Por Sarah Lefavrais
A disseminação da força de trabalho remota e o crescimento da transformação digital têm exponenciado o número de vetores de ataque baseados em login. Embora a autenticação de múltiplos fatores (MFA) geralmente proteja contra métodos comuns de acesso não autorizado a contas, nem todos os métodos de autenticação de múltiplos fatores podem se defender contra ataques sofisticados. Para alcançar um acesso de zero trust, a MFA está sendo substituída pela MFA resistente a phishing e pelos padrões que a definem.
Para lhe dar uma imagem completa, identifiquei os principais termos e conceitos relacionados à autenticação resistente a phishing e os reuni neste glossário prático. Para apreciar completamente a MFA resistente a phishing, é útil conhecer o vocabulário.
Roubo de conta
Conseguir o Roubo de Conta (ATO) significa comprometer com sucesso uma conta de destino com a intenção de cometer fraude. A conta está totalmente comprometida quando o invasor pode operar com sucesso como o usuário, com todas as permissões e privilégios de acesso subsequentes. O ATO muitas vezes é iniciado pelo roubo de credenciais e pode ser feito usando técnicas de engenharia social (ataques de phishing) ou bombardeando páginas de login com tentativas baseadas em bots.
Ataques de phishing
Os ataques de phishing tentam roubar dados pessoais, como credenciais de login, informações de cartão de crédito ou até mesmo dinheiro, usando técnicas de engenharia social. Esse tipo de ataque é geralmente lançado por meio de mensagens de e-mail, aparentando serem enviadas por uma fonte respeitável, com a intenção de persuadir o usuário a abrir um anexo malicioso ou seguir uma URL fraudulenta. Os tipos de serviços mais visados são plataformas de SaaS e webmail, bem como serviços de pagamento. Os ataques de phishing criam muitos efeitos em cascata, afetando empresas e indivíduos de várias maneiras.
Ataques Man-in-the-Middle (MiTM)
O NIST define um ataque Man-in-the-Middle (MiTM) como “um ataque no qual um invasor está posicionado entre duas partes que estão se comunicando para interceptar e/ou alterar os dados que viajam entre elas”. Em um contexto de autenticação, isso significaria que “o atacante estaria posicionado entre o solicitante e o verificador, entre o registrado e o Provedor de Serviços de Credenciais durante o registro, ou entre o assinante e o Provedor de Serviços de Credenciais durante a associação do autenticador”.
Autenticação
O NIST define a “autenticação digital como o estabelecimento de que um sujeito que tenta acessar um serviço digital está no controle de um ou mais autenticadores válidos associados à identidade digital desse sujeito”.
Para serviços nos quais retornos são aplicáveis, a autenticação bem-sucedida fornece garantias razoáveis, baseadas em risco, de que o sujeito que está acessando o serviço hoje é o mesmo sujeito que acessou o serviço anteriormente. A autenticação estabelece a confiança de que o solicitante possui um ou mais autenticadores vinculados à credencial. Ela não determina as autorizações ou privilégios de acesso do solicitante, por exemplo, o que eles estão autorizados a fazer uma vez que tenham acessado com sucesso um serviço digital.
2FA
A autenticação de dois fatores, ou 2FA, é um método de autenticação que exige a combinação de dois tipos diferentes de fatores para acessar recursos protegidos. Os três tipos de fatores de autenticação são algo que você sabe, algo que você possui e algo que você é.
2FA melhora o processo de login da Autenticação de Fator Único (SFA). Ela faz isso exigindo não apenas um conjunto de credenciais baseadas no que você sabe, como uma senha (que é suscetível a phishing), mas também um segundo tipo de credencial com base no que você possui, como seu telefone, token ou cartão inteligente, ou no que você é, incluindo biometria, como uma impressão digital.
MFA
A autenticação de múltiplos fatores, ou MFA, requer dois ou mais fatores de autenticação antes de permitir o acesso a sistemas protegidos. A MFA pode ser alcançada usando uma combinação dos três tipos de fatores de autenticação (algo que você sabe, algo que você possui e algo que você é). Como a segurança de autenticação de múltiplos fatores requer várias formas de identificação no momento do login, ela é amplamente reconhecida como o método mais seguro para autenticar o acesso a dados e aplicativos.
Biometria
A biometria são características físicas ou comportamentais humanas usadas como fator de autenticação (algo que você é). As biometrias comuns incluem impressão digital, reconhecimento facial ou reconhecimento de voz. Usar biometria é outra maneira de desbloquear as chaves privadas dos usuários, completando assim o processo de autenticação FIDO2 ou PKI. Mais seguro que uma senha, a biometria do usuário não deixa o dispositivo por motivos de segurança e permite um login seguro sem o uso de senhas.
MFA resistente a phishing
A MFA resistente a phishing é a autenticação de múltiplos fatores protegida contra tentativas de comprometer o processo de autenticação por meio de ataques de phishing. Vários elementos são necessários para qualificar um método de autenticação como resistente a phishing, incluindo um relacionamento forte e confiável por meio de registro criptográfico, a eliminação de segredos compartilhados e a resposta apenas a solicitações válidas de partes conhecidas e confiáveis. “A MFA resistente a phishing não é nada mais do que o mesmo processo de autenticação, mas as pessoas são removidas da equação”, diz o Instituto SANS.
Métodos de MFA resistentes a phishing incluem o Fast IDentity Online (FIDO), autenticação baseada em certificado (CBA), Verificação de Identidade Pessoal (PIV) e artefatos governados pela Infraestrutura de Chave Pública (PKI).
SMS OTP
Especialistas em segurança consideram a autenticação por SMS vulnerável a ataques de troca de SIM e interceptação em redes públicas. Quando um código de autenticação é enviado por SMS para um dispositivo móvel, é necessário ter confiança de que a mensagem chega ao destinatário pretendido. No entanto, pesquisas demonstraram o aumento do sucesso na redireção ou interceptação de mensagens SMS sem custo ou tempo.
Notificação push OTP
A autenticação por notificação push valida as tentativas de login, enviando códigos de uso único para um dispositivo móvel associado. Embora não seja resistente a phishing, o NIST e outras agências de segurança consideram a autenticação por notificação push mais segura do que a autenticação por SMS. No entanto, certas fraquezas incluem a vulnerabilidade a ataques de bombardeamento de MFA (também chamados de fadiga de MFA). A vulnerabilidade pode ser reduzida com a correspondência de números. “A correspondência de números é uma configuração que obriga o usuário a inserir números da plataforma de identidade em seu aplicativo para aprovar a solicitação de autenticação”, explica a CISA (Agência de Segurança Cibernética e Infraestrutura). A agência recomenda o uso da correspondência de números para mitigar a fadiga de MFA na autenticação por notificação push.
FIDO2
A aliança Fast Identity Online (FIDO) foi criada para oferecer uma maneira segura para os consumidores se autenticarem em serviços online. A Autenticação FIDO é um padrão global de autenticação baseado em criptografia de chave pública. Com a Autenticação FIDO, os usuários fazem login com credenciais resistentes a phishing chamadas passkeys. Passkeys podem ser sincronizados em dispositivos ou vinculados a uma plataforma ou chave de segurança, permitindo substituir logins apenas com senha por experiências de login seguras e rápidas em sites e aplicativos.
As passkeys são mais seguras do que senhas e OTPs por SMS, mais simples para os consumidores usarem e mais fáceis para os provedores de serviços implantarem e gerenciarem. O protocolo FIDO2 é sem senha e usa técnicas padrão de criptografia de chave pública para uma autenticação mais forte.
Chaves de segurança FIDO ou autenticador FIDO
Uma chave de segurança FIDO incorpora uma ou mais chaves privadas, cada uma dedicada a uma conta online. O protocolo FIDO exige um “gesto do usuário”: o usuário precisa desbloquear o autenticador FIDO usando sua impressão digital, pressionando um botão em um dispositivo de segundo fator, inserindo um PIN ou outro método – antes que a chave privada possa ser usada para assinar uma resposta a um desafio de autenticação.
Passkeys FIDO
Uma passkey FIDO é uma credencial digital conectada a uma conta de usuário e a um aplicativo ou site. Ela se parece com um pop-up digital no dispositivo do usuário e pode ser imediatamente aceita pelo usuário. As passkeys podem ser sincronizadas em dispositivos ou vinculadas a uma plataforma ou chave de segurança FIDO e permitem substituir logins apenas com senha por experiências de login seguras e rápidas em sites e aplicativos.
PKI
A Infraestrutura de Chave Pública (PKI) é o termo abrangente para todos os ativos que estabelecem e gerenciam a criptografia de chave pública, ou “um componente de infraestrutura fundamental usado para trocar informações com segurança usando certificados digitais”, como afirma a Gartner. Em outras palavras, a PKI é a coleção de políticas, processos e tecnologias que permitem assinar e criptografar dados de forma segura e é a base de toda comunicação online confiável.
PIV
Em termos leigos, uma Verificação de Identidade Pessoal (PIV) é um artefato físico, como um cartão de identidade ou cartão inteligente, que contém credenciais de identidade (como biometria ou chaves criptográficas) para uma dupla combinação de dois ativos de autenticação segura “para que a identidade reivindicada do titular do cartão possa ser verificada em relação às credenciais armazenadas por outra pessoa (legível e verificável pelo ser humano) ou por um processo automatizado (legível e verificável pelo computador)”.
CBA
A autenticação baseada em certificado (CBA) permite que os usuários se autentiquem com um certificado de cliente em vez de senhas. A confiança é concedida pela parte que emite o certificado, normalmente uma Autoridade de Certificação (AC), quando se deseja máxima segurança. Certificados autoassinados também são usados, mas não oferecem o mesmo nível de validação que uma AC confiável. A CBA pode ser usada em conjunto com outros métodos para criar uma forma de MFA resistente a phishing.
Diretrizes da ENISA para autenticação forte
A ENISA recomenda o uso de autenticação resistente a phishing devido à sua segurança superior. No entanto, a ENISA qualificou essa recomendação ao aconselhar o uso de autenticação mais segura “se possível”. Atualmente, os métodos de autenticação resistentes a phishing mais amplamente disponíveis são as chaves de segurança FIDO2 ou cartões inteligentes PKI físicos. Considerações práticas relacionadas à gestão de hardware e provisionamento, bem como restrições operacionais, podem limitar a capacidade das organizações de implantá-los para todos os casos de uso.
Orientações da CISA sobre autenticação resistente a phishing
CISA, a agência de defesa cibernética dos Estados Unidos, divulgou duas fichas informativas destacando ameaças contra contas e sistemas que usam certas formas de autenticação multifator (MFA). A CISA insta fortemente todas as organizações a implementarem MFA resistente a phishing para se protegerem contra phishing e outras ameaças cibernéticas conhecidas.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.