No RCTS CERT a Segurança é a prioridade e é essencial para o bom desempenho dos serviços da nossa instituição. A Autenticação de dois Fatores (2FA) é o processo de autenticação em que dois de três possíveis fatores de autenticação são combinados.
Os 3 possíveis fatores de autenticação são:
- Algo que o utilizador sabe, como por exemplo uma password, um número de identificação pessoal (código PIN) ou a resposta a uma pergunta secreta.
- Algo que o utilizador tem, como por exemplo um smartphone ou um dispositivo USB.
- Algo que o utilizador é, como por exemplo reconhecimento de rosto ou voz ou impressão digital.
Ainda que se implementem as melhores práticas de políticas de palavra-passe, existe sempre o risco destas serem descobertas. E é neste contexto que a tecnologia 2FA vem reforçar significativamente a segurança na autenticação dos utilizadores ao adicionar um segundo fator de autenticação às credenciais baseadas apenas no nome de utilizador e palavra-passe.
À medida que diversos websites, serviços e empresas disponibilizam esta tecnologia, esta protecção adicional começa a tornar-se mais comum. Ainda que inicialmente fosse apenas uma sugestão, hoje em dia a tendência é para que se torne quase obrigatória, em função das ciberameaças persistentes com origem em qualquer ponto do planeta.
A resistência para adotar a tecnologia 2FA nas empresas começa a dissipar-se e são cada vez mais as que a adotam minimizando assim os riscos de segurança para a sua infraestrutura e para os seus serviços.
Esta camada adicional de segurança protege os utilizadores, mesmo que as suas credenciais tenham sido comprometidas, através de um código ou password temporária e de utilização única gerada localmente, numa app do smartphone ou enviada através de SMS ou email. Outros métodos podem incluir o envio de uma “Push Notification” (mensagem enviada para o smartphone onde o utilizador simplesmente aprova ou nega o acesso) ou a utilização de um “hard-token”.
Qualquer que seja a solução de 2FA desenhada, ela deve ser simples e fácil de utilizar, de forma a evitar a resistência na sua implementação.
Esta é uma tecnologia muito importante no panorama da cibersegurança, sobretudo numa altura em que o trabalho em mobilidade está a contribuir para o aumento do ciber-risco nas empresas e entre os seus utilizadores.
A tecnologia 2FA deve ser usada em transações bancárias via internet, compras on-line (Amazon, PayPal, Google Play), E-mail (Gmail, Microsoft, Yahoo, Outlook) Contas de cloud (Apple, Dropbox,), redes sociais (Facebook, Instagram, Linkedin, Tumblr, Twitter, snapchat), aplicações de produtividade (Evernote, Trello), Aplicações de comunicação (Skype, Slack). Sobretudo esta tecnologia deve ser usada também quando se acede a VPNs empresariais, pois naturalmente esse acesso possibilitará um posterior acesso a outros recursos, e é crucial que esse acesso não dependa unicamente de uma palavra-passe.