MFA Autenticação Multi-Fator.

MFA é o requisito de que a autenticação utilize dois ou mais fatores de categorias distintas (conhecimento, posse, inerência). Nem todos os MFA são equivalentes: códigos por SMS e e-mail são suscetíveis a phishing, as notificações push provocam fadiga de aprovação, e os tokens de hardware e passkeys são as formas robustas. NIS 2 e DORA impõem MFA "forte" nos acessos críticos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

MFA é o requisito de que a autenticação utilize dois ou mais fatores de categorias distintas (conhecimento, posse, inerência). Nem todos os MFA são equivalentes: códigos por SMS e e-mail são suscetíveis a phishing, as notificações push provocam fadiga de aprovação, e os tokens de hardware e passkeys são as formas robustas. NIS 2 e DORA impõem MFA "forte" nos acessos críticos.

O que conta como fator, e por que isso importa

A autenticação multifator exige duas ou mais provas de identidade extraídas de categorias diferentes, de modo que comprometer uma não entregue a conta a um atacante. As três categorias clássicas são o conhecimento (algo que você sabe, como uma senha ou um PIN), a posse (algo que você tem, como um telefone, uma chave de segurança ou um cartão inteligente) e a inerência (algo que você é, como uma impressão digital ou o rosto). A palavra decisiva aqui é diferentes. Duas senhas não constituem autenticação multifator, porque pertencem à mesma categoria e caem diante dos mesmos ataques. Uma senha mais um código de um dispositivo separado, sim, porque agora um atacante precisa vencer dois controlos independentes ao mesmo tempo.

É também aqui que a MFA e a gestão de identidades se encontram. A MFA reforça apenas a etapa de autenticação, o momento em que um utilizador prova quem é. Não diz nada sobre o que esse utilizador está depois autorizado a fazer, o que é a autorização, nem sobre o aprovisionamento, o desaprovisionamento ou as revisões de acesso. Trate a MFA como uma camada reforçada dentro de um programa de IAM mais amplo, não como um substituto do menor privilégio ou da limpeza de contas órfãs.

Nem toda MFA é igual

A constatação mais importante para o profissional é que a MFA existe num espectro de robustez, e a diferença não é cosmética. Os códigos de utilização única por SMS e por e-mail são melhores do que uma senha sozinha, mas são suscetíveis a phishing: uma página de início de sessão falsa e convincente simplesmente pede à vítima que digite o código, e um atacante retransmite-o em tempo real. O SIM swapping agrava ainda mais o SMS.

As aprovações por notificação push acrescentam um toque, mas convidam à fadiga de MFA, em que um atacante que já possui a senha inunda o utilizador com pedidos de aprovação até que um utilizador cansado aceite um. As formas robustas são fatores de posse ligados ao site legítimo: chaves de segurança físicas e passkeys construídas sobre FIDO2 e WebAuthn. Como a credencial está ligada criptograficamente ao domínio real, não revela nada a uma página que imita o original. É essa propriedade que se entende por MFA resistente ao phishing.

Métodos de MFA segundo a resistência a ataques comuns
MétodoCategoriaResistente ao phishingFraqueza típica
Código por SMS ou e-mailPosse (fraca)NãoRetransmitido em páginas falsas, SIM swap
Aplicação de autenticação TOTPPosseNãoO código pode ser obtido por phishing em tempo real
Aprovação por pushPosseNãoFadiga de MFA e aprovação acidental
Chave física (FIDO2)PosseSimCusto e logística de inscrição
Passkey (WebAuthn)Posse mais inerênciaSimRecuperação e vinculação ao dispositivo

Contexto regulamentar e normativo

A MFA passou de recomendação a expectativa em toda a regulamentação europeia de cibersegurança. A NIS 2 exige que as entidades essenciais e importantes adotem medidas de ciber-higiene e de controlo de acesso, com a autenticação multifator ou contínua explicitamente mencionada para a segurança do acesso. A DORA impõe expectativas comparáveis ao setor financeiro, onde a autenticação forte protege as funções críticas e o acesso remoto. Ambos os quadros pendem para o extremo forte do espectro em vez de tratar qualquer MFA como suficiente.

A mesma orientação aparece nas diretrizes do NIST, que favorecem os autenticadores resistentes ao phishing para acessos de alto valor, e em quadros de referência como a ISO/IEC 27001 e os CIS Controls, que tratam a MFA como uma salvaguarda fundamental do controlo de acesso.

O que os profissionais realmente fazem é fasear a implementação segundo o risco. Protegem primeiro as contas privilegiadas e administrativas, depois o acesso remoto e exposto à Internet, depois a população geral de utilizadores, e escolhem métodos resistentes ao phishing onde quer que o impacto de uma comprometimento seja elevado. Planeiam cuidadosamente a recuperação e a inscrição, uma vez que a perda de fatores representa um custo operacional real, e vigiam os padrões de fadiga e de contorno. Bem feita, a MFA retira discretamente o valor de uma senha roubada. Feita como uma caixa a assinalar, dá uma falsa sensação de segurança enquanto o canal suscetível a phishing permanece aberto.

Frequently asked questions

01Exigir duas senhas é autenticação multifator?

Não. Duas senhas são ambas fatores de conhecimento, pelo que caem diante dos mesmos ataques ao mesmo tempo. A verdadeira MFA combina fatores de categorias diferentes, por exemplo algo que você sabe mais algo que você tem ou algo que você é.

02Por que a MFA baseada em SMS é considerada fraca?

Os códigos SMS podem ser obtidos por phishing em tempo real, porque uma página de início de sessão falsa simplesmente pede à vítima que digite o código enquanto um atacante o retransmite. Os ataques de SIM swap também podem redirecionar a mensagem por completo. O SMS continua a ser melhor do que uma senha sozinha, mas não é resistente ao phishing.

03O que é a MFA resistente ao phishing?

É a autenticação em que a credencial está ligada criptograficamente ao site legítimo, de modo que não pode ser reproduzida numa página que imita o original. Na prática, isto significa chaves de segurança físicas FIDO2 e passkeys WebAuthn, que não revelam nada de útil a um domínio falso.

04O que é a fadiga de MFA?

É um ataque em que alguém que já possui uma senha válida inunda o utilizador com pedidos de aprovação push até que uma pessoa cansada ou distraída toque em aprovar. A correspondência de números e a limitação de pedidos ajudam, mas os métodos resistentes ao phishing eliminam por completo a fraqueza.

05A NIS 2 e a DORA exigem realmente a MFA?

Ambas esperam medidas fortes de controlo de acesso e de autenticação para o acesso crítico, e a autenticação multifator ou contínua faz explicitamente parte desse conjunto de ferramentas. A ênfase está em métodos fortes em vez de tratar qualquer forma de MFA como suficiente.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.