Como os aplicativos de autenticação aprimoram a segurança

Desde o surgimento da segurança de identidade e da autenticação multifator (MFA), especialistas desenvolveram diversos métodos para verificar a identidade dos usuários. Ao longo dos anos, com o aumento das ameaças às identidades dos usuários, os mecanismos de segurança utilizados para autenticação também evoluíram.

De métodos básicos como senhas a métodos avançados como chaves FIDO2 e biometria, as organizações hoje empregam diferentes métodos de autenticação para implementar o MFA no Windows e em outros endpoints críticos. Desenvolvimentos recentes, como a autenticação baseada em risco, reforçaram ainda mais a segurança de identidade e acesso, garantindo, ao mesmo tempo, a produtividade ininterrupta dos usuários.

Mas nem todos os métodos de autenticação são iguais. A tecnologia empregada por alguns métodos para validar a identidade do usuário pode ser suscetível a ataques e tentativas de burlá-los. Por exemplo, uma senha — o método de autenticação mais rudimentar, porém amplamente utilizado — é vulnerável a várias formas de ataque, como ataques de força bruta, ataque de pulverização de senhas e keylogging .

Da mesma forma, perguntas e respostas de segurança podem falhar contra impostores maliciosos que possuam conhecimento das informações pessoais do usuário. Embora tenha sido popular por um tempo, a autenticação via SMS é vulnerável a ataques de troca e interferência de SIM. Códigos de verificação por e-mail também não estão isentos de riscos.

Por outro lado, existem técnicas de autenticação que resistem bem a ataques. Os aplicativos de autenticação são um desses métodos.

O que são aplicativos autenticadores e como eles funcionam?  

Os aplicativos de autenticação são plataformas de verificação de identidade criadas para dispositivos móveis. Eles adicionam etapas extras de autenticação para criar fluxos de MFA (autenticação multifator) seguros para acesso a endpoints e recursos de rede. Exemplos populares incluem Google Authenticator, Microsoft Authenticator, Authy e Duo Mobile. A maioria está disponível gratuitamente para os usuários e geralmente é desenvolvido para funcionar em diversos tipos de dispositivos móveis e sistemas operacionais.

Esses aplicativos oferecem principalmente senhas de uso único baseadas em tempo (TOTPs) como método de autenticação. Durante a configuração, o usuário configura o aplicativo escaneando um QR code exibido no cliente. Nesse processo, uma chave privada é compartilhada entre o cliente e o aplicativo de autenticação. Os TOTPs são então gerados com base nessa chave compartilhada e na hora do dispositivo. Eles são usados para verificar a identidade do usuário, sendo que cada código permanece válido apenas por um curto período antes de um novo ser gerado.

 Aqui está como uma tentativa de autenticação típica é tratada por uma aplicação de autenticação:

  • O usuário acessa o console de login do endpoint e inicia a autenticação.

  • Dependendo da política de autenticação da organização, o usuário pode ter que concluir a primeira etapa de autenticação.

  • Se a autenticação for bem-sucedida, o usuário será solicitado a inserir o código TOTP exibido no aplicativo de autenticação designada pela organização.

  • O usuário acessa o aplicativo, identifica o TOTP e o insere no console de login do endpoint dentro do tempo estipulado.

  • Se o TOTP estiver correto, o usuário é autenticado.

  • Dependendo da política, eles podem completar mais etapas de autenticação ou podem fazer login no endpoint.

Os aplicativos de autenticação geralmente fornecem códigos de backup para quando o usuário não consegue o acessar ou o seu dispositivo móvel; no entanto, os usuários precisam gerar esses códigos antes de precisarem autenticar sua identidade sem a aplicação ou dispositivo.

Por que os aplicativos de autenticação são mais seguros do que outros métodos?  

Eles têm uma vantagem sobre outros métodos de verificação de identidade — como senhas, códigos de verificação via SMS e e-mail, perguntas e respostas de segurança e notificações push — pelos seguintes motivos:

  • Desafio-resposta dinâmico: os aplicativos de autenticação geram senhas de uso único e com prazo de validade curto (geralmente 30 segundos). Isso dificulta a reutilização dos códigos por invasores, mesmo se interceptados.

  • Envolvimento do usuário: os TOTPs exigem que os usuários estejam atentos e insiram a senha corretamente. Os usuários não podem ser negligentes ou responder acidentalmente ao desafio proposto, como no caso das notificações push.

  • Acesso offline: os aplicativos de autenticação não exigem conexão com a internet para gerar códigos após a configuração. Isso reduz a superfície de ataque em comparação com outros métodos, como códigos de verificação via SMS e e-mail.

  • Tecnologia segura: após a configuração, a chave compartilhada nunca é transmitida entre o cliente final e o dispositivo móvel, dificultando a interceptação e obtenção por invasores.

  • Acesso contínuo: os aplicativos de autenticação permitem sincronizar sua chave compartilhada com segurança em vários dispositivos. Isso garante que você possa acessar suas contas mesmo se perder ou trocar de dispositivo.

  • Criptografia robusta: os aplicativos usam técnicas de criptografia fortes para armazenar as chaves secretas com segurança em seu dispositivo, protegendo-os contra acesso não autorizado.

Incorpore aplicativos de autenticação para uma segurança de identidade abrangente  

Para maximizar os benefícios que os aplicativos de autenticação oferecem, é fundamental incorporá-los a uma política holística de segurança de identidade.

O ManageEngine ADSelfService Plus — uma solução de segurança de identidade com recursos de MFA, SSO e gerenciamento de senhas em regime de autoatendimento — ajuda a alcançar esse objetivo. O ADSelfService Plus oferece MFA em endpoints para proteger logins em máquinas locais e remotas, SSO em aplicações corporativas, acesso VPN e logins do OWA. A solução é compatível com os seguintes aplicativos de autenticação para MFA:

  • Google Authenticator

  • Microsoft Authentocator

  • Zoho OneAuth

  • Duo Security

Além delas, a solução também oferece suporte à integração de qualquer provedor TOTP personalizado ou interno. Ao escolher o ADSelfService Plus, você pode criar uma política de autenticação eficaz que aproveita ao máximo o aplicativo de autenticação desejada, com os seguintes recursos:

  • Autenticação multifator offline para logins em máquinas Windows e macOS, e ações periféricas do Windows, como prompts de UAC e desbloqueio do sistema.

  • Possibilidade de configurar políticas de MFA com camadas adicionais de autenticação, além de nome de usuário e senha.

  • Autenticação sem senha para acesso SSO a aplicações corporativas baseadas em SAML, OAuth e OIDC.

  • Habilitação granular de autenticadores específicos para grupos e UOs (Unidades Organizacionais) do Active Directory.

  • MFA adaptativa que pode reforçar ou flexibilizar os fluxos de autenticação com base em fatores de risco como horário de acesso, endereço IP, geolocalização e dispositivo utilizado.

Para conhecer melhor os recursos de segurança de identidade do ADSelfService Plus, solicite sua avaliação gratuita de 30 dias aqui.

Artigo traduzido. Conteúdo original escrito por Dheebtha.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.