Por Nuno Mendes – CEO WhiteHat
Num mundo em que a utilização de passwords prova ser cada vez menos segura, a autenticação de dois fatores oferece uma camada adicional de segurança que protege o utilizador mesmo que as suas credenciais tenham sido comprometidas.
No âmbito empresarial ainda existe resistência na adoção da tecnologia 2FA (autenticação multi-fator) e a maioria das empresas continua a utilizar apenas a tradicional autenticação através de nome de utilizador e palavra-passe, um método que, sendo simples e fácil de implementar, pode colocar grandes problemas ao nível da segurança. De acordo com a Verizon 2017 Data Breach Investigation Report, 80% das violações por parte de hackers está relacionado com o uso de palavras chave fracas.
Existem vários tipos de ataques que podem comprometer os utilizadores e as empresas, nomeadamente: ataques de força bruta, utilização de código malicioso, engenharia social, phishing, entre outros. Este tipo de ataques permitem o acesso não autorizado a contas e sistemas e podem representar um sério impacto nas operações das organizações, tais como reputação negativa, prejuízos financeiros, falhas na conformidade legal, roubo de propriedade intelectual, entre outros.
Estes tipos de ataques podem ser lançados contra aplicações do quotidiano empresarial como: aplicações cloud; email;ERPs; CRM; acessos (ex.: VPN) e ambientes de trabalho remotos (ex.: RDP). Assim sendo, é de extrema importância reforçar a segurança de autenticação nestes sistemas tão críticos para o negócio.
Na deep/dark web é possível encontrar milhões de credenciais de utilizadores distribuídos por listas e prontos a comprar ou a descarregar. Estas listas podem incluir credenciais de acesso a sistemas tão díspares como serviços de email, acessos VPN, acessos RDP, redes sociais, etc. Estas listas, tipicamente designadas por ‘combo-lists’ são a ferramenta de eleição por parte de ciber-criminosos para lançarem os seus ataques. Existem ainda outra formas de obter credenciais de utilizadores, nomeadamente através da instalação remota (recorrendo por exemplo a malware) de um keylogger que regista toda a atividade do teclado ou através de ataques de man-in-the-middle (a atacante intercepta as credencias durante um processo de autenticação).
Uma esmagadora maioria de utilizadores adopta um única palavra-passe nas suas credenciais de autenticação aos sistemas que utiliza. Esta prática não é recomendável uma vez que basta descobrir as credencias de um sistema para um ciber-criminoso poder aceder a todos os restantes.
Frequentemente as organizações optam por não implementar boas práticas de gestão de palavras-passe, permitindo por exemplo a reutilização de palavras-passe ou a utilização de palavras-passe simples.
Um método de autenticação seguro
Contudo, ainda que as melhores práticas de políticas de palavra-passe sejam implementadas, existe sempre o risco de estas serem descobertas. Assim, a tecnologia 2FA vem reforçar significativamente a segurança na autenticação de utilizadores.
O conceito desta tecnologia é simples. Consiste em adicionar um segundo fator de autenticação às credenciais baseadas em nome de utilizador e palavra-passe. Desta forma, podemos definir que o 2FA é um processo de autenticação com base em “algo que eu sei” (as minhas credenciais) e “algo que eu tenho” (o segundo fator de autenticação). Este segundo fator de autenticação é tipicamente uma palavra-passe de única utilização (OTP) gerada numa app no smartphone ou enviada por SMS/email. Existem outros métodos para gerar o segundo fator de autenticação, como por exemplo o envio de uma PushNotification (mensagem enviada para o smartphone onde o utilizador simplesmente aprova ou nega o acesso) ou a utilização de um hard-token.
Uma solução de 2FA deve ser simples e fácil de utilizar, de forma a evitar a resistência na sua implementação.
A tecnologia multi-fator (2FA) da ESET é fácil e rápida de instalar e reforça a autenticação em serviços de ligação remota, como VPN (através de RADIUS), ambientes de trabalho locais (acesso ao PC físico) e ambientes de trabalho remotos (ex.: RDP) e ainda aplicações do quotidiano empresarial como o MS Exchange ou MS SharePoint.
É extremamente importante que as empresas e os seus decisores consigam ver esta tecnologia como um investimento e não como um custo, sobretudo numa altura em que o trabalho em mobilidade aumenta significativamente o ciber-risco nas pessoas e nas organizações.
Sobre a WhiteHat
A WhiteHat é um distribuidor português de valor acrescentado na área de segurança. Através de diversas parcerias estabelecidas ao longo dos anos com prestigiados fabricantes de diversas áreas, como é o caso da ESET, a WhiteHat oferece soluções de cibersegurança de forma a reforçar a segurança de consumidores e empresas. Mais informações em https://www.whitehat.pt
Conteúdo patrocinado