Autenticação multifator (MFA) refere-se a um método de autenticação no qual um usuário é obrigado a usar dois ou mais fatores de autenticação antes de receber acesso ao recurso solicitado. Um fator de autenticação é um mecanismo usado para realizar a autenticação, como um nome de usuário e senha, um código único, um cartão inteligente, etc. Ao implementar uma estratégia de MFA, quando um usuário faz login para usar recursos, os aplicativos, o servidor da web, etc. solicitam um segundo fator ou fatores de autenticação adicionais (daí o nome). Esses múltiplos fatores de autenticação, que podem incluir biometria como, por exemplo, reconhecimento facial, ajudam os sistemas a ter maior confiança na identidade de seus usuários. Dessa forma, o método de MFA contribui para diminuir a probabilidade de ataques de personificação e roubo de credenciais.

Você provavelmente já viu pelo menos um tipo de MFA em ação se já recebeu um código temporário enviado por SMS para o seu dispositivo móvel (ou seja, smartphone/telefone celular). A combinação tradicional de nome de usuário e senha com códigos de SMS é um exemplo de autenticação de dois fatores, um subconjunto da MFA. Por exemplo, se você tiver uma conta do Facebook ou do Google, provavelmente verá uma mensagem de um desses serviços incentivando você a ativar a autenticação de dois fatores (2FA). Se você ativou esse recurso em um deles, depois de fornecer seu nome de usuário e senha, você provavelmente receberá um código descartável temporário enviado para o seu dispositivo móvel que o serviço pediu que você inserisse para concluir o processo de autenticação. Todo o processo de login usou mais de um fator para autenticar a identidade do usuário (senha e código SMS, também conhecido como código de acesso).

Observação: se você usa login único, a autenticação multifator é altamente recomendada, pois mitiga os riscos potenciais do roubo de identidade.

Existem muitos exemplos diferentes de fatores que um sistema protegido com MFA pode usar para aumentar sua confiança na identidade de seus usuários.

• Uma senha
• Códigos temporários únicos, enviados para um aplicativo móvel
• OTP (senha de uso único) que pode ser usada com um aplicativo da web
• Autenticação biométrica na forma de uma impressão digital ou rosto de um usuário
• Códigos QR, cartão inteligente

Como existem muitos tipos diferentes de fatores disponíveis para autenticação do usuário final, os especialistas em segurança os organizaram em três categorias:

• Conhecimento: Esta categoria refere-se a fatores de autenticação em que os usuários têm que provar que sabem algo (como uma senha ou a resposta a uma pergunta de segurança – embora esta última esteja sendo usada com menos frequência, pois a busca online de dados de usuário tornou este método menos seguro).

• Posse: O fator de posse exige que os usuários provem que possuem algo (como um dispositivo móvel onde podem receber um código SMS).

• Herança: A última categoria trata de fatores em que os usuários precisam verificar sua identidade por meio de biometria (por exemplo, leitura de retina ou reconhecimento facial, ou leitura de impressão digital).

Um mecanismo que os aplicativos modernos estão começando a adotar para aumentar sua segurança é o uso de "autenticação intensificada" como um caso de uso. Esse mecanismo depende da MFA para aumentar a segurança em partes específicas de um aplicativo. Em resumo, um aplicativo solicita fatores extras aos usuários finais apenas quando eles tentam acessar recursos que são mais sensíveis do que outros.

Por exemplo, imagine um sistema que exija que os usuários se autentiquem com seu nome de usuário e senha para acessar os dados do cliente. Acessar essas informações pode ser uma tarefa comum que alguns funcionários fazem diariamente, e você pode considerar essa atividade não sensível. No entanto, você pode considerar atualizar essas informações ou acessar mais detalhes sobre os clientes (como detalhes do contrato) uma tarefa sensível que requer maior proteção. Nessa situação, usar a autenticação intensificada seria a combinação ideal. Quando os usuários clicam no botão "editar", o sistema pode solicitar outro fator para diminuir as chances de acesso não autorizado.

Esta abordagem tende a fornecer um melhor equilíbrio entre a experiência do usuário e a segurança dos dados. Ou seja, em vez de solicitar aos usuários um fator diferente a cada vez que entram, você pode deixá-los fazer o trabalho diário e proteger apenas os dados que precisam de mais proteção.

A Auth0 é uma plataforma de identidade usada por milhares de clientes em todos os setores de mercado. Ela permite centralizar a gestão de identidades para seus aplicativos e a MFA é sua essência. Ou seja, o processo de implementação da MFA com a Auth0 é fácil, consistindo em uma ou duas etapas simples:

• Em primeiro lugar, faça login no seu painel da Auth0, vá para a tela de autenticação multifator e escolha os fatores que deseja ativar. Você pode usar quantos fatores quiser simultaneamente.

• Então, dependendo dos fatores que você ativou, você pode precisar executar alguma configuração adicional. Depois disso, seus aplicativos terão maior segurança e estarão protegidos contra ameaças.

Além da autenticação multifator, a Auth0 também oferece suporte à autenticação intensificada, e o processo de ativação também é bastante simples. Para saber os detalhes sobre como usar a Auth0 para proteger seus aplicativos com esses recursos de autenticação, consulte a documentação oficial:

• Autenticação multifator na Auth0
• Autenticação intensificada

Continue lendo a Introdução ao IAM para conhecer outros tópicos sobre a Gestão de Identidades e Acesso.