Evitando a extinção com a MFA
Eu e minha família iniciamos recentemente uma rotina semanal de jantares e filmes, em que baseamos o menu do jantar nos personagens ou na ideia geral do filme. Estamos fazendo uma contagem regressiva para uma viagem em família, mas quero manter essa rotina divertida até depois da viagem. A empolgação das crianças ao escolher um envelope enquanto todos esperávamos animados para ver a qual filme assistiríamos naquela semana, e a mesma expectativa do papai e da mamãe para decidir que tipo de comida terão que preparar nos próximos dias. Ah, como as tradições familiares são divertidas… mas agora, vamos para a parte dessa história que fala sobre segurança.
Na semana passada, uma das crianças escolheu um envelope com “Jurassic World: Domínio” como filme selecionado. Minha mente foi logo para o cardápio que eu precisava montar (garras de raptor de queijo, nuggets de dinossauro, talvez asas de pterodátilo), mas imagine a minha surpresa quando começamos a assistir ao filme e eu pude ter uma ótima conversa virtual com os meus filhos, que estão cada vez mais envolvidos com a tecnologia ao seu redor, assim como muitos outros estudantes.
O que é a autenticação multifator?
Jurassic World: Domínio e segurança? Claro. Na franquia Jurassic Park, os dinossauros escapam de áreas cercadas, mas não é desse tipo de segurança que estou falando. Sem causar spoilers (espero!), há uma cena no filme em que Ian Malcom entrega seu bracelete de identificação altamente tecnológico (algo como um emblema de identificação que você usa no pulso ou, se você esteve na Disney World ultimamente, é como uma Pulseira Mágica) para a Dra. Ellie Sattler. Ellie e o Dr. Alan Grant usam aquele bracelete de identificação para entrar na área restrita do laboratório, onde acabam roubando DNA que encontram lá. E isso leva à aventura aterrorizante, mas emocionante, que é característica dos filmes da série Jurassic Park.
A questão é que, somente com o bracelete de identificação, eles conseguiram acessar a parte do laboratório que estava fechada para os visitantes. Eles não tiveram que fornecer uma impressão digital ou um código junto com o bracelete de identificação (ora, até a Disney exige a sua impressão digital ao usar uma Pulseira Mágica!). Como resultado, eles conseguem entrar e roubar uma propriedade da Biosyn.
No mundo da segurança virtual, chamamos isso de falta de autenticação multifator (ou verificação em duas etapas), também conhecida como MFA. Ao exigir apenas um tipo de identificação (nesse caso, o bracelete), a perda daquela única fonte coloca os itens protegidos em risco. Se você adicionar uma segunda (ou terceira, quarta, etc.) forma de identificação, como um código numérico, leitura de retina ou até a resposta a uma pergunta, então terá a autenticação multifator e a perda de uma delas não é mais tão arriscada quanto antes.
Como a autenticação multifator funciona?
Você já deve ter usado a autenticação multifator no seu dia a dia sem nem perceber. Ao se conectar ao seu banco para fazer operações bancárias on-line, por exemplo, você pode inserir seu ID de usuário (ou o número da conta) e uma senha (ou código numérico). Mas se você for questionado devido ao site não reconhecer o seu dispositivo, isso é uma forma de MFA. Um dispositivo registrado, como um telefone ou computador pessoal, age como a segunda forma de autenticação nesse caso.
A MFA é uma abordagem em camadas para a proteção de dados ou aplicações, em que um sistema exige que o usuário apresente duas ou mais credenciais para verificar sua identidade. Essas credenciais se encaixam em uma de três categorias diferentes:
- Algo que você sabe – como uma senha ou a resposta a uma pergunta de segurança pessoal
- Algo que você tem – como um dispositivo físico, um token de hardware, emblema de identificação ou uma resposta em uma aplicação em seu smartphone
- Algo que você é – como uma impressão digital ou leitura da retina
No caso do banco on-line, o dispositivo registrado fica na categoria “algo que você tem”.
Porém, é importante entender que a mera combinação de verificações não constitui uma autenticação multifator. Essa combinação precisa incluir itens de categorias diferentes. Então, digitar uma senha e responder a uma pergunta de segurança não se qualifica como autenticação multifator, pois ambas contam como “algo que você sabe”. Inserir uma senha e ser questionado sobre um código único exibido em um aplicativo no seu celular se qualifica como autenticação multifator, pois cobre as categorias “algo que você sabe” e “algo que você tem”, respectivamente.
Tipos de autenticação multifator
Embora haja vários tipos de autenticação multifator, alguns dos mais comuns incluem adicionar um dos seguintes a uma senha ou código numérico de uma conta:
- Notificação push por meio de uma aplicação de autenticação reconhecida
- Senha de uso único (código único exibido para você usar uma vez e somente disponível por um método de comunicação exclusivo para você, como uma conta de e-mail, mensagem de texto no seu celular ou pela sua aplicação móvel)
- Token de dois fatores (token físico que você conecta ou usa para obter um código)
- Biometria (como impressão digital, verificação facial ou leitura de retina)
Então, por que isso é tão importante? Se a Biosyn exigisse a verificação facial após o uso do emblema de identificação, Ellie e Alan não teriam conseguido entrar na parte restrita do laboratório. Se um agente malicioso roubar seu nome de usuário e senha, não poderá avançar em sistemas que exijam a entrada de um código exclusivo que foi enviado ao seu celular.
A repetição da MFA é essencial
Muitos sistemas agora oferecem MFA aos seus usuários. Embora nas primeiras vezes possa parecer um passo a mais no processo, a realidade é que, quanto mais você usa, melhor a sua memória muscular fica, e logo isso deixa de parecer algo extra. Esse pequeno passo para adicionar um método de verificação extra pode ser a diferença entre permitir que os paleontólogos acessem seu laboratório secreto de insetos ou deter o avanço deles. Obviamente, em Jurassic World: Domínio, foi bom para os heróis que o laboratório não estivesse usando MFA. Mas não vamos inverter o jogo e tornar isso favorável aos criminosos virtuais, deixando de ativar essa opção quando ela nos for oferecida.
A MFA é uma medida de segurança digital básica a ser seguida.
A autenticação multifator pode parecer difícil, mas assim como o uso do banco on-line, depois que você a incorpora à sua vida digital, ela se torna parte do processo e pode ser uma das formas mais simples e básicas de aumentar sua segurança digital. Lembre-se: é fácil se manter seguro on-line… você só precisa saber quais etapas básicas deve incorporar.
Se você decidir começar uma tradição de jantares e filmes com a sua família (eu recomendo! e tenho muitos cardápios de filmes para compartilhar, se você quiser), comece com Jurassic World: Domínio e converse sobre como a MFA pode impedir que outras pessoas usem a sua identidade. Que outros filmes você acha que poderíamos acrescentar ao calendário? Tem algum outro filme legal para ensinar temas de segurança cibernética para a família?