A autenticação multifator será essencial para empresas que protegem ativos na nuvem

Ao provar quem você é para um sistema de gerenciamento de identidade (IDM), você deve ter notado que recentemente mais e mais deles exigem uma etapa extra além do seu ID de usuário e senha, como prompts que enviam códigos para o telefone quando você faz login para o Gmail, Twitter ou sua conta bancária de um dispositivo diferente daquele que você costuma usar. Apenas certifique-se de não esquecer o nome do seu primeiro animal de estimação ou onde sua mãe nasceu, porque você provavelmente precisará inserir essas informações para provar sua identidade. Esses dados, necessários em combinação com uma senha, são uma forma de autenticação multifatorial (MFA).

O MFA não é novo. Começou como tecnologia física; cartões inteligentes e dongles USB são dois exemplos de dispositivos que precisamos fazer logon em computadores ou serviços de software depois que a senha correta foi digitada. No entanto, o MFA vem evoluindo rapidamente esse processo de login para incluir outros identificadores, como notificações por push em dispositivos móveis.

"Os velhos tempos eram quando as empresas tinham que implantar tokens de hardware, e os usuários ficavam frustrados digitando códigos de seis dígitos que alternavam a cada 60 segundos", disse Tim Steinkopf, presidente da Centrify Corp., fabricante do Centrify Identity Service. "Isso foi caro e uma experiência ruim para o usuário. Agora, o MFA é tão simples quanto receber uma notificação por push no seu telefone". No entanto, mesmo os códigos que recebemos através do Short Message Service (SMS) agora são desaprovados, de acordo com Steinkopf.

"O SMS não é mais um método de transporte seguro para os códigos MFA, pois podem ser interceptados", disse ele. "Para recursos altamente sensíveis, as empresas agora precisam considerar tokens de criptografia ainda mais seguros que seguem os novos padrões da Fast IDentity Online (FIDO) Alliance". Além dos tokens de criptografia, os padrões FIDO2 incorporam a especificação de autenticação na Web do World Wide Web Consortium (W3C) e o protocolo Client to Authenticator Protocol (CTAP). Os padrões FIDO2 também suportam gestos do usuário usando biometria incorporada, como reconhecimento facial, passagem de impressões digitais e digitalização de íris.

Para usar o MFA, você precisará incorporar uma mistura de senhas e perguntas para dispositivos como smartphones ou usar impressões digitais e reconhecimento facial, explicou Joe Diamond, diretor de gerenciamento de marketing de produtos de segurança da Okta, criadores do Okta Identity Management.

"Agora, mais organizações estão reconhecendo os riscos à segurança associados a senhas únicas baseadas em SMS como um fator MFA. É bastante trivial para um ator ruim trocar o SIM e assumir o número do celular", disse Diamond. "Qualquer usuário em risco de um ataque tão direcionado deve implementar segundos fatores mais fortes, como um fator biométrico ou um token rígido que cria um aperto de mão criptográfico entre o dispositivo e o serviço".

Às vezes, o MFA não é perfeito. Em 27 de novembro, o Microsoft Azure sofreu uma interrupção relacionada ao MFA devido a um erro de DNS (Domain Name System) que causou muitas solicitações com falha quando os usuários tentaram entrar em serviços como o Active Directory.

Crédito: FIDO Alliance

Notificações push móveis

Os especialistas veem as notificações por push móveis como a melhor opção dos "fatores" de segurança, porque possui uma combinação eficaz de segurança e usabilidade. Um aplicativo envia uma mensagem para o telefone de um usuário notificando a pessoa de que o serviço está tentando efetuar login ou enviar dados.

"Você está acessando uma rede e, em vez de digitar apenas sua senha, é empurrado para o dispositivo onde diz sim ou não, está tentando autenticar este dispositivo e, se você diz sim, concede acesso a a rede ", explicou Dave Lewis, CISO (Assessor Global de Segurança da Informação) da divisão de segurança da Cisco Duo, que oferece o aplicativo de autenticação móvel Duo Push. Outros produtos que oferecem MFA incluem o Yubico YubiKey 5 NFC e o Ping Identity PingOne.

As notificações por push para dispositivos móveis não possuem as senhas únicas enviadas por SMS, porque essas senhas podem ser invadidas com bastante facilidade. A criptografia torna as notificações efetivas, de acordo com Hed Kovetz, co-fundador e CEO do fornecedor de soluções MFA Silverfort.

"É apenas um clique e a segurança é muito forte porque é um dispositivo totalmente diferente", disse ele. "Você pode alterar o aplicativo se ele estiver comprometido e totalmente criptografado e autenticado com protocolos modernos. Não é como um SMS, por exemplo, que é facilmente comprometido porque o padrão é basicamente fraco e violado facilmente com os ataques do Signaling System 7 (SS7) e todos os tipos de outros ataques no SMS ".

MFA incorpora Zero Trust

O MFA é uma parte essencial do modelo Zero Trust, no qual você não confia em nenhum usuário da rede até verificar se eles são legítimos. "A aplicação do MFA é uma etapa necessária para verificar se o usuário realmente é quem ele diz ser", disse Steinkopf.

"O MFA desempenha um papel crítico no modelo de maturidade de confiança zero de qualquer organização, pois precisamos primeiro estabelecer a confiança do usuário antes que possamos conceder acesso", acrescentou Diamond da Okta. "Isso também precisa ser associado a uma estratégia de identidade centralizada em todos os recursos, para que as políticas da MFA possam ser emparelhadas com as políticas de acesso para garantir que os usuários certos tenham o acesso correto aos recursos certos, com o menor atrito possível".

Crédito: FIDO Alliance

As senhas estão sendo substituídas?

Muitas pessoas podem não estar prontas para abandonar senhas, mas, se os usuários continuarem a confiar nelas, precisarão ser protegidas. De fato, o Relatório de violação de dados de 2017 da Verizon revelou que 81% das violações de dados são provenientes de senhas roubadas. Esses tipos de estatísticas tornam as senhas um problema para qualquer organização que procura proteger seus sistemas com segurança.

"Se conseguirmos resolver senhas, obtê-las e passar para um tipo mais inteligente de autenticação, impediremos que a maioria das violações de dados ocorra hoje", disse Kovetz, da Silverfort.

É provável que as senhas não desapareçam em todos os lugares, mas podem ser eliminadas para aplicativos específicos, observou Kovetz, do Silverfort. Ele disse que a eliminação total de senhas para hardware de computador e dispositivos da Internet das Coisas (IoT) seria mais complexa. Outro motivo pelo qual ele disse que a autenticação completa sem senha pode não acontecer tão cedo é porque as pessoas estão psicologicamente ligadas a elas.

A transição de senhas também envolve uma mudança cultural nas organizações, de acordo com Lewis da Cisco. "O afastamento das senhas estáticas para o MFA é uma mudança cultural fundamental", disse Lewis. "Você está levando as pessoas a fazerem as coisas de maneira diferente do que fazem há anos."

Processamento de MFA e Inteligência Artificial

A inteligência artificial (IA) está sendo usada para ajudar os administradores de IDM e os sistemas de MFA a lidar com uma enxurrada de novos dados de login. As soluções de MFA de fornecedores como o Silverfort aplicam a IA para obter informações sobre quando o MFA é necessário e quando não é.

"A parte da IA, quando você a combina, permite que você tome a decisão inicial sobre se uma autenticação específica deve exigir MFA ou não", disse Kovetz, da Silverfort. Ele disse que o componente de aprendizado de máquina (ML) do aplicativo pode gerar uma pontuação de alto risco se detectar um padrão anormal de atividade, como se a conta de um funcionário fosse subitamente acessada por alguém na China e o funcionário trabalhasse regularmente nos Estados Unidos.

"Se um usuário estiver acessando um aplicativo do escritório usando seu próprio PC emitido pela empresa, o MFA não será necessário, pois isso é 'normal'", explicou Steinkopf da Centrify. "Mas se o mesmo usuário estiver viajando para o exterior ou usando o dispositivo de outra pessoa, será solicitado o MFA porque o risco é maior". Steinkopf acrescentou que o MFA costuma ser o primeiro passo ao usar técnicas de verificação adicionais.

Os CIOs também estão de olho na biometria comportamental, que se tornou uma tendência crescente nas novas implantações de MFA. A biometria comportamental usa o software para acompanhar como os usuários digitam ou passam o dedo. Embora isso pareça fácil, na verdade, é necessário processar grandes blocos de dados que mudam rapidamente, e é por isso que os fornecedores estão empregando o ML para ajudar.

"O valor do ML para autenticação seria avaliar múltiplos sinais complexos, aprender uma 'identidade' de linha de base do usuário com base nesses sinais e alertar sobre anomalias dessa linha de base", disse Diamond da Okta. "A biometria comportamental é um exemplo em que isso pode entrar em jogo. Compreender as nuances de como um usuário digita, caminha ou interage com seu dispositivo requer um sistema avançado de inteligência para criar esse perfil de usuário".

Perímetros desaparecendo

Com a evolução da infraestrutura em nuvem, serviços em nuvem e, especialmente, o alto volume de dados de dispositivos IoT externos, agora há mais do que um perímetro físico no local do data center de uma organização. Há também um perímetro virtual que precisa proteger os ativos da empresa na nuvem. Nos dois cenários, a identidade desempenha um papel fundamental, de acordo com Kovetz.

"Os perímetros costumavam ser definidos fisicamente, como no escritório, mas hoje os perímetros são definidos pela identidade", disse Kovetz. À medida que os perímetros desaparecem, as proteções usadas pelos firewalls fortes para fornecer aos computadores de mesa com fio. O MFA pode ser uma maneira de substituir o que os firewalls tradicionalmente fazem, sugeriu Kovetz.

• Autenticação de dois fatores: quem o possui e como configurá-lo Autenticação de dois fatores: quem o possui e como configurá-lo
• Além do perímetro: como lidar com a segurança em camadas Além do perímetro: como lidar com a segurança em camadas
• Modelo de confiança zero ganha força com especialistas em segurança Modelo de confiança zero ganha força com especialistas em segurança

", onde você coloca produtos de segurança de rede?" Kovetz perguntou. "a segurança da rede não funciona mais. O MFA se torna a nova maneira de proteger sua rede sem perímetro".

Uma das principais maneiras pelas quais a MFA está evoluindo além do perímetro é através de uma multidão crescente de sistemas de identidade vendidos em uma base de software como serviço (SaaS), incluindo a maioria dos serviços de IDM que o PCMag Labs analisou no ano passado. "O grande número de produtos SaaS que permitem que as pequenas e médias empresas entrem em operação com facilidade já opera fora do perímetro", disse Nathan Rowe, co-fundador e diretor de produtos (CPO) do fornecedor de segurança de dados Evident. O modelo SaaS reduz drasticamente a complexidade dos custos e da implantação, por isso é uma grande ajuda para pequenas e médias empresas, pois reduz os gastos e despesas gerais de TI, de acordo com Rowe.

As soluções SaaS são certamente o futuro do IDM, o que também as torna o futuro da MFA. Isso é uma boa notícia, pois mesmo as pequenas empresas estão migrando inexoravelmente para uma arquitetura de TI de serviço em nuvem e em várias nuvens, onde o acesso fácil ao MFA e outras medidas avançadas de segurança logo se tornará obrigatório.