MFA

Toda pessoa que usa um sistema conhece os conceitos de usuário e senha pelo menos e esses são a base de sua identidade no mundo digital.

E por muito tempo, a senha foi e permanece sendo a principal forma de autenticação do usuário.

Mas como não poderia deixar de ser, o mundo virtual tornou-se alvo das mal intencionadas ações de criminosos que buscam se passar por outro para conseguir vantagens, normalmente financeiras.

Para evitar o uso de senhas fáceis, foram criadas regras de formação, exigindo uma quantidade mínima de caracteres, especificando tipos de caracteres (letras, números, símbolos especiais)que devem obrigatoriamente fazer parte da senha, proibindo o uso de caracteres repetidos ou palavras que coincidam com informações pessoais, além de estabelecer um limite máximo de tentativas de acesso infrutíferas.

Há muito tempo, os bancos de dados SQL se tornaram padrão e dominam o mercado de aplicações, aliados a uma plataforma WEB, buscando tornar os serviços mais acessíveis e disponíveis para todos.

E desde então, a maior vulnerabilidade persiste sendo a injeção de código malicioso no banco de dados usando falhas de segurança na programação, encontradas já no primeiro contato do usuário com o sistema, que é exatamente a digitação do seu código de usuário e senha.

A OWASP mantém uma lista com as maiores vulnerabilidades há anos, OWASP Top Ten Web Application Security Risks | OWASP, mas além de listar, orienta os procedimentos para evitá-las.

Logo a senha tornou-se vulnerável, os bancos de dados que as armazenam são alvos de constantes ataques e muitos sucessos, aliados ao menosprezo da sua importância por vários usuários, que quando não encontram regras impeditivas usam senhas fáceis como 1234, admin e por ai vai.

Devido ao aumento constante das fraudes, os sistemas buscaram implementar maior segurança nessa identificação do usuário.

A biometria entrou em ação, surgiram leitores de impressões digitais, sistemas de reconhecimento de face, retina, voz e percebemos que é muito complexo usar o corpo como senha.

Assim passaram a usar mais de uma forma de autenticação, além da senha, um dos mais comuns e usados atualmente é a digitação de um código enviado por e-mail ou SMS.

A principio denominada de autenticação de dois fatores, logo perceberam que apenas isso não bastava e foram criados outros, padronizando o novo nome, MFA - Multi Factor Authentication, traduzido para Autenticação de Multi Fator.

Os sistemas começaram a buscar informações do acesso para aumentar o leque de variáveis para validação, assim tentam identificar o equipamento específico usado (computador, smartphone) e cadastrá-lo como um fator de autenticação ou ponto de acesso válido.

O endereço de rede pode ser usado em alguns casos, restrição de horário e/ou local de acesso, frequência e outros hábitos.

Exemplificando, o usuário que é empregado só pode entrar na rede, nos seus horários de trabalho e/ou da rede interna da empresa, durante os dias úteis e assim vai.

O certificado digital é considerado um dos modos mais seguros de identificação de usuário, se não o mais seguro, porém ainda depende da posse de um cartão e digitação de um PIN, além de ter um alto custo de processamento, pois é normalmente usado com a criptografia dos dados.

A inteligência artificial é a tendência atual, mas custa caro, está em melhoria e exige alto poder de processamento.

Os sistemas passaram então a usar outro sistema ou aplicação para ser mais um fator de autenticação, normalmente no celular, assim num exemplo, quando o usuário tenta acesso ao Teams, o aplicativo recebe a solicitação de liberação de acesso e oferece as opções de liberar ou negar.

Uma outra vantagem disso é que o usuário acaba sendo avisado de uma tentativa de acesso, pois chega a solicitação no aplicativo e como essa parte só é iniciada após a verificação da senha ou pin do certificado digital, já mostra que houve uma violação. 

Para que o aplicativo seja reconhecido como válido para autenticação, é necessário cadastrar o equipamento em outro sistema previamente.

A Microsoft adotou essa forma para as suas ferramentas corporativas, como o agora denominado Microsoft 365, que engloba os conhecidos aplicativos de escritório Word, Excel e muitas ferramentas colaborativas, como Teams, Outlook, Planner, Power Tools e etc.

A modernidade trouxe muitos benefícios e facilidades, mas a criminalidade vem junto e obriga a continua evolução de formas de proteção, normalmente onerando o usuário bem intencionado, que se vê obrigado a aumentar suas ações para acessar as informações.

Muitos não entendem isso, e a persistência de senhas como 1234 é prova cabal da inocência de muitos e estímulo para o constante crescimento dos crimes virtuais.


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Dois computadores em um

 Não, não é um hyper-visor como o VMware, VirtualBox, Xen ou Hyper-V! Gosto muito dessa tecnologia e já usei bastante, mas ao criar as máquinas virtuais em um computador normal, a sobrecarga é bem grande e os recursos acabam ficando escassos, penalizando a performance final do sistema. A ideia de usar vários periféricos em um mesmo computador traz imediatamente o uso de mais de uma saída de vídeo. Lógico que é possível conectar mais de um mouse e teclado, mas o resultado não é o esperado, pois compartilhar a mesma área de trabalho ou mais mesmo que em vídeos diferentes, não funciona pois o Windows considera a janela em foco como ativa, inviabilizando o uso simultâneo de outra. Descobri hoje o Aster Pro  Ibik Aster Pro - O software multiterminal mais barato do Brasil  que promete uma solução mais prática e menos trabalhosa para resolver esse problema. O programa permite o uso gratuito por 30 dias para testar todas as funcionalidades e não é que é fácil, simples e funciona realmente! A i
Leia mais

Escolhendo outro monitor de vídeo

Imagem
      O Asus VG32VQ1B de 31,5" e resolução QHD (Quad HD) veio com um defeito que descobri logo no começo, mas não me incomodava muito, porque só acontecia ao ativar o HDR.     Esse recurso em monitores de vídeo é praticamente inútil, pois a baixa taxa de luminosidade e contraste impedem uma visualização impactante, como normalmente é numa TV.     Abri a solicitação de garantia na página da Asus e logo recebi a notificação do RMA e autorização para remessa.     Alguns dias depois, pra minha surpresa, recebi um e-mail informando que não tem como arrumar o defeito e me oferecendo a devolução do valor da Nota Fiscal com um pequeno reajuste.     Ainda não recebi o PIX, mas a partir dai iniciei as pesquisas para adquirir um substituto.     Tenho o Dell Alienware AW2518HF com 24,5", painel TN e taxa de 240 Hz.     Já é um modelo antigo, mas me atende muito bem e a única falta que vejo atualmente é o FreeSync não ser compatível com os videogames da nova geração, mas isso não faz dife
Leia mais

Silver Stone Fara R1 Pro - primeiras impressões do gabinete branco com leds ARGB

Imagem
    Gostei da simplicidade e tamanho dos gabinetes Silver Stone Fara H1M, que são mais compactos e ideais para uma placa-mãe micro-ATX.     Infelizmente, a placa de vídeo Gigabyte RTX 3080 Vision não coube devido aos seus 32 cm de profundidade.     Talvez até entrasse, removendo os ventiladores frontais e instalando na parte externa do gabinete, mas como os filtros de poeira são magnéticos e junto aos ventiladores, achei melhor não mexer.     Encomendei então o modelo Fara R1 Pro, que vem com 4 ventiladores ARGB instalados e uma controladora adequada.      A percepção é algo muito tênue, nas fotos do anúncio na Internet não percebi que os ventiladores do gabinete são pretos, além de não mostrar os cabos que também são pretos inclusive os conectores que vão na placa-mãe.     Isso me frustrou bastante, pois ao conectar os cabos da fonte e do gabinete na placa-mãe, a mistura não agradou e senti que seria melhor tudo preto.     Na foto abaixo, dá pra ver que o conector do led de power esta
Leia mais