# Técnicas de autenticação multifator no ADSelfService Plus

Vamos dar uma olhada nos vários métodos de autenticação suportados pelo ADSelfService Plus para autenticação multifator empresarial.

## Por que autenticação multifator?

A autenticação baseada apenas no nome do usuário e senhas não é mais considerada segura, pois o uso desse tipo de autenticação deixa os usuários vulneráveis a ameaças como ataques de força bruta e de dicionário. Para mitigar tais riscos de segurança, o ADSelfService Plus verifica as identidades do usuário utilizando autenticação multifatorial juntamente com a credencial padrão do Active Directory.

O ADSelfService Plus utiliza [autenticação multifatorial](https://www.manageengine.com/br/self-service-password/active-directory-multi-factor-authentication.html) para verificação de identidade durante:

- Logins no [Windows](https://www.manageengine.com/br/self-service-password/windows-logon-two-factor-authentication.html), [macOS](https://www.manageengine.com/br/self-service-password/endpoint-multi-factor-authentication-for-macos.html), e [Linux](https://www.manageengine.com/br/self-service-password/endpoint-multi-factor-authentication-for-linux.html) (quando o software cliente ADSelfService Plus está instalado).
- Login no portal ADSelfService Plus.
- Logins em aplicações empresariais através do [single sign-on](https://www.manageengine.com/br/self-service-password/enterprise-sso-solution.html) (SSO).
- Ações de [redefinição de senha](https://www.manageengine.com/br/self-service-password/self-service-password-reset.html) de autoatendimento ou [desbloqueio de conta](https://www.manageengine.com/br/self-service-password/self-service-account-unlock.html) do Active Directory através do portal ADSelfService, da [aplicação móvel ADSelfService Plus](https://www.manageengine.com/products/self-service-password/adselfservice-mobile-app-deployment.html) e das [telas nativas de login do Windows, macOS e Linux](https://www.manageengine.com/br/self-service-password/self-service-login-agent-for-windows-mac-os.html) (quando o software cliente ADSelfService Plus está instalado).
- [Logins em VPN](https://www.manageengine.com/br/self-service-password/multi-factor-authentication-for-secured-vpn1.html) (quando a extensão Servidor de Política de Rede está instalada).
- [Logins do Outlook na web (OWA)](https://www.manageengine.com/br/self-service-password/multi-factor-authentication-mfa-for-owa.html) (quando a extensão de autenticação multifator dos Serviços de Informações da Internet está instalada).

## Diversas técnicas de autenticação multifator disponíveis no ADSelfService Plus

1. **Chaves de acesso FIDO**: A autenticação FIDO2, desenvolvida pela Fast Identity Online (FIDO) Alliance, utiliza APIs de autenticação da Web (WebAuthn) e criptografia de chave pública para verificação de identidade. A autenticação FIDO2 não tem senha e resiste a ataques de phishing, de repetição e man-in-the-middle (MITM). Com o ADSelfService Plus você pode habilitar a [autenticação FIDO2](https://www.manageengine.com/br/self-service-password/fido2-authentication.html) para proteger as aplicações da empresa, OWA e atividades de autoatendimento baseadas na web. Os usuários podem ser autenticados com métodos sem senha como Windows Hello, Apple Touch ID, biometria do Android e chaves de segurança compatíveis com FIDO2 e U2F.

2. **Autenticação biométrica**: Usuários com dispositivos móveis Android ou iOS contendo leitor de impressão digital ou sensor facial podem usar este método para verificação de identidade. O registo é realizado utilizando a aplicação móvel ADSelfService Plus. As etapas de registo serão exibidas na guia **Registro** assim que o administrador configurar esse método. Durante o MFA os usuários devem escanear seu dedo ou face e clicar em **Aceitar** para realizar a autenticação.

3. **Autenticador YubiKey**: YubiKey é um dispositivo que utiliza códigos para autenticação multifator. O registro é realizado conectando o dispositivo YubiKey na estação de trabalho e pressionando seu botão (no caso do portal do ADSelfService Plus para o usuário final) ou tocando-o no dispositivo móvel (no caso da aplicação móvel ADSelfService Plus). Feito isso, o código é atualizado automaticamente no campo disponibilizado no ADSelfService Plus e os usuários devem seguir as mesmas etapas para verificar sua identidade durante a autenticação multifator.

4. **RSA SecurID**: RSA SecurID é outro método que utiliza senhas para autenticação multifator. Para registro, os usuários inserem a senha fornecida pelo administrador. Em seguida, para provar sua identidade, os usuários inserem uma senha de uso único gerada por:
   - Um hardware de token.
   - Aplicação móvel RSA SecurID.
   - Tokens recebidos por e-mail ou SMS.

5. **Duo Security**: Duo Security é uma solução de autenticação que utiliza métodos como:
   - Códigos de verificação baseados em SMS.
   - Verificação baseada em ligação telefônica.
   - Códigos de verificação baseados em aplicação.
   - Notificações push.

   Uma vez configurados os usuários devem inserir o código que receberão ou aceitar uma notificação para se autenticarem. Para registrar, é solicitado ao usuário mencionar qual método ele usará para a autenticação multifator.

6. **MFA do Azure AD**: As empresas com o MFA do Azure AD já ativado podem utilizar a configuração existente e permitir que os usuários se autentiquem através dos métodos de autenticação pré-registrados no Azure AD. Os métodos suportados incluem:
   - Notificações push baseadas na aplicação Microsoft Authenticator.
   - Códigos de verificação baseados na aplicação Microsoft Authenticator.
   - Verificação baseada em ligação telefônica.
   - Verificação baseada em SMS.
   - Tokens de hardware OATH usando Yubico, DeepNet Security e muito mais.

7. **RADIUS**: O RADIUS utiliza códigos para [autenticação multifator](https://www.manageengine.com/br/self-service-password/multi-factor-authentication.html). Os usuários são registrados automaticamente quando o administrador configura a autenticação RADIUS. Para a autenticação multifator, é preciso apenas inserir a senha do RADIUS fornecida pelo administrador.

8. **Google Authenticator**: Google Authenticator é uma aplicação que usa códigos temporizados para autenticação. Para verificar a identidade do usuário, a aplicação gera um código temporizado que os usuários deverão inserir para se autenticarem. Os usuários devem se registrar usando a aplicação para escanear o QR code exibido na guia Registro no portal ADSelfService do usuário final.

9. **Microsoft Authenticator**: A aplicação Microsoft Authenticator gera um código temporizado que os usuários deverão inserir para se autenticarem. Para registro, os usuários devem instalar a aplicação Microsoft Authenticator e configurá-la com o ADSelfService Plus utilizando o código de barras fornecido no portal de autoatendimento na guia Registro.

10. **Verificação baseada em SMS**: Para este método, os usuários devem inserir um código único enviado para seus dispositivos móveis para verificar suas identidades. Os administradores podem escolher o número do celular nos perfis do Active Directory dos usuários ou permitir que eles especifiquem outro número durante o registro.

11. **Verificação baseada em e-mail**: Neste método, um código único é enviado para o endereço de e-mail do usuário. Os administradores podem escolher o endereço de e-mail nos perfis do Active Directory dos usuários ou permitir que eles especifiquem outro endereço de e-mail durante o registro.

12. **Senha de uso único baseada em temporizador (TOTP)**: A autenticação baseada em TOTP também é realizada utilizando a aplicação móvel ADSelfService Plus. Após o registro, a autenticação é realizada de forma semelhante aos métodos mencionados acima: os usuários recebem uma TOTP toda vez que precisarem provar sua identidade. Eles precisam inserir o TOTP dentro de um prazo específico para se autenticarem.

13. **Autenticador TOTP personalizado**: Aplicações TOTP personalizadas utilizadas pelas empresas podem ser estendidas como um método de autenticação para o recurso de autenticação multifator do ADSelfService Plus. O processo de registro dependerá dos recursos da aplicação. Para se autenticar, os usuários devem inserir o TOTP exibido na aplicação no campo fornecido no portal do produto dentro do prazo especificado.

14. **Zoho OneAuth TOTP**: Zoho OneAuth é uma aplicação que oferece autenticação multifator e single sign-on (SSO) para contas de empresas. O recurso TOTP da aplicação pode ser aproveitado pelo ADSelfService Plus e utilizado como método de autenticação. Para registrar, os usuários precisam escanear um QR code exibido no portal do produto utilizando a aplicação Zoho OneAuth. Uma vez registrados, eles podem se autenticar inserindo o TOTP exibido na aplicação no campo fornecido no portal do produto dentro do prazo especificado.

15. **Notificações push**: As notificações push são recebidas através da aplicação móvel ADSelfService Plus instalada nos dispositivos móveis dos usuários e o registro só pode ser realizado através da aplicação móvel. As etapas são mencionadas na guia Registro após o administrador habilitar as notificações push. Uma vez registrados, os usuários recebem uma notificação que precisam aceitar para provar sua identidade.

16. **Autenticação baseada em QR code**: Quando esse método é habilitado, os usuários devem escanear o QR code exibido no portal ADSelfService Plus do usuário final utilizando a aplicação móvel ADSelfService Plus e selecionar **Aceitar** para provar sua identidade. Os usuários podem se registrar utilizando a aplicação ao seguir as etapas exibidas na guia Registro.

17. **Autenticação SAML**: Empresas que já utilizam aplicações de provedor de identidade (IdP) baseadas em SAML tais como Okta ou OneLogin podem utilizar autenticação SAML como um método para verificar a identidade de usuários. Quando a autenticação SAML está habilitada, os usuários são redirecionados para a autenticação através da URL de login do IdP somente quando realizam redefinição de senha de autoatendimento ou desbloqueio de conta no ADSelfService Plus. O registro não é necessário para este método.

18. **Autenticação via Smart Card**: Este método é aplicável somente para autenticação multifator durante logins em portais de produtos e logins em aplicações corporativas. Um usuário é autenticado após o ADSelfService Plus comparar o arquivo de certificado na máquina do usuário com o que está no AD. O registro ocorre automaticamente quando o usuário se autentica pela primeira vez.

19. **Perguntas e respostas de segurança**: Este método consiste em um conjunto de perguntas pessoais predefinidas, tal como "Qual é a sua cor favorita?". Essas perguntas podem ser configuradas por administradores ou usuários. Os usuários podem se registrar definindo perguntas e respostas personalizadas ou fornecendo respostas a perguntas definidas pelo administrador. Eles devem fornecer a resposta correta a essas perguntas durante a verificação de identidade.

20. **Perguntas de segurança baseadas no AD**: Nesse método, o administrador configura perguntas baseadas no AD que estão vinculadas a atributos existentes ou personalizados do AD, como números de CPF. Para provar sua identidade, os usuários devem inserir uma resposta que será comparada com o valor do atributo no AD para sua conta de usuário. Se eles corresponderem, o usuário é autenticado. Este método não requer registro do usuário.

### Benefícios do uso do ADSelfService Plus para autenticação multifator

- **Segurança empresarial abrangente**: Vários pontos de acesso à rede corporativa remotos e locais podem ser protegidos contra [ataques baseados em credenciais](https://www.manageengine.com/br/self-service-password/kb/security/types-of-password-attacks-and-how-to-prevent-them.html).
- **Configuração granular de recursos**: Métodos de autenticação específicos podem ser habilitados para usuários pertencentes a unidades operacionais, grupos ou domínios específicos. Alguns [endpoints](https://www.manageengine.com/br/self-service-password/endpoint-multi-factor-authentication.html) empresariais também podem ser protegidos com autenticação multifator dependendo desses critérios de usuário.
- **Conformidade regulatória**: A autenticação multifator ajuda a cumprir regulamentações tais como [GDPR](https://www.manageengine.com/br/self-service-password/gdpr-password-requirements.html), [PCI DSS](https://www.manageengine.com/br/self-service-password/pci-dss-password-policy-requirements.html), [HIPAA](https://www.manageengine.com/br/self-service-password/hipaa-password-policy-requirements.html), e Estrutura de cibersegurança [NIST](https://www.manageengine.com/br/self-service-password/nist-password-guidelines.html).
- **Autenticação sem senha**: As empresas podem [abdicar das senhas de domínio do Active Directory](https://www.manageengine.com/br/self-service-password/passwordless-authentication.html) e usar apenas a autenticação multifator para verificar as identidades dos usuários.