Logo Logo
GitHub Designed by Logto

O que é autenticação multifator (MFA)?

A autenticação multifator (MFA) melhora a segurança ao exigir que os usuários forneçam várias formas de identificação para verificar sua identidade. Ela adiciona uma camada extra de segurança ao processo de Autenticação (Authentication) , tornando mais difícil para os invasores obterem acesso não autorizado.

Aqui está um exemplo de MFA:

A definição de “fator”

No exemplo acima, há dois fatores:

  1. Nome de usuário e senha
  2. Senha única baseada em tempo (TOTP) de um aplicativo móvel

Cada fator representa uma categoria diferente de credenciais que podem ser usadas para autenticar um usuário (provar que você é quem diz ser). Na prática, os fatores podem ser categorizados em três tipos principais:

O que significaFatores de verificação
ConhecimentoAlgo que você sabeSenha, Código de verificação por e-mail, Código de backup
PosseAlgo que você temCódigo de verificação por SMS, OTP de aplicativo autenticador, OTP de hardware (Chave de segurança), Cartão inteligente
InerênciaAlgo que você éBiometria como impressões digitais, reconhecimento facial

Uma configuração comum de MFA envolve a combinação de dois fatores de categorias diferentes, como uma senha (conhecimento) e um Senha única baseada em tempo (TOTP) de um aplicativo autenticador (posse).

Por que a MFA é importante?

Não existe segurança perfeita, apenas níveis variados de insegurança. —Salman Rushdie

A importância da MFA é evidente nos números: a MFA reduz o risco de comprometimento em 99,22% em toda a população e em 98,56% nos casos de credenciais vazadas 1 . Com a ajuda da MFA, ações mais críticas podem ser realizadas com confiança, como acessar dados sensíveis e realizar transações financeiras. É uma maneira simples, mas eficaz, de oferecer um nível de segurança muito mais alto do que apenas uma senha ou autenticação de fator único.

MFA em aplicativos modernos

Como o nome sugere, a MFA pode envolver mais de dois fatores. À medida que o número de fatores aumenta, também aumenta o nível de segurança e a complexidade do processo de autenticação, que pode ser menos amigável para o usuário. Enquanto o Senha única baseada em tempo (TOTP) é uma escolha popular nos últimos anos, novas tecnologias como Chave de Acesso (Passkey) estão surgindo para proporcionar uma experiência de MFA ainda mais segura e amigável.

Por exemplo, aplicativos modernos podem usar a API WebAuthn para implementar MFA com passkeys, que são credenciais resistentes a phishing protegidas por criptografia de chave pública. Empresas como a Apple integraram passkeys com autenticação biométrica (Touch ID, Face ID) para adicionar nativamente o fator de inerência ao processo de MFA, aumentando a segurança e a conveniência do usuário.

Vamos fazer uma rápida comparação para um melhor entendimento. Supondo que temos um usuário que possui:

  1. Um aplicativo autenticador instalado em seu telefone para gerar códigos TOTP.
  2. Uma passkey integrada com a autenticação biométrica do dispositivo.

Quando ele faz login em um site com MFA ativado em seu laptop, os dois processos seriam assim:

É claro que o processo WebAuthn leva menos etapas e muito menos tempo para os usuários. Além disso, empresas como a Apple suportam a sincronização de passkeys entre dispositivos (por exemplo, iPhone, iPad, Mac) para tornar o processo de MFA mais suave, mantendo um alto nível de segurança.

Considerações de segurança

Ao implementar a MFA, algumas considerações de segurança devem ser levadas em conta:

  • Use uma combinação de fatores de diferentes categorias para garantir um nível mais alto de segurança. Por exemplo, combinando uma senha (conhecimento) com um código TOTP (posse).
  • Evite usar SMS como um fator de MFA devido à sua suscetibilidade a ataques de troca de SIM.
  • As opções de recuperação não devem contornar a MFA. Por exemplo, se um usuário perder seu aplicativo autenticador, ele deve ser obrigado a usar um código de backup ou outro fator de MFA para recuperar o acesso.
  • Imponha períodos de espera entre tentativas de MFA falhas para evitar ataques de força bruta.

Veja também

Footnotes
  1. Quão eficaz é a autenticação multifator na dissuasão de ciberataques?