Duplo fator de autenticação vem sendo utilizado por muitas empresas para melhorar a segurança de seus clientes. Com novas violações de dados sendo descobertas, o antigo padrão de login e senha de usuário não é mais considerado muito seguro. Mesmo com uma senha longa e complexa e um login que não seja simplesmente firstname_lastname@companydomain.com.
Existem várias maneiras de fortalecer a segurança, incluindo a adição de dados biométricos na forma de leitores de impressões digitais ou reconhecimento facial, ou cartões inteligentes, mas um dos mais populares é habilitar a autenticação de dois fatores. Métodos de autenticação de dois fatores incluem o envio de um código para o usuário via e-mail, mensagens instantâneas ou mensagens de texto, chamadas de retorno para um telefone celular, trabalhando com um token de segurança, cartão inteligente ou dispositivo USB U2F (segundo fator universal).
Padrões de Autenticação de Dois Fatores
Os principais fabricantes de hardware e software estabeleceram padrões como o sistema Fast Identity Online (FIDO). Ele permite que um usuário se autentique com um Token depois de digitar seu nome e senha. Os participantes incluem Microsoft, Intel, PayPal, Google, Samsung e Lenovo, entre outros. O sistema pode usar o hardware de autenticação incorporado em um telefone ou laptop ou ser executado em um dispositivo externo como um dongle USB. O dongle, também conhecido como hardlock, é um dispositivo conectado ao computador para restringir o uso de determinado programa. Neste caso, a restrição é para a autenticação.
Como implementar a autenticação de dois fatores
Seja qual for o hardware ou protocolo, existem alguns componentes essenciais para um sistema de autenticação de duas camadas. O serviço de diretório, seja o Active Directory, eDirectory, RADIUS ou algum outro sistema, e o software de autenticação de dois fatores que habilita as funções adicionais. . Há também sistemas de autenticação de dois fatores baseados na nuvem disponíveis no Google, Microsoft e outros. Estes já estão integrados aos seus sistemas de login de serviços de diretório.
Fornecedores de Autenticação de Dois Fatores
Além dos membros da FIDO Alliance e dos fornecedores de serviços de diretório mencionados acima, que incluem a funcionalidade de autenticação de dois fatores como parte de suas soluções, existem fornecedores terceirizados que oferecem soluções de dois fatores, incluindo RSA, Symantec, VASCO. Segurança de Dados, Quest Software, Okta, CA e outros. Além dos fornecedores de software que adicionam autenticação de dois fatores aos produtos de servidor, há uma variedade de fornecedores que oferecem tokens de hardware, leitores de impressões digitais, chaves FIDO e outros dispositivos.
Escolhendo o segundo fator de autenticação
Para qualquer outra coisa, sua primeira escolha deve ser o tipo do segundo fator que você usará. Por exemplo, se você usar o Google para seu pacote de escritório ou o Microsoft Office Online, precisará de um produto de dois fatores que funcionará com o sistema escolhido.
Normalmente, esse é um sistema em que a segurança é negociada contra custo e complexidade. Por exemplo, usar um código de mensagem de texto como o segundo fator é barato e fácil de configurar. É também o mais provável de ser contornado por um hacker determinado. Os tokens de hardware são muito mais difíceis de contornar, mas também são mais difíceis de configurar e dar suporte.
Tipos comuns de 2FA:
- Tokens de hardware – esta é a forma mais antiga de autenticação de dois fatores. Dispositivos físicos que agem como chaves eletrônicas que geram um código numérico válido no tempo para acessar contas de usuário. Essa técnica também pode incluir uma abertura de cartão sem fio, cartões inteligentes, pen drives.
- Mensagem de texto SMS e 2FA baseada em voz – esse tipo de autenticação de duas camadas interage diretamente com o telefone de um usuário. Depois que um usuário coloca um nome de usuário e senha, o site envia ao usuário uma única senha única (OTP) via mensagem de texto. Um usuário deve então entrar no OTP de volta ao aplicativo para obter acesso. No caso de 2FAs baseados em voz, o sistema disca um usuário e entrega verbalmente o código 2FA.
- Tokens de software – um dos formulários 2FA mais populares. Ele usa uma senha única baseada em tempo, gerada por software (também chamada de TOTP ou “token suave”). Um usuário precisa ter um aplicativo 2FA gratuito em seu telefone ou desktop. O usuário primeiro insere um nome de usuário e uma senha depois insere o código exibido no aplicativo.
- Notificações push – sites e aplicativos agora podem enviar ao usuário uma notificação por push quando houver uma tentativa de autenticação. É uma autenticação sem senha, sem códigos para inserir, e nenhuma interação adicional é necessária.
- Biométrico 2FA – essa técnica inclui a verificação da identidade de uma pessoa por meio de impressões digitais, padrões de retina e reconhecimento facial, ruído ambiente, pulso, padrões de digitação e impressões vocais.
Uma visão geral sobre as soluções
Existem fornecedores terceirizados que oferecem soluções de dois fatores, incluindo RSA, Symantec e VASCO. Segurança de Dados, Quest Software, Okta, CA e outros. Além dos fornecedores de software que adicionam autenticação de dois fatores aos produtos de servidor, há uma variedade de fornecedores que oferecem tokens de hardware, leitores de impressões digitais, chaves FIDO e outros dispositivos.
Todos os sistemas possuem a mesma funcionalidade básica. O sistema de serviços de diretório que contém as informações de nome de usuário e senha possui uma funcionalidade de autenticação de dois fatores. Pode enviar mensagens de texto ao telefone de um usuário ou recuperar um código quando um usuário pressiona o botão em um token de hardware inserido em um Porta USB.
A parte difícil é garantir que a conexão seja suportada e segura entre o sistema que autentica o usuário e o dispositivo ou o sistema de mensagens usado para adicionar o segundo fator. É por isso que escolher o segundo fator deve ser uma decisão inicial. Fazer com que qualquer sistema de segundo fator específico funcione com um determinado serviço de diretório. Muitos dos dispositivos de hardware de segundo fator suportarão o Active Directory ou o Windows 10. Se você estiver usando o Linux ou uma marca específica de telefone, por exemplo, eles podem limitar suas escolhas.
A autenticação de dois fatores é segura?
Todos os administradores desejam poder comprar um sistema de segurança, instalá-lo e contar com a interrupção dos invasores no futuro previsível. Infelizmente, os hackers continuam a criar novos ataques tão rapidamente quanto os fornecedores de segurança criam soluções. É possível para um hacker que tenha o login e a senha de uma conta efetuar login no portal de autoatendimento do sistema, alterar o número do celular para o qual as mensagens de verificação são enviadas e inserir o código enviado para o novo número de telefone. no sistema.
Os tokens de hardware e a verificação biométrica são atualmente mais difíceis de hackear, mas um Trojan em um PC poderia teoricamente interceptar a chamada de função no PC real do usuário real e transmitir o código de verificação para outro sistema. Isso é muito mais difícil do que falsificar uma mensagem de texto e provavelmente está além de criminosos individuais, se não de agências nacionais de espionagem. No entanto, a segurança sempre será um alvo em movimento.