A autenticação multifator (MFA) é um processo de autenticação em que o acesso é concedido com base em mais de um fator ou evidência. A MFA é uma medida de segurança que visa proteger sistemas e dados corporativos contra invasões, uma vez que a autenticação tradicional com login e senha apresenta fragilidades. No entanto, a autenticação multifator não é uma solução infalível, e os criminosos estão sempre buscando novas formas de contorná-la.

A gestão de identidades é um dos grandes desafios da segurança da informação. O primeiro sucesso da autenticação multifator foi bloquear diversas técnicas de invasão. Ainda hoje, ataques menos sofisticados continuam sendo barrados pela mera existência de um segundo fator de autenticação. Por outro lado, alguns mecanismos de autenticação antes tidos como robustos, como o envio de SMS, já não são suficientes para proteger as contas.

O phishing foi reinventado para funcionar contra a MFA, e criminosos desenvolveram novas categorias de malware dedicadas a roubar sessões autorizadas e explorar brechas nas implementações da autenticação. Dois fornecedores de soluções de MFA foram invadidos em 2022, violando a segurança das contas protegidas, e brechas foram expostas nas redes de telecomunicação que entregam códigos de uso único.

Para ajudar a mitigar as vulnerabilidades do MFA e interromper invasões que podem resultar em ações de ransomware, vazamentos de dados e prejuízos financeiros para a empresa, o monitoramento de credenciais vazadas é uma alternativa interessante. Esse monitoramento fornece meios para que uma organização detecte vazamentos e bloqueie acessos indevidos, protegendo inclusive contas de e-mail que são usadas como mecanismos de recuperação em sistemas de MFA.

O monitoramento também não depende da visibilidade sobre as práticas do usuário, evitando diversos percalços. Além disso, o acesso a dados vazados fornece uma forma descomplicada de melhorar a confiabilidade do processo de autenticação, pois não exige mudanças no processo de autenticação existente e é fácil de ser integrado ao ecossistema.

É importante lembrar que a proteção de dados e sistemas corporativos é fundamental para a continuidade dos negócios e para a manutenção da confiança dos clientes. A autenticação multifator é uma importante medida de segurança, mas não deve ser considerada uma solução definitiva.

Autenticação Multifator: Limitações e Perigos na Implementação

A autenticação por senha é vulnerável a ataques de diversos tipos, como roubo, adivinhação e repetição pelo próprio usuário. Entre esses ataques, um dos mais simples é o phishing, que pode ser executado por meio do envio de um e-mail falso para o usuário, solicitando a revelação da senha.

A MFA adiciona etapas extras à autenticação, tornando-a mais complexa e, teoricamente, mais segura. No entanto, há limitações e perigos na implementação da MFA que precisam ser considerados.

Uma das limitações é que a MFA não é eficaz contra ameaças de malware. Mesmo que muitos códigos maliciosos sejam criados para roubar credenciais, a MFA não protege contra a ação desses malwares. Quando um malware atua diretamente no endpoint do usuário, o invasor pode aproveitar uma sessão autenticada em andamento.

Outra limitação é que a MFA não reforça o mecanismo de autorização em si. Em muitas implementações mais simples da MFA, a autorização é idêntica à de uma conta com fator único, o que a torna vulnerável a ataques.

Além disso, a MFA pode exigir um novo processo de recuperação de conta, transferindo o elo mais fraco da corrente da credencial para o processo de recuperação. Mesmo uma implementação correta da recuperação de conta não elimina ataques contra esse processo. Por fim, os fatores adicionais da MFA também podem ser alvo de ataques específicos. Como a senha é um alvo antigo e comum, os ataques existentes contra os demais fatores muitas vezes passam despercebidos.

Por todas essas limitações e perigos, é importante ter uma visão adequada sobre a superfície de ataque e o papel que a MFA deve desempenhar. Implementações mal planejadas podem deixar as contas dos usuários vulneráveis a ataques.

O novo ebook da Axur, Ataques em Autenticação Multifator, explora esses e outros pontos essenciais nessa dinâmica, como a forma em que os criminosos burlam totalmente o processo de login usando tokens roubados, como o phishing foi adaptado para o cenário do MFA e pode continuar funcionando e por que o "padrão ouro" da MFA deixou de incluir mecanismos como o SMS e a confirmação via push devido a ataques como SIM swap, SS7 e MFA Fatigue. 

Baixe gratuitamente o material e tenha acesso à análise da Axur sobre o cenário da MFA e quais são as medidas cruciais para ficar protegido.