MFA

Toda pessoa que usa um sistema conhece os conceitos de usuário e senha pelo menos e esses são a base de sua identidade no mundo digital.

E por muito tempo, a senha foi e permanece sendo a principal forma de autenticação do usuário.

Mas como não poderia deixar de ser, o mundo virtual tornou-se alvo das mal intencionadas ações de criminosos que buscam se passar por outro para conseguir vantagens, normalmente financeiras.

Para evitar o uso de senhas fáceis, foram criadas regras de formação, exigindo uma quantidade mínima de caracteres, especificando tipos de caracteres (letras, números, símbolos especiais)que devem obrigatoriamente fazer parte da senha, proibindo o uso de caracteres repetidos ou palavras que coincidam com informações pessoais, além de estabelecer um limite máximo de tentativas de acesso infrutíferas.

Há muito tempo, os bancos de dados SQL se tornaram padrão e dominam o mercado de aplicações, aliados a uma plataforma WEB, buscando tornar os serviços mais acessíveis e disponíveis para todos.

E desde então, a maior vulnerabilidade persiste sendo a injeção de código malicioso no banco de dados usando falhas de segurança na programação, encontradas já no primeiro contato do usuário com o sistema, que é exatamente a digitação do seu código de usuário e senha.

A OWASP mantém uma lista com as maiores vulnerabilidades há anos, OWASP Top Ten Web Application Security Risks | OWASP, mas além de listar, orienta os procedimentos para evitá-las.

Logo a senha tornou-se vulnerável, os bancos de dados que as armazenam são alvos de constantes ataques e muitos sucessos, aliados ao menosprezo da sua importância por vários usuários, que quando não encontram regras impeditivas usam senhas fáceis como 1234, admin e por ai vai.

Devido ao aumento constante das fraudes, os sistemas buscaram implementar maior segurança nessa identificação do usuário.

A biometria entrou em ação, surgiram leitores de impressões digitais, sistemas de reconhecimento de face, retina, voz e percebemos que é muito complexo usar o corpo como senha.

Assim passaram a usar mais de uma forma de autenticação, além da senha, um dos mais comuns e usados atualmente é a digitação de um código enviado por e-mail ou SMS.

A principio denominada de autenticação de dois fatores, logo perceberam que apenas isso não bastava e foram criados outros, padronizando o novo nome, MFA - Multi Factor Authentication, traduzido para Autenticação de Multi Fator.

Os sistemas começaram a buscar informações do acesso para aumentar o leque de variáveis para validação, assim tentam identificar o equipamento específico usado (computador, smartphone) e cadastrá-lo como um fator de autenticação ou ponto de acesso válido.

O endereço de rede pode ser usado em alguns casos, restrição de horário e/ou local de acesso, frequência e outros hábitos.

Exemplificando, o usuário que é empregado só pode entrar na rede, nos seus horários de trabalho e/ou da rede interna da empresa, durante os dias úteis e assim vai.

O certificado digital é considerado um dos modos mais seguros de identificação de usuário, se não o mais seguro, porém ainda depende da posse de um cartão e digitação de um PIN, além de ter um alto custo de processamento, pois é normalmente usado com a criptografia dos dados.

A inteligência artificial é a tendência atual, mas custa caro, está em melhoria e exige alto poder de processamento.

Os sistemas passaram então a usar outro sistema ou aplicação para ser mais um fator de autenticação, normalmente no celular, assim num exemplo, quando o usuário tenta acesso ao Teams, o aplicativo recebe a solicitação de liberação de acesso e oferece as opções de liberar ou negar.

Uma outra vantagem disso é que o usuário acaba sendo avisado de uma tentativa de acesso, pois chega a solicitação no aplicativo e como essa parte só é iniciada após a verificação da senha ou pin do certificado digital, já mostra que houve uma violação. 

Para que o aplicativo seja reconhecido como válido para autenticação, é necessário cadastrar o equipamento em outro sistema previamente.

A Microsoft adotou essa forma para as suas ferramentas corporativas, como o agora denominado Microsoft 365, que engloba os conhecidos aplicativos de escritório Word, Excel e muitas ferramentas colaborativas, como Teams, Outlook, Planner, Power Tools e etc.

A modernidade trouxe muitos benefícios e facilidades, mas a criminalidade vem junto e obriga a continua evolução de formas de proteção, normalmente onerando o usuário bem intencionado, que se vê obrigado a aumentar suas ações para acessar as informações.

Muitos não entendem isso, e a persistência de senhas como 1234 é prova cabal da inocência de muitos e estímulo para o constante crescimento dos crimes virtuais.


Comentários

Postagens mais visitadas deste blog

Dois computadores em um

Escolhendo outro monitor de vídeo

PC Master Race depois de 8 meses