A Autenticação Multifator (MFA) é a porta de entrada para um futuro sem senhas?

A última década nos deu um grande choque de realidade para a segurança cibernética: as senhas estão se tornando ultrapassadas. Foi-se o tempo em que os usuários, no conforto do escritório, podiam acessar redes organizacionais digitando apenas uma palavra ou frase.

Ataques visando a autenticação baseada em senha, combinados com a obrigação para os usuários de lembrarem suas senhas ou frases, expuseram várias brechas de segurança em sistemas de autenticação baseados em senha. A experiência do usuário repleta de atritos levou as empresas a buscarem melhores alternativas que possam fortalecer suas redes híbridas de maneira descomplicada.

A fim de reduzir a dependência de credenciais baseadas em conhecimento, as organizações recorreram à incorporação de fatores personalizados em seus procedimentos de verificação, levando ao surgimento da autenticação de múltiplos fatores (MFA). Ao autenticar em um recurso, o MFA solicita ao usuário uma janela de autenticação adicional que requer as seguintes credenciais:

  • Fatores de inerência: que incluem informações comportamentais, como pressão das teclas, ou informações biométricas, como impressões digitais, padrão de retina, mapeamento facial ou reconhecimento de voz.

  • Fatores de posse: tais como senhas de uso único ou PINs temporários.

  • Magic links: o usuário receberá um e-mail contendo um link que concede acesso à rede.

Essas solicitações são entregues aos usuários via notificações push. Ao usar o MFA, uma rede pode autenticar usando um fator adicional que é exclusivo para o usuário sem ter que ultrapassar os limites de sua privacidade.

O MFA, com a autenticação de dois fatores sendo a ferramenta popular em uso, é visto como um método altamente adequado para autenticar usuários diante de um cenário de ameaças crescente, pois diminui a possibilidade de lacunas de segurança trazidas pela autenticação baseada em senha. Apesar de trazer um rigor adicional, o MFA tem sua própria parcela de vulnerabilidades que são propensas a exploração.

Por que o MFA não é à prova de vulnerabilidades?

O MFA pode levar usuários e redes a muitas armadilhas de segurança que podem colocar em perigo as infraestruturas de rede.

Intercepção de senhas: o MFA faz uso de fatores de posse, como OTPs e outras senhas temporárias, que são enviadas para o dispositivo pessoal ou de trabalho de um usuário. Ao usar SMS como um meio de enviar senhas exclusivas, os sistemas de autenticação correm o risco de serem interceptados por atores mal-intencionados devido ao protocolo SS7, uma estrutura de telecomunicações que facilita a comunicação baseada em SMS e outros serviços que conectam redes móveis em todo o mundo.

Redes que utilizam o protocolo SS7 foram sujeitas a vários ataques de espionagem. Enquanto as redes móveis continuarem a alavancar o SS7, os dispositivos estarão propensos a ameaças que exploram vetores de ataque cruzados entre protocolos. Além dos ataques SS7, os invasores podem obter as senhas por meio de SIM swapping, o que permite a falsificação das informações do cartão SIM de uma vítima através de seu número de telefone.

Ataques de malware: uma das instâncias mais significativas que envolveu código malicioso para comprometer o MFA é o Cerberus, o malware bancário cujas funcionalidades de trojan de acesso remoto (RAT) permitiram que os invasores roubassem os códigos de 2FA das vítimas do Google Authenticator em dispositivos Android. Ao obterem os códigos, os invasores ganharam acesso não autorizado às informações pessoais e aos processos mantidos pelo dispositivo móvel da vítima.

Ataques de push: Também referidos como ataques de notificação push, ataques de fadiga de push e ataques de solicitação de MFA, esta técnica de engenharia social envolve invasores imitando o recurso de notificação push do MFA nos dispositivos da vítima. Isso é seguido pelo spam de solicitações para as vítimas até que elas cedam e ofereçam suas credenciais. Muito parecido com a força bruta, os ataques de fadiga de push são executados em volumes mais altos, pois seu sucesso depende da probabilidade da vítima clicar na notificação. De acordo com o Relatório de Segurança Sem Senha de 2022 da HYPR e Cybersecurity Insiders, os ataques de fadiga de push cresceram 33% desde o ano passado, tornando-se um adversário que não pode ser ignorado.

Pass-the-cookie: semelhante a um ataque pass-the-hash no Active Directory (AD), esta técnica explora informações de artefatos criadas após a rede abrir uma sessão via MFA. Para que os usuários não sejam solicitados novamente a fornecer fatores baseados em conhecimento em sessões subsequentes, a memória cache e os cookies mantêm suas credenciais (como nomes de usuário e senhas). Essas informações são criptografadas para o usuário usando a Data Protection API (DPAPI). No entanto, tais informações podem ser comprometidas quando um invasor extrai os cookies de sessão executando comandos maliciosos no computador da vítima.

Etapas para proteger o MFA

Assim como qualquer componente de segurança, o MFA tem seu próprio conjunto de imperfeições e pode ser propenso a manipulação. Mas essas vulnerabilidades não devem impedir sua implementação. Em vez disso, etapas de mitigação podem ser tomadas para garantir que a superfície de ataque em torno dos sistemas de MFA seja minimizada. Algumas das poucas etapas acionáveis para proteger o MFA incluem:

Reautenticar a identidade do usuário: para tornar os cookies relacionados à sessão redundantes, o MFA não deve permitir a retenção das credenciais de um usuário após a abertura de uma sessão. Políticas rigorosas são necessárias para garantir que os cookies sejam limpos regularmente.

Evite MFA baseado em SMS: com os fluxos de autenticação baseados em SMS provando ser vulneráveis a ataques, as soluções devem fazer uso ideal de dispositivos de segurança de hardware, como smart cards, YubiKeys e outras chaves U2F que aderem a protocolos de padrão aberto como o FIDO2.

Ofuscação: a ideia de 'proteção de dados por design' deve ser mantida em mente antes de desenvolver ou implementar soluções de MFA. A ofuscação, que se refere à criptografia de código sensível, deve ser realizada em uma fase de desenvolvimento para que a exibição da aplicação se torne sem sentido para os invasores. Isso reduz as chances de engenharia reversa das janelas do MFA.

Fortaleça a segurança de dados: criptografar conjuntos de dados associados a soluções de MFA, que incluem APIs, preferências de aplicação, bibliotecas e informações de metadados, deve ser de prioridade máxima.

Embora o MFA seja uma ferramenta do presente, organizações e padrões abertos começaram a gravitar em direção a soluções de autenticação sem senha. Com um valor estimado de US$ 12,79 bilhões em 2021, o mercado global de autenticação sem senha deve atingir US$ 53,64 bilhões entre 2022 e 2030, com uma taxa composta de crescimento anual (CAGR) de 16,7%.

Um mundo sem senhas ou MFA

O advento da autenticação biométrica abriu um mundo de possibilidades, no qual os usuários podem ser verificados sem a intervenção de uma coleção de strings, ou qualquer credencial adquirida. Em um passo importante para impulsionar a autenticação sem senha, vários líderes de TI se reuniram em 2012 para formar a aliança Fast IDentity Online (FIDO). De acordo com seu site, os protocolos FIDO "usam técnicas padrão de criptografia de chave pública para fornecer uma autenticação mais forte".

O FIDO2 usa chaves públicas e privadas para autenticar e proteger as identidades dos usuários. Quando o dispositivo cliente de um usuário verifica sua identidade em uma plataforma compatível com FIDO, o servidor cria um par de autenticação que consiste na chave pública e na chave privada. Enquanto o usuário recebe a chave pública, a chave privada é mantida pelo servidor. Subsequentemente, quando o usuário faz logon na plataforma após fornecer um nome de usuário e senha, a plataforma solicita ao usuário que assine um desafio. O dispositivo cliente usa a chave pública para assinar o desafio e ganhar acesso.

Adotando o melhor dos dois mundos

Atualmente, a transição do MFA para o sem senha deve ser acompanhada por várias mudanças, como reduzir a dependência da entrega de SMS através da geração de códigos localmente. Ao fazer o uso ideal dos padrões FIDO2 e credenciais personalizadas, as organizações podem vivenciar uma transição mais suave entre os dois mecanismos de autenticação.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.
Importante: a ManageEngine não trabalha com distribuidores no Brasil.

Artigo traduzido. Conteúdo original escrito por Shreya Iyer.