Duplo fator de autenticação: uma medida pouco usada pelas empresas

Quando falamos sobre medidas de segurança que podem ser implementadas em uma empresa, sempre vêm à nossa mente três delas: o antivírus nos endpoints e servidores para detectar e eliminar o maior número de ameaças possíveis; backups para poder recuperar dados perdidos em um incidente, como uma infecção por ransomware; e a criptografia dos dispositivos para evitar que os dados confidenciais possam ser obtidos por um atacante.

No entanto, estas não são as únicas opções disponíveis.

O problema com as senhas

Uma dessas opções, prontamente disponível hoje, ainda não recebe a atenção que merece, mas está se tornando cada vez mais necessária. Estamos falando do duplo fator de autenticação (2FA), uma solução ideal que pode ajudar a proteger uma grande quantidade de serviços online, caso as credenciais de acesso de uma empresa estiverem comprometidas.

Não nos enganemos. Sempre destacamos a importância de criar senhas fortes, a maior parte dos usuários tentam lembrar o menor número delas, e quanto mais simples, melhor. Por isso, é necessário incorporar uma nova camada de segurança como o 2FA, algo que os usuários estão utilizando cada vez mais. No entanto, não exatamente no setor corporativo.

Na verdade, de acordo com o último relatório de segurança da ESET, apenas 11% das empresas na América Latina implementaram o duplo fator de autenticação.

Ninguém gosta que suas contas em redes sociais, emails ou jogos em alguma plataforma de distribuição existente sejam acessadas sem a devida autorização. É por isso que há muito tempo temos visto um gradual incremento no uso dessas medidas de segurança à nível de usuários finais, com os dispositivos móveis como os principais protagonistas na hora de utilizá-los como dispositivo complementar de identificação.

No mundo empresarial, no entanto, ainda vemos como a maioria dos usuários que se conectam a uma rede corporativa por meio de uma VPN ou que acessam remotamente a sua conta de email profissional utilizam apenas um usuário e senha. Essa medida de segurança tem mostrado que é ineficaz por si só, principalmente considerando a desatenção dos usuários na hora de gerenciar as senhas.

Portanto, quando o acesso não autorizado às informações confidenciais de uma empresa é algo tão fácil como esperar que um usuário com acesso remoto à rede ou email corporativo acesse através de uma conexão segura, isso significa que algo está errado e, pior ainda, que não foram implementadas as medidas relevantes para evitar isso.

O 2FA entra em ação

Utilizar um só dado como forma de autenticação em um sistema é prático, mas não é a forma mais segura. Para evitar o roubo ou o vazamento de dados foram desenvolvidos aplicativos que atuam como um duplo fator de autenticação, como o ESET Secure Authentication. São simples de utilizar e adicionam uma camada extra de segurança, para evitar que o roubo ou o vazamento de credenciais provoque a perda de informações confidenciais ou o acesso não autorizado à rede interna da empresa.

No entanto, apesar da facilidade de uso, ainda contam com uma pobre implementação nas empresas. Muito provavelmente, um dos principais problemas seja o desconhecimento para cumprir com o novo regulamento sobre proteção de dados da União Europeia (GDPR). Felizmente, não afeta apenas as empresas dessa área, mas também as que armazenam os dados de usuários da União Europeia.

Na hora de implementar o duplo fator de autenticação, os sistemas variam, mas normalmente se utiliza uma mensagem SMS automática ou um aplicativo que gera códigos de acesso. Depois que a senha é utilizada, o sistema solicitará esse código e, em alguns sistemas, um aplicativo (fora do navegador web) é usado para inserir o código.

Os sistemas de duplo fator de autenticação em conjunto com o sistema tradicional de senhas são muito mais seguros do que o simples uso de credenciais. Muitos dos ataques que foram divulgados nos últimos meses (Have I been Pwned?) não teriam ocorrido se houvesse um sistema de duplo fator de autenticação implementado. Inclusive se um atacante consegue infectar um equipamento e roubar uma senha, não poderá acessar à conta associada a mesma, pois não teriam o código de acesso.

No entanto, ainda assim, a implementação dessa medida continua bastante baixa.

Qual é o custo da implementação do 2FA para uma empresa?

Assim como ocorre na hora de falar sobre as soluções de segurança antivírus, a oferta é ampla e para todos os bolsos. No entanto, mais além do custo envolvido na implementação de uma solução 2FA, devemos pensar no que podemos evitar.

Vale muito a pena implementar esses sistemas caso queira manter a sua informação corporativa armazenada de forma segura em alguma dessas contas. O duplo fator de autenticação torna mais difícil (mas não impossível) o acesso não autorizado a todos os tipos de serviços, como o Outlook Web Access.

Não é necessário implementar o 2FA em todas as contas, mas apenas naquelas onde são utilizadas informações confidenciais, para evitar o roubo e também possíveis multas administrativas. Tenha em mente que esse sistema, embora não seja infalível, oferece uma camada extra de segurança que muitos cibercriminosos nem tentam superar. Por isso, uma empresa que não implemente o 2FA sempre será mais propensa a ser atacada do que outra que o possui.

Conclusão

Independentemente do tamanho da sua empresa, o duplo fator de autenticação é uma camada de segurança que deve ser considerada, especialmente para os empregados que acessam de forma remota à rede corporativa.

De qualquer forma, uma boa implementação pode impulsionar o home office e a figura do empregado enquanto roaming, aumentando a produtividade e minimizando os riscos.