A perspetiva da Cyber Academy
MFA é o requisito de que a autenticação utilize dois ou mais fatores de categorias distintas (conhecimento, posse, inerência). Nem todos os MFA são equivalentes: códigos por SMS e e-mail são suscetíveis a phishing, as notificações push provocam fadiga de aprovação, e os tokens de hardware e passkeys são as formas robustas. NIS 2 e DORA impõem MFA "forte" nos acessos críticos.
O que conta como fator, e por que isso importa
A autenticação multifator exige duas ou mais provas de identidade extraídas de categorias diferentes, de modo que comprometer uma não entregue a conta a um atacante. As três categorias clássicas são o conhecimento (algo que você sabe, como uma senha ou um PIN), a posse (algo que você tem, como um telefone, uma chave de segurança ou um cartão inteligente) e a inerência (algo que você é, como uma impressão digital ou o rosto). A palavra decisiva aqui é diferentes. Duas senhas não constituem autenticação multifator, porque pertencem à mesma categoria e caem diante dos mesmos ataques. Uma senha mais um código de um dispositivo separado, sim, porque agora um atacante precisa vencer dois controlos independentes ao mesmo tempo.
É também aqui que a MFA e a gestão de identidades se encontram. A MFA reforça apenas a etapa de autenticação, o momento em que um utilizador prova quem é. Não diz nada sobre o que esse utilizador está depois autorizado a fazer, o que é a autorização, nem sobre o aprovisionamento, o desaprovisionamento ou as revisões de acesso. Trate a MFA como uma camada reforçada dentro de um programa de IAM mais amplo, não como um substituto do menor privilégio ou da limpeza de contas órfãs.
Nem toda MFA é igual
A constatação mais importante para o profissional é que a MFA existe num espectro de robustez, e a diferença não é cosmética. Os códigos de utilização única por SMS e por e-mail são melhores do que uma senha sozinha, mas são suscetíveis a phishing: uma página de início de sessão falsa e convincente simplesmente pede à vítima que digite o código, e um atacante retransmite-o em tempo real. O SIM swapping agrava ainda mais o SMS.
As aprovações por notificação push acrescentam um toque, mas convidam à fadiga de MFA, em que um atacante que já possui a senha inunda o utilizador com pedidos de aprovação até que um utilizador cansado aceite um. As formas robustas são fatores de posse ligados ao site legítimo: chaves de segurança físicas e passkeys construídas sobre FIDO2 e WebAuthn. Como a credencial está ligada criptograficamente ao domínio real, não revela nada a uma página que imita o original. É essa propriedade que se entende por MFA resistente ao phishing.
| Método | Categoria | Resistente ao phishing | Fraqueza típica |
|---|---|---|---|
| Código por SMS ou e-mail | Posse (fraca) | Não | Retransmitido em páginas falsas, SIM swap |
| Aplicação de autenticação TOTP | Posse | Não | O código pode ser obtido por phishing em tempo real |
| Aprovação por push | Posse | Não | Fadiga de MFA e aprovação acidental |
| Chave física (FIDO2) | Posse | Sim | Custo e logística de inscrição |
| Passkey (WebAuthn) | Posse mais inerência | Sim | Recuperação e vinculação ao dispositivo |
Contexto regulamentar e normativo
A MFA passou de recomendação a expectativa em toda a regulamentação europeia de cibersegurança. A NIS 2 exige que as entidades essenciais e importantes adotem medidas de ciber-higiene e de controlo de acesso, com a autenticação multifator ou contínua explicitamente mencionada para a segurança do acesso. A DORA impõe expectativas comparáveis ao setor financeiro, onde a autenticação forte protege as funções críticas e o acesso remoto. Ambos os quadros pendem para o extremo forte do espectro em vez de tratar qualquer MFA como suficiente.
A mesma orientação aparece nas diretrizes do NIST, que favorecem os autenticadores resistentes ao phishing para acessos de alto valor, e em quadros de referência como a ISO/IEC 27001 e os CIS Controls, que tratam a MFA como uma salvaguarda fundamental do controlo de acesso.
O que os profissionais realmente fazem é fasear a implementação segundo o risco. Protegem primeiro as contas privilegiadas e administrativas, depois o acesso remoto e exposto à Internet, depois a população geral de utilizadores, e escolhem métodos resistentes ao phishing onde quer que o impacto de uma comprometimento seja elevado. Planeiam cuidadosamente a recuperação e a inscrição, uma vez que a perda de fatores representa um custo operacional real, e vigiam os padrões de fadiga e de contorno. Bem feita, a MFA retira discretamente o valor de uma senha roubada. Feita como uma caixa a assinalar, dá uma falsa sensação de segurança enquanto o canal suscetível a phishing permanece aberto.
Frequently asked questions
01Exigir duas senhas é autenticação multifator?
Não. Duas senhas são ambas fatores de conhecimento, pelo que caem diante dos mesmos ataques ao mesmo tempo. A verdadeira MFA combina fatores de categorias diferentes, por exemplo algo que você sabe mais algo que você tem ou algo que você é.
02Por que a MFA baseada em SMS é considerada fraca?
Os códigos SMS podem ser obtidos por phishing em tempo real, porque uma página de início de sessão falsa simplesmente pede à vítima que digite o código enquanto um atacante o retransmite. Os ataques de SIM swap também podem redirecionar a mensagem por completo. O SMS continua a ser melhor do que uma senha sozinha, mas não é resistente ao phishing.
03O que é a MFA resistente ao phishing?
É a autenticação em que a credencial está ligada criptograficamente ao site legítimo, de modo que não pode ser reproduzida numa página que imita o original. Na prática, isto significa chaves de segurança físicas FIDO2 e passkeys WebAuthn, que não revelam nada de útil a um domínio falso.
04O que é a fadiga de MFA?
É um ataque em que alguém que já possui uma senha válida inunda o utilizador com pedidos de aprovação push até que uma pessoa cansada ou distraída toque em aprovar. A correspondência de números e a limitação de pedidos ajudam, mas os métodos resistentes ao phishing eliminam por completo a fraqueza.
05A NIS 2 e a DORA exigem realmente a MFA?
Ambas esperam medidas fortes de controlo de acesso e de autenticação para o acesso crítico, e a autenticação multifator ou contínua faz explicitamente parte desse conjunto de ferramentas. A ênfase está em métodos fortes em vez de tratar qualquer forma de MFA como suficiente.