Login

O que é autenticação?

A autenticação é um termo que se refere ao processo de provar que algum fato ou documento é genuíno. Em ciência da computação, este termo é tipicamente associado à comprovação da identidade de um usuário. Normalmente, um usuário prova sua identidade fornecendo suas credenciais, ou seja, uma informação aceita que é compartilhada entre o usuário e o sistema.

Autenticação com nome de usuário e senha

A combinação de nome de usuário e senha é o mecanismo de autenticação mais conhecido, conhecido também como autenticação por senha.

Um exemplo bem conhecido é acessar uma conta de usuário em um site ou provedor de serviços, como o Facebook ou o Gmail. Antes de acessar sua conta, você precisa provar que possui as credenciais de login corretas. Os serviços normalmente apresentam uma tela que solicita um nome de usuário junto com uma senha. Em seguida, eles comparam os dados inseridos pelo usuário com os valores armazenados anteriormente em um repositório interno.

Se você inserir uma combinação válida dessas credenciais, o provedor de serviços permitirá que você continue e dará acesso à sua conta.

Embora o nome de usuário possa ser público, como, por exemplo, um endereço de e-mail, a senha deve ser confidencial. Devido à sua confidencialidade, as senhas precisam ser protegidas contra roubo por cibercriminosos. Na verdade, embora os nomes de usuário e as senhas sejam amplamente usados na internet, eles são conhecidos por serem um mecanismo de segurança fraco que os hackers exploram regularmente.

A primeira maneira de protegê-los é aplicando a força da senha, ou seja, um nível de complexidade que impede que invasores mal-intencionados possam adivinhá-los facilmente. Como regra geral, uma combinação complexa de letras minúsculas e maiúsculas, números e caracteres especiais resulta em uma senha forte. Caso contrário, uma combinação pobre de caracteres leva a uma senha fraca.

Usuários finais tendem a usar senhas fracas. Em um relatório anual da SplashData, uma empresa de segurança da internet, eles identificaram as 25 senhas mais comuns. A lista, baseada em milhões de senhas expostas por violações de dados, mostra que milhões de usuários confiam em senhas como "123456" e "senha".

É uma questão de facilidade de uso, pois as senhas fracas geralmente são mais fáceis de lembrar. Além disso, eles geralmente reutilizam a mesma senha em sites ou serviços diferentes.

A combinação dessas situações pode levar a problemas de segurança, pois as senhas fracas são fáceis de adivinhar, e a senha vazada pode ser usada para acessar vários serviços para o mesmo usuário.

Por outro lado, senhas fortes usadas para autenticação podem resistir a ataques de força bruta, mas são inúteis contra ataques como phishing e software de keylogger ou credential stuffing. Esses tipos de ataques não tentam adivinhar a senha do usuário, mas roubá-la diretamente do usuário.

As senhas também são um problema quando não são armazenadas com segurança. Por exemplo, em uma reportagem recente, o Facebook mostrou ter armazenado milhões de senhas do Instagram em texto simples. As senhas devem sempre ser armazenadas usando as melhores práticas, como hashing.

Fatores de autenticação

Uma categoria específica de credenciais, como nome de usuário e senha, geralmente é chamada de fator de autenticação. Mesmo que a autenticação por senha seja o tipo mais conhecido, existem outros fatores de autenticação. Existem três tipos de fatores de autenticação, normalmente classificados da seguinte forma:

  • Algo que você conhece, por exemplo, uma senha

  • Algo que você tem, por exemplo, um smartphone

  • Algo que você é, por exemplo, um indicador biométrico

Algo que você conhece

Este fator de autenticação requer que o usuário mostre que sabe algo. Normalmente, isso será uma senha ou um número de identificação pessoal (PIN) compartilhado entre o usuário e o sistema de gestão de acesso de identidades (IAM).

Para usar esse fator, o sistema exige que o usuário forneça essas informações compartilhadas.

Algo que você tem

Neste caso, o usuário deve provar que tem algo, como um smartphone, um cartão inteligente, uma caixa de correio. O sistema apresenta um desafio ao usuário para garantir que ele tenha o fator de autenticação necessário. Por exemplo, ele pode enviar uma Senha Única Baseada em Tempo (TOTP) em uma mensagem de texto para o smartphone do usuário. Pode também enviar um código de texto por e-mail.

Algo que você é

Este fator de autenticação é baseado em uma informação que está no usuário e é inerente a esse usuário (fator inerente). Normalmente, essa informação é uma característica biométrica, como impressões digitais ou voz. O reconhecimento facial também se enquadra nesse tipo de fator de autenticação.

Da autenticação de fator único à autenticação multifator

O processo de autenticação com base em apenas um fator é chamado autenticação de fator único.

Este é o caso comum de simplesmente usar nomes de usuário e senhas para a autenticação do usuário, mas se aplica a qualquer outro fator de autenticação. Como discutido acima, a autenticação por senha pode ser um mecanismo de autenticação fraco. Pesquisas mostraram que cerca de 76% das empresas sofreram um ataque de phishing, enquanto 81% das violações de dados são baseadas em senhas roubadas ou fracas.

Você pode usar fatores de autenticação adicionais para aumentar a segurança do processo de autenticação. Por exemplo, na sua Conta Google, você pode ativar uma transmissão de notificação para o seu dispositivo móvel após a autenticação habitual com base no nome de usuário e senha. Nesse caso, você está usando uma autenticação de dois fatores (2FA), ou seja, um mecanismo de autenticação baseado em duas categorias de credenciais: algo que você sabe e algo que você tem. Ao adicionar esse segundo fator, sua conta fica mais segura. Na verdade, mesmo que um invasor roube sua senha, ele não pode se autenticar porque falta o segundo fator de autenticação.

Você pode combinar vários fatores de autenticação, aumentando ainda mais a segurança da sua identidade. Nesse caso, você está usando uma autenticação multifator (MFA). É claro que o 2FA é apenas uma forma de MFA.

Autenticação Passwordless (sem senha)

Como o nome diz, a autenticação Passwordless é um mecanismo de autenticação que não usa uma senha. A principal motivação para esse tipo de autenticação é reduzir a fadiga de senhas, que é o esforço necessário para que o usuário se lembre e mantenha segura uma senha forte.

Eliminar a necessidade de memorizar senhas também ajuda a tornar os ataques de phishing inúteis.

Você pode usar a autenticação Passwordless com qualquer fator de autenticação com base no que você tem e no que você é. Por exemplo, você pode permitir que o usuário acesse um serviço ou um aplicativo enviando um código por e-mail ou através de reconhecimento facial.

Autenticação na Auth0

Como a Auth0 é uma empresa de identidade como serviço, a autenticação está no centro de nossos serviços. Mensalmente, a Auth0 lida com 2,5 bilhões de processos de autenticação para ajudar empresas de todos os tamanhos a proteger seus sistemas. Todos os funcionários que trabalham na Auth0 estão de alguma forma envolvidos em tornar os processos de autenticação mais seguros e fáceis de implementar.

De certificados de conformidade, como ISO27001 e SOC 2 Tipo II, a recursos de segurança como detecção de senhas vazadas,, os funcionários da Auth0 trabalham 24 horas por dia para fornecer soluções de autenticação de classe mundial que atendam às necessidades de todas as empresas. Se você quiser saber mais sobre autenticação ou sobre como a Auth0 pode ajudar você a implementá-la com segurança, confira este treinamento.

Quer saber mais?

Continue lendo a Introdução ao IAM para conhecer outros tópicos sobre a Gestão de Identidades e Acesso.

Quick assessment

Por que a autenticação Passwordless é usada? (escolha todos os que se aplicam)

Quick assessment

Quais são exemplos de algo que você tem em um sistema de autenticação? (escolha todos os que se aplicam)

Comece a construir gratuitamente