Últimas notícias

Fique informado

O que é autenticação de dois fatores? Entenda como fazer

18 de maio de 2021

Spotlight

Zero Trust e viagens pós-COVID ocupam o centro das atenções no Identity Week 2021

Identity Week 2021 será realizado de 22 a 23 de setembro de 2021 em Londres e reúne as mentes mais brilhantes do setor de identidades.

27 de setembro de 2021

NSA publica atualização sobre criptografia resistente a quantum

A NSA publicou o FAQ “Quantum Computing and Post-Quantum Cryptography. Confira nesse artigo!

3 de setembro de 2021

CertForum 21: evento on-line para quem quer saber tudo sobre identificação digital e documentos eletrônicos

O CertForum é realizado pelo Instituto Nacional de Tecnologia da Informação (ITI) e organizado pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

31 de agosto de 2021

A autenticação em dois fatores mitiga riscos de invasão, fraudes por roubo de identidade e falsidade ideológica

A importância cada vez maior de dados para o mercado em todos os seus setores vem se traduzindo também em um aumento de riscos e ameaças por ataques cibernéticos.

Para empresas que desejam mais proteção em seus processos internos e confiabilidade no contato com o público, toda camada de proteção extra é uma vantagem competitiva.

Pensando nisso, preparamos este artigo especial sobre autenticação de dois fatores. Entenda melhor como funciona o processo, sua importância para a segurança e como implantar. Boa leitura!

O que é a autenticação de dois fatores e como ela funciona?

O principal modo de acesso credenciado a uma rede privada de dados é tradicionalmente por meio de um login e uma senha que estejam cadastrados naquele sistema. Por mais que seja uma grande barreira, ela ainda é transponível e, nesse caso, não há nada além dela entre alguém mal-intencionado e informações sensíveis de um negócio.

Quando vemos cibercriminosos atuando nos filmes, as invasões são sempre processos complicados envolvendo quebra de defesas e força bruta. Mas, na verdade, a maioria dos comprometimentos de dados corporativos vem da engenharia social.

Portanto, o modo de atuação mais comum é enganar o usuário a fornecer seus dados de cadastramento sem que ele esteja ciente disso — phishing e malwares são alguns exemplos.

É pensando nessa fragilidade que foram concebidos os modelos de autenticação de dois fatores, em que login e senha não são as únicas informações necessárias para acessar um sistema ou banco de dados.

A ideia é criar uma etapa extra de conferência de credenciais, utilizando uma chave externa como forma de validação. Pode ser o número de celular, uma conta de e-mail ou até uma chave física em um pendrive.

Rafael Rossi – Gerente de Produtos na Valid

“Além de trazer a camada de segurança, o processo simplesmente garante que é você por trás da operação, diminuindo o risco em processo de roubo de conta”, explica Rafael Rossi, Gerente de Produtos na Valid.

O especialista aponta os modelos mais comuns de 2FA:

– autenticação por token enviada por SMS/Push Notification;

– integrações de processo de token de segurança gerados por apps como Google Authenticator, Due Mobile, Microsoft Authenticator, FreeOTP e Authy;

– solução de token gerada por hardware chamada de U2F (Universal 2nd Factor);

– utilização da biometria alinhada a algoritmos de comportamento — que, além de ter menos fricção na experiência, vem se mostrando bastante eficaz como validação.

Dessa forma, para uma entrada não autorizada no sistema, o criminoso precisaria não só de dados como login e senha, mas também acesso ao celular, chave física ou biometria do usuário legítimo — criando uma barreira muito mais complexa, difícil de ser superada apenas por engenharia social.

Qual é a importância da autenticação de dois fatores?

Habilitar 2FA em sistemas e soluções corporativas é uma maneira de dar tranquilidade e estabilidade para a cadeia produtiva de um negócio, com um perímetro de proteção mais robusto que não exija tanto da TI na contenção de ameaças diariamente.

É uma questão fundamental de segurança da informação. A autenticação em dois fatores mitiga riscos de invasão, fraudes por roubo de identidade e falsidade ideológica. Alinhado à geração de certificados digitais, cria processos digitais muito mais confiáveis no mercado.

Essa confiabilidade está no controle de acesso, nos registros e utilização de dados sensíveis e até na adequação à lei. Com a vigência da LGPD (Lei Geral de Proteção de Dados), toda barreira de segurança facilita a adequação da atividade corporativa ao uso racional de informações de clientes, de mercado e de usuários colaboradores.

Contar apenas com login e senha não é mais uma postura ideal no mundo da transformação digital

Como implantar na certificação digital?

Implementar 2FA em sistemas e plataformas que já têm essa funcionalidade embutida é simples, mas e quando a própria TI precisa desenvolver a solução para login relacionado à geração de certificados digitais?

Não é um tipo de função que seja comumente trabalhada internamente pela empresa, mas se for o caso, veja como fazer para criar, implantar e comunicar a utilização de autenticação de dois fatores.

Escolha o modelo mais adequado

Como visto na lista no início do artigo, existem vários tipos de autenticação. Nenhuma delas é universalmente melhor ou pior do que as outras — a questão é sobre qual se adapta melhor à rotina da empresa, aos objetivos de segurança e à experiência dos usuários.

O mais comum de ser utilizado é o envio de token de validação do login por SMS. Afinal, quase todos os brasileiros têm um número de celular, mas isso não significa que seja perfeitamente seguro.

“Esse processo tem se mostrado falho tanto na camada de segurança quanto na experiência do usuário que, por ventura, pode não receber a mensagem, impossibilitando sua autenticação”, explica Rafael.

Outro fator que determina o melhor processo é o acesso físico ou virtual ao sistema. Por exemplo, a biometria é um modelo mais desafiador para trabalho remoto, já que, além do sistema configurado, o usuário precisa de um periférico específico de leitura biométrica.

Nesses casos, o uso do celular seria mais interessante, enquanto o acesso físico a servidores e terminais dentro do escritório pode contar com essa segurança extra.

Portanto, o ideal nessa escolha é aliar a necessidade de proteção à praticidade, conforme a sensibilidade da informação que é acessada por cada credencial. Usar múltiplos modos de 2FA, por exemplo, pode ser uma boa decisão.

Faça a configuração apropriada no sistema

Após escolhido o modelo de autenticação, é hora de implementá-lo no sistema, com monitoramento de acesso e automação na identificação e notificação de potenciais ameaças.

Um ponto importante levantado por Rafael é a necessidade de focar na experiência do usuário, para que o processo de autenticação não cause fricção. É um equilíbrio entre controle e usabilidade.

“Ter um processo simples e que garanta todo o fluxo de validação é um desafio constante, portanto, a validação biométrica vem ganhando força e se coloca como uma opção que une experiência fluida e segurança”.

Invista na comunicação

Um último ponto levantado por Rafael é que a 2FA não elimina a necessidade de comunicação interna e educação de usuários — internos e clientes — sobre a utilização segura de um sistema digital. Para essas pessoas, ele aponta os direcionamentos mais relevantes:

“tenha processos de senhas seguras e fortes, com símbolos, caracteres variados, frases ou geradores de senha, que se tornam cofres confiáveis para gerenciá-las. Evite compartilhar dados pessoais por canais sociais, não clique em links suspeitos e, acima de tudo, trate suas informações pessoais como sua pepita de ouro”.

Afinal, esse é o valor que dados agregam hoje no mercado — tanto para empresas que querem crescer quanto para criminosos que buscam explorar brechas. Investir em autenticação de dois fatores é dar uma camada extra de proteção, confiabilidade e tranquilidade para o negócio.

Fonte: Blog Valid Certificadora

Sobre a Valid

Vivemos na economia da confiança. Nessa economia, a moeda é a identidade, e identificação é o que dá valor a ela. Para a Valid (B³: VLID3 – ON), identificação é reconhecer algo ou alguém como verdadeiro.

Estamos no seu RG, nos seus cartões de banco, nas transações que faz pelo celular e em todos esses lugares, usamos tecnologia de ponta. Somos 6,000 colaboradores em 16 países levando em consideração as particularidades culturais e regionais, para entregar soluções personalizadas e integradas.

No Brasil somos a maior empresa em emissão de documentos de identificação, no mundo ocupamos a 5ª posição na produção de SIM Cards e estamos entre os 10 maiores fabricantes de cartão do planeta. Identificação é nossa razão de ser. Para saber mais, acesse www.valid.com

Acesse o Site da Valid Certificadora Digital e para ler outros artigos do Crypto ID acesse aqui!

Valid inicia operação de emissão de certificado digital na Colômbia

Valid anuncia planejamento estratégico para os próximos três anos

Por que é importante usar um certificado SSL de Validação Estendida (EV)?