Autenticação de um, dois e três fatores

Controlei novamente. Outra organização que pensa que dois identificadores de usuário e senhas constituem autenticação de dois fatores e atende ao requisito PCI DSS 8.3. Com toda a documentação disponível na Internet, você pensaria que este tópico seria abordado friamente. Entretanto, parece que ainda há confusão em relação ao que constitui autenticação de um, dois e três fatores, então eu pensei que levaria este tempo para explicar estes conceitos.

Deixe-nos falar sobre as definições dos três fatores de autenticação.

• Autenticação de um fator – isto é “algo que um usuário conhece”. O tipo de autenticação de um fator mais reconhecido é a senha.
• Autenticação de dois fatores – além do primeiro fator, o segundo fator é “algo que um usuário tem”. Exemplos de algo que um usuário tem são um fob que gera um código pré-determinado, um certificado digital assinado ou mesmo um biométrico, como uma impressão digital. A forma mais reconhecida de autenticação de dois fatores é o onipresente RSA SecurID fob.
• Três fatores de autenticação – além dos dois fatores anteriores, o terceiro fator é “algo que um usuário é”. Exemplos de um terceiro fator são todos biométricos, como a voz do usuário, a configuração da mão, uma impressão digital, uma varredura de retina ou similar. A forma mais reconhecida de autenticação de três factores é normalmente a varredura da retina.

O importante a notar sobre as definições acima mencionadas é que não se menciona a utilização de duas senhas ou frases, duas impressões digitais ou duas varreduras de retina. Tal uso de dois dos mesmos factores é considerado autenticação multi-factor e não está relacionado com nenhuma das definições acima mencionadas. Portanto, aqueles de vocês que estão usando dois identificadores de usuário e senhas diferentes não estão usando autenticação de dois fatores, vocês estão usando autenticação de vários fatores. O PCI DSS é muito específico no requisito 8.3 e requer autenticação de dois fatores ou melhor. Portanto, multi-factor não é aceitável.

Outra coisa a mencionar é que os puristas de segurança argumentarão que usar um biométrico para um segundo factor viola as regras do terceiro factor. No entanto, outros profissionais de segurança dizem que algo que um usuário tem ou é pode ser algo como um token ou um biométrico. A lógica deles é que um usuário tem uma impressão digital ou uma retina, portanto, ele se qualifica como um ou outro fator. A chave é usar um determinado biométrico apenas uma vez. Portanto, se você usar uma impressão digital para o segundo fator, você não pode usar uma impressão digital para o terceiro fator.

Finalmente, embora óbvio, muitas pessoas perdem este ponto. Um factor é menos seguro do que dois factores, o que é menos seguro do que a autenticação de três factores. No entanto, se os usuários construírem corretamente suas senhas ou senhas e outras restrições de logon estiverem em vigor, a autenticação de um fator pode ser bastante eficaz contra violações de segurança, possivelmente na faixa de 90%. A autenticação de dois fatores normalmente aumenta a eficácia para provavelmente cerca de 97 ou 98%. E a autenticação com três fatores provavelmente leva as coisas a um nível de eficácia de seis sigma. Observe que mesmo com a autenticação de três fatores você só obtém uma eficácia de 99,9999%. Como eu tenho apontado repetidamente, a segurança não é perfeita.

Muitas pessoas não percebem o fato de que elas usam autenticação de dois fatores regularmente. Para usar um ATM você precisa de um cartão (algo que você tem) e um número de identificação pessoal de quatro dígitos ou PIN (algo que você conhece). Outro exemplo que é comum hoje em dia é para entrar em instalações seguras, um usuário autorizado é obrigado a usar seu cartão de acesso HID e digitar um PIN em um teclado antes que uma porta se abra. Algo a ser observado é que não importa a ordem em que os fatores são utilizados. No caso do ATM e exemplos de entrada, você passa primeiro o seu cartão (algo que você tem) e depois digita o seu PIN (algo que você sabe).

Apenas porque o segundo fator é algo que um usuário tem, não significa que o usuário deve saber que o tem. Um exemplo perfeito é no caso de um certificado digital. Muitas organizações emitem um certificado digital com o seu software VPN para fornecer autenticação de dois factores. A maioria dos usuários não sabe que precisa de um certificado digital para fazer a VPN funcionar. O certificado digital é normalmente ligado ao usuário ou ao computador e é instalado como parte da instalação do software VPN. A única forma de um utilizador tomar conhecimento do certificado digital é se este alguma vez for corrompido ou ficar desactualizado, resultando num erro quando tenta ligar-se à VPN. (NOTA: No Suplemento de Informações de Autenticação Multi-Factor do Conselho a partir de 2017, o uso de certificados digitais, como discutido aqui, foi desautorizado para atender à autenticação de dois fatores compatível com PCI.)

Outro ponto importante é que nos casos em que tudo que você usa é o seu cartão de acesso HID, você está usando autenticação de um fator. As definições para os fatores foram estabelecidas para facilitar a aprendizagem e a memória. No entanto, usar qualquer um dos fatores sozinho é uma autenticação de um fator. O uso de cada tipo de fator em conjunto com outro, resulta em autenticação de dois e três fatores. Como tal, você pode usar diferentes combinações de todos os fatores para diminuir a probabilidade de um compromisso. Por exemplo, em muitos filmes de espionagem, há uma sala ultra segura onde se pode entrar, você precisa, por exemplo, de um cartão de identificação, um PIN, uma varredura de retina e você precisa dizer sua senha. Isto não é um exemplo de autenticação de quatro fatores; isto é autenticação de três fatores com o uso de dois fatores biométricos (isto é, multi-fator).

Finalmente, há um risco no uso de fatores biométricos que a maioria das pessoas não gosta de falar, mas é importante considerar. As pessoas sofrem acidentes o tempo todo. Os dedos são cortados ou mesmo removidos. As mãos são quebradas ou mutiladas. Os olhos ficam danificados. As pessoas perdem a voz. Como resultado, se você está procurando usar biometria para autenticação, certifique-se de planejar para tais incidentes.

Esperadamente você agora entende os vários fatores de autenticação e entende como eles são usados.