Com o aumento dos ataques informáticos e do roubo de dados através de formas cada vez mais inteligentes (como técnicas de phishing ou estratégias de pharming), a proteção da informação e a segurança online tornaram-se cada vez mais importantes.
Na realidade, a segurança das contas de email, das redes sociais, do acesso a serviços financeiros e outras contas, tem vindo a ser melhorada. Desde há umas décadas que está disponível a implementação de uma proteção especial das contas online, que ajuda a combater o acesso indevido e fraudulento a uma determinada conta: a autenticação de dois fatores (2FA). Este processo permite reforçar a segurança dos dados, que, tantas vezes, estão vulneráveis.
Segundo o jornal “O Observador”, que cita uma análise feita pela Mastercard, foram detetadas em Portugal 9 mil tentativas de ataque informático, em 2022. O setor dos serviços e tecnologia foi o mais afetado (27%), seguido dos media (20%). Normalmente, os cibercriminosos pretendem chegar aos dados financeiros dos clientes e à propriedade intelectual das organizações.
O Relatório de Investigação de Violência e Roubo de Dados (DBIR) da Verizon confirma a intenção dos cibercriminosos em detetar as vulnerabilidades das empresas, com o objetivo de roubar credenciais e outros dados através de práticas de phishinge outros métodos.
Segundo o mesmo relatório da Verizon, em 2023, 86% das credenciais de acesso a aplicações ficaram comprometidas em incidentes cometidos por criminosos. Usualmente, as mais escolhidas para os ataques são aquelas contas com passwords fracas ou não protegidas. Além disso, a preferência de ataque são os servidores de email, onde poderá estar armazenada informação importante, incluindo credenciais. O relatório refere que uma das melhores formas de proteger as credenciais é o uso da autenticação multifator.
A autenticação multifator é um método de verificação de identidade que exige mais do que uma forma de autenticação, mais humana, em vez de depender apenas de uma senha. Falaremos sobre ele mais à frente.
A empresa líder em cibersegurança, Kaspersky, indica num estudo sobre o fator humano na cibersegurança, realizado em 2023, que 64% dos problemas de segurança foram causados por erro humano, em que 20% dos mesmos foram causados pelos colaboradores de uma empresa, quando por exemplo, enviam um email com informação sigilosa para o destinatário errado, entre outros comportamentos.
De entre esses “maus” comportamentos encontram-se o download de malware (28%) ao clicar num link desconhecido, por exemplo; utilizar palavras-passe fracas (25%) e/ou não as alterar com frequência; visitar sites inseguros, entre outros.
O relatório da Kaspersky nota ainda que 53% das empresas tiveram dois a cinco incidentes, graves ou muito graves. As consequências de um ataque poderá ser a fuga de dados confidenciais, prejudicando a reputação da empresa e a perda da confiança por parte do seu cliente/consumidor. Para não falar em problemas financeiros, como a queda do valor na bolsa. Daí que uma das conclusões a que se chega é que o investimento na área da cibersegurança é fundamental.
Por isso, decidimos explorar neste artigo a autenticação de dois fatores – 2FA: o que é, como funciona, qual a sua importância na segurança dos dados e as formas comuns de implementá-la.
O que é a autenticação de dois fatores?
A autenticação multifator consiste em adicionar várias camadas extra de segurança a um processo de login. No caso da autenticação de dois fatores, consiste em adicionar apenas mais uma camada de segurança à tradicional senha, o que se tem revelado bastante eficaz para impedir ataques.
Por exemplo, a entrada numa conta deixa de fazer-se apenas com o utilizador e a palavra-passe, mas, sim, acrescentando um segundo fator de verificação da identidade, mais humano, que apenas o utilizador possui. Normalmente, é solicitado o código token, temporário, com 6 dígitos (podem ser mais ou menos) enviado via SMS para o telemóvel, ou através de um token de segurança gerado por um software específico ou, ainda, utilizando a impressão digital, a leitura da Íris, o reconhecimento facial ou uma chave física (por ex.: um cartão com sequências numéricas ou uma pen USB).
Este processo de autenticação de dois fatores utiliza duas formas de verificação da identidade do utilizador: a palavra-passe e outra. Vamos perceber como funciona uma das mais usadas: o código token.
O código token via SMS consiste num número enviado para o telemóvel que deverá ser colocado num campo que é solicitado durante o processo de login. O token funciona, assim, como um mecanismo de segurança para confirmação das operações de registo, comerciais e bancárias.
Se for outra pessoa a tentar violar o acesso de uma conta, dificilmente descobrirá o token de segurança que chega ao telemóvel do proprietário dessa conta, a não ser que, deliberadamente, o partilhe com terceiros.
Se o token não for colocado no campo certo, dentro de um limite específico de tempo, o acesso à conta fica pelo caminho. Essa é outra característica deste mecanismo de proteção, ou seja, os códigos gerados são aleatórios e valem por poucos segundos, sendo impossível de reutilizá-los.
Métodos mais comuns para obter os códigos de 6 dígitos:
- SMS – código de verificação enviado via mensagem para o telemóvel do utilizador;
- Aplicações de autenticação – são as aplicações que geram um código temporário. É necessário instalar e configurar a 2FA na sua conta, escolhendo uma aplicação como 2º passo de verificação. Em sentido inverso, deve adicionar e configurar a conta na aplicação. Poderão ser geradas chaves de recuperação que devem ser guardadas e usadas caso perca o acesso à conta, perca o dispositivo ou a aplicação. Ex. de aplicações de autenticação: Duo mobile, Google authenticator, Microsoft authenticator, etc.
- Chaves de segurança física – são dispositivos físicos: USB, cartões inteligentes, cartões com sequências numéricas.
Na sequência dos primeiros ataques cibernéticos, o serviço de banco online (homebanking) foi o primeiro a adotar esta tecnologia de autenticação de dois fatores e, nalguns casos multifator, para reforçar a segurança dos clientes. A sua comprovada eficácia, ao tornar mais difícil o acesso por invasores às contas protegidas, fez com que este método se replicasse para outras empresas que necessitam de uma segurança extra para os seus sistemas.
Em suma:
Como funciona o 2AF – autenticação de dois fatores?
Ao ativar o segundo fator de segurança, o 2AF, o utilizador precisa fornecer a sua palavra-passe e um segundo fator de autenticação da identidade, que pode ser enviada por SMS, por uma aplicação de autenticação, ou usando outros elementos humanos (impressão digital, reconhecimento facial, Íris).
Apenas após o fornecimento deste segundo fator de autenticação é que pode aceder-se a uma conta. A autenticação da Chave Móvel Digital, promovida pelo governo português, é um exemplo de um processo multifator, dada a importância de garantir a segurança dos dados pessoais.
A importância da Autenticação de Dois Fatores
Afinal de contas, porque devo usar um processo de autenticação de dois fatores para as minhas contas?
Já se percebeu que, para um criminoso online, descobrir uma palavra-passe simples é relativamente fácil. Tal significa que as nossas informações não ficam suficientemente protegidas apenas com o uso de uma password, mesmo que cumpra todas as regras de segurança recomendadas (palavra-passe com entre 8 a 12 caracteres, com maiúsculas, minúsculas, carateres especiais, etc.).
Se pensarmos na informação que faz parte da nossa conta bancária online, da caixa de email ou do programa de faturação que usamos, rapidamente percebemos que os dados que neles existem são demasiado sensíveis para cair em mãos alheias. Então, é importante dificultar o caminho a quem pretenda cometer os ataques para roubar dados, palavras-passe, números de cartões de crédito, etc.
A autenticação de dois fatores ajuda a mitigar as ameaças, mesmo se a senha for comprometida.
Autenticação de dois fatores Vs autenticação multifator
Enquanto a autenticação de dois fatores – 2FA – requer dois fatores diferentes de autenticação, a autenticação multifator – MFA – pode incluir mais de dois fatores, como biometria ou localização. O 2FA é tão-só uma forma específica de MFA.
A autenticação de dois fatores é uma ferramenta essencial de proteção contra ameaças informáticas ou ataques de força bruta (tentar repetidamente adivinhar uma senha). É uma camada adicional de segurança que reduz o risco de acesso não autorizado às suas contas.
Por isso, o InvoiceXpress há muito que tem vindo a trabalhar para que o software de faturação online e certificado pela Autoridade Tributária venha a ter esta camada adicional de segurança e, assim, proteger os dados financeiros. Aguarde por mais novidades.