhas para diferentes logins, impedindo que o usuário reutilize palavras-chave que sejam facilmente hackeadas. Outra dica importante é utilizar um cartão online, serviço que é oferecido por quase todos os bancos atualmente. Esse cartão usa um método de tokenização que não trafega os dados do cartão.

No caso das empresas, um importante conceito a ser explorado para reduzir ao máximo a chance de fraudes é o de “zero trust”: uma postura de segurança que significa não confiar em absolutamente nada, dentro ou fora do perímetro da empresa, mas sim verificar e controlar tudo antes de estabelecer o acesso, e depois do acesso estabelecido monitorar continuamente a confiança, que não deve ser tratada como algo estático, mas como um estado dinâmico. Ou seja, usuários, clientes e até executivos têm acesso negado ao perímetro da empresa até que todas as exigências sejam cumpridas, como validação do usuário além de suas credenciais; validação da postura do dispositivo para conformidades de segurança e o estabelecimento do nível apropriado de acesso.