Por Nuno Mendes – CEO WhiteHat
Num mundo em que a utilização de passwords prova ser cada vez menos segura, a autenticação de dois fatores oferece uma camada adicional de segurança. Esta camada protege o utilizador mesmo que as suas credenciais tenham sido comprometidas.
No âmbito empresarial ainda existe resistência na adoção da tecnologia 2FA (autenticação de dois fatores). A maioria das empresas continua a utilizar apenas a autenticação através de username e password. Este método, embora simples e fácil de implementar, pode colocar grandes problemas ao nível da segurança. O Verizon 2017 Data Breach Investigation Report relembra que 80% das violações por parte de hackers está relacionado com o uso de passwords fracas.
Existem vários tipos de ataques que podem comprometer os utilizadores e as empresas. Falamos de ataques de força bruta, utilização de código malicioso, engenharia social, phishing, entre outros. Este tipo de ataques permitem o acesso não autorizado a contas e sistemas e podem ter um sério impacto nas organizações. Alguns exemplos? Reputação negativa, prejuízos financeiros, falhas na conformidade legal, roubo de propriedade intelectual…
Estes tipos de ataques podem ser lançados contra aplicações empresariais como: aplicações cloud; email; ERPs; CRM; acessos (ex.: VPN) e ambientes de trabalho remotos (ex.: RDP). Assim sendo, é de extrema importância reforçar a segurança de autenticação nestes sistemas tão críticos para o negócio.
Mergulhar na dark web
Na deep/dark web é possível encontrar milhões de credenciais de utilizadores. Estão em listas e prontas a comprar ou a descarregar. Estas listas podem incluir credenciais de acesso a sistemas tão díspares como serviços de email; acessos VPN; acessos RDP; redes sociais; etc. Estas listas, chamadas ‘combo-lists’, são a ferramenta de eleição por parte de cibercriminosos para lançarem os seus ataques. Todavia, existem ainda outra formas de obter credenciais de utilizadores. A mais comum? A instalação remota de um keylogger. Com ele, é possível registar toda a atividade do teclado. Outro exemplo são os ataques de man-in-the-middle. Estes interceptam as credencias durante um processo de autenticação.
Grande parte dos utilizadores adota um única passwords nas suas credenciais de autenticação aos sistemas que utiliza. Esta prática não é recomendável. Porquê? Basta descobrir as credencias de um sistema. Depois, o cibercriminoso pode aceder a todos os restantes.
Os organizações optam muitas vezes por não implementar boas práticas de gestão de passwords. Desta forma, permitem por exemplo a reutilização de passwords ou a utilização de passwords simples. Trata-se de falhas claras de segurança.
Um método de autenticação seguro
Ainda que as melhores práticas de políticas de passwords sejam implementadas, existe sempre o risco de estas serem descobertas. Assim, a tecnologia 2FA – autenticação de dois fatores – vem reforçar a segurança na autenticação de utilizadores.
O conceito desta tecnologia é simples. Consiste em adicionar um segundo fator de autenticação às credenciais de nome de utilizador e passwords. Desta forma, podemos definir que o 2FA é um processo de autenticação com base em “algo que eu sei” (as minhas credenciais) e “algo que eu tenho” (o segundo fator de autenticação). Este último é por exemplo uma password de única utilização (OTP). Esta é gerada numa app no smartphone ou enviada por SMS/email. Existem outros métodos para gerar o segundo fator de autenticação. Por exemplo, o envio de uma Push Notification (mensagem enviada para o smartphone para aprovar ou negar o acesso) ou a utilização de um hard-token.
Uma solução de 2FA deve ser simples e fácil de utilizar, de forma a evitar a resistência na sua implementação.
A tecnologia multi-fator (2FA) da ESET é fácil e rápida de instalar. Ela reforça a autenticação em serviços de ligação remota. Falamos por exemplo de VPN (através de RADIUS), ambientes de trabalho locais (acesso ao PC físico) e ambientes de trabalho remotos (ex.: RDP). Mas existem ainda aplicações do dia a dia, como o MS Exchange ou MS SharePoint.
As empresas e os seus decisores devem ver a autenticação de dois fatores como um investimento na segurança. Ela não é um custo. Sobretudo numa altura em que o trabalho em mobilidade aumenta significativamente o ciber-risco nas pessoas e nas organizações.
Nuno Mendes