O que é autenticação de dois fatores (2FA)?
- Glossário do IAM
- O que é autenticação de dois fatores (2FA)?
A autenticação de dois fatores (2FA) é um processo de segurança no qual os usuários fornecem dois fatores de autenticação diferentes para verificar a própria identidade. Esse método é uma camada extra de segurança, projetada para garantir que a pessoa tentando obter acesso a uma conta online seja quem ela diz ser. O primeiro fator normalmente é uma senha ou um número de identificação pessoal (PIN) e o segundo pode variar de objetos físicos (como um cartão inteligente ou um token de segurança) a biometria (como impressão digital ou reconhecimento facial), ou ainda um sinal de localização.
Elementos de autenticação de dois fatores
A autenticação de dois fatores (2FA) geralmente envolve a combinação de dois tipos diferentes de métodos de autenticação, dentre as categorias a seguir.
Fator de conhecimento - algo que você sabe
Pode ser uma senha, um PIN ou uma resposta a uma pergunta de segurança.
Fator de posse - algo que você tem
Pode ser um token físico, como um cartão inteligente ou uma chave de segurança USB, ou um token virtual gerado por um aplicativo autenticador no smartphone de um usuário. Esses tokens virtuais são chamados de senhas de uso único (OTPs) ou senhas de uso único baseadas em tempo (TOTPs).
Fator biométrico - algo que você é
Informações de biometria, como impressão digital, reconhecimento facial ou leitura de íris.
Fator de localização - algum lugar onde você esteja
Sua localização geográfica. Alguns aplicativos e serviços podem ser acessados apenas por usuários dentro de uma localização geográfica específico. Esse fator de autenticação específico é usado com frequência em ambientes de segurança de confiança zero.
Autenticação de dois fatores (2FA) versus autenticação multifator (MFA): qual é a diferença?
A autenticação de dois fatores (2FA) é um processo de segurança que combina dois fatores de autenticação diferentes. Em contraste, a autenticação multifator (MFA) utiliza dois ou mais fatores de autenticação, oferecendo um nível mais alto de segurança. Simplificando, a 2FA é um tipo de MFA, e a MFA pode exigir mais etapas de autenticação do que a 2FA para aprimorar ainda mais a segurança. Para obter mais detalhes, confira este artigo.
Autenticação de dois fatores versus verificação em duas etapas: qual é a diferença?
A autenticação de dois fatores (2FA) exige que um usuário forneça dois tipos distintos de credenciais de autenticação para verificar sua identidade. Essas credenciais são derivadas de algo que o usuário sabe (como uma senha), algo que o usuário possui (como um smartphone) ou um aspecto intrínseco da biometria do usuário (como uma impressão digital). Assim, a 2FA exige a utilização de duas camadas de segurança completamente separadas, aprimorando a segurança do processo de autenticação. Consequentemente, mesmo que uma credencial seja comprometida, a segunda permanece preservada para proteger a conta.
Por outro lado, a verificação em duas etapas (também conhecida como autenticação em duas etapas) envolve um procedimento que exige do usuário a conclusão de duas fases distintas para confirmar sua identidade. Reconhecidamente, essas fases podem não exigir tipos diferentes de credenciais de autenticação. Por exemplo: a etapa inicial pode envolver inserir uma senha, seguida pelo uso de um código temporário enviado ao telefone celular do usuário na etapa posterior. O aspecto essencial da verificação em duas etapas é a exigência de duas ações separadas, que não precisam envolver tipos diferentes de credenciais de autenticação.
| Recurso | Autenticação de dois fatores (2FA) | Verificação em duas etapas (2SV) |
|---|---|---|
| Definição | Exige dois tipos diferentes de fatores de autenticação. | Exige duas etapas de verificação, que podem ser com os mesmos tipos de fatores ou com tipos diferentes. |
| Fatores de autenticação | Usa dois fatores diferentes: algo que você sabe (senha), algo que você possui (token de segurança, telefone) ou algo que você é (verificação biométrica). | Pode usar duas instâncias do mesmo tipo de fator (por exemplo, uma senha seguida de um código enviado por SMS) ou tipos diferentes. |
| Nível de segurança | Geralmente considerada mais segura por exigir do usuário dois tipos diferentes de evidência, dificultando acessos não autorizados. | Fornece segurança adicional para uma única senha, mas pode ser menos segura do que a 2FA se as duas etapas usarem fatores semelhantes. |
Métodos de autenticação para 2FA
Existem vários métodos para implementar a autenticação de dois fatores (2FA), e eles são selecionados com base nas necessidades e nos requisitos de segurança do usuário. Veja abaixo alguns métodos comuns de 2FA.
1. Autenticação por SMS
Na autenticação por SMS, quando um usuário tenta fazer login, um código de autenticação temporário é enviado do servidor para o telefone celular dele. O usuário precisa inserir esse código de autenticação durante o processo de login. A vantagem desse método é que ele pode ser implementado com facilidade, já que a maioria dos usuários tem um telefone celular. Mas existem riscos de segurança, como a interceptação de mensagens SMS e ataques de troca de cartão SIM. Portanto, esse método não é recomendado se houver outras opções disponíveis.
2. Aplicativos de autenticação
O uso de aplicativos de autenticação (por exemplo: determinados gerenciadores de senhas, Google Authenticator, Authy) na 2FA é mais seguro do que a autenticação por SMS. Nesse método, os usuários geram um código de autenticação temporário usando um aplicativo de autenticação em seus smartphones. Na hora do login, esse código precisa ser inserido. O código de autenticação muda em intervalos de poucos segundos, o que aumenta a segurança. Além disso, esse método não exige conexão com a internet; logo, pode ser usado em ambientes offline.
3. Chaves de segurança físicas
O uso de chaves de segurança físicas (por exemplo, YubiKey) permite que os usuários façam autenticação conectando dispositivos USB ou NFC específicos ao computador ou smartphone. Esse método é considerado muito forte contra ataques de phishing. Como a chave de segurança é um objeto pessoal físico, ela reduz efetivamente o risco de acessos não autorizados; mas o risco de perder a chave também precisa ser considerado.
4. Autenticação biométrica
A autenticação biométrica usa as informações biométricas do usuário, como impressões digitais, reconhecimento facial ou reconhecimento de íris, para fazer autenticação. Esse método é muito conveniente para os usuários e fornece alta segurança. A autenticação biométrica é amplamente compatível com dispositivos móveis e também com alguns dos computadores mais recentes. Porém, como informações biométricas não podem ser alteradas, o risco de vazamento de informações também deve ser considerado.
