Yubikey

Entendendo a sopa de letrinhas na autenticação e na terminologia moderna de MFA

Posted on by Nicolas Maia
31
maio
A grande maioria de todos os ataques cibernéticos começa com senhas de login ou outras credenciais roubadas. Em um mundo que está migrando para a nuvem, nossos sistemas de comunicação de trabalho, pessoal e governamental tornaram-se mais acessíveis e vulneráveis ​​para qualquer pessoa na Internet. De todos os diferentes ataques cibernéticos, o phishing de credenciais é de longe o maior problema, e a chave para se proteger contra essas ameaças é entender o que a orientação significa.
 
Na Yubico, queremos fornecer as ferramentas de que você precisa para se proteger – incluindo o compartilhamento de um guia para autenticação multifator (MFA) resistente a phishing. O setor de segurança é famoso por sua “sopa de letrinhas” de siglas e ferramentas técnicas complexas, e o mundo da MFA não é exceção. Pode ser assustador entender tudo isso, mas uma vez que você divide todos os termos e tipos de MFA em categorias de senso comum – é mais fácil de entender do que você provavelmente pensa.
 
O governo federal tem se tornado cada vez mais vocal em exortar as empresas a adotar um processo de autenticação robusto. Desde a ordem executiva do presidente Biden sobre segurança cibernética no ano passado (e outra declaração urgente este ano), até o plano do Escritório de Administração e Orçamento (OMB) para desenvolver uma Estratégia de Confiança Zero para MFA resistente a phishing para agências públicas e a Agência de Segurança Cibernética e Infraestrutura (CISA) e programa Shields Up, agora é a hora de se proteger contra ameaças de segurança cibernética e garantir que você entenda toda a terminologia de MFA.
 
Abaixo está um resumo de termos importantes para ajudar sua organização em seu caminho. Isso inclui uma lista dos principais termos de autenticação e suas definições, bem como ferramentas populares de autenticação e MFA. Também descrevemos as armadilhas das senhas e as etapas importantes para um futuro de autenticação sem senha em um vídeo digerível aqui.
 

Terminologia de MFA: Qual é a definição de 2FA, MFA e MFA resistente a phishing?

  • Autenticação em dois fatores, ou 2FA
    • 2FA é um método para confirmar a identidade on-line reivindicada de um usuário usando uma combinação de dois tipos diferentes de fatores. Às vezes, você verá isso chamado de “verificação em duas etapas”, mas 2FA é o acrônimo em uso. Os fatores usados para 2FA incluem algo que você conhece (por exemplo, senha ou PIN), ou algo que você possui (por exemplo, uma chave de segurança ou telefone) ou algo que você é (por exemplo, reconhecimento facial).
  • Autenticação multifator, ou MFA
    • MFA exige duas ou mais maneiras de fazer login em uma conta, usando várias evidências ou fatores para fazer login. Os vários tipos de MFA incluem OTPs baseados em SMS, aplicativos móveis, biometria, cartões de tarja magnética, cartões inteligentes e chaves de segurança físicas.
  • Phishing
    • Phishing é quando uma pessoa é induzida a compartilhar informações pessoais, como nomes de usuário, senhas e cartões de crédito, com terceiros, cuja intenção é assumir a conta de um usuário. 59% dos ataques de phishing são motivados financeiramente.
  • MFA resistente a phishing
    • MFA resistente a phishing refere-se a um processo de autenticação imune a invasores que interceptam ou até enganam os usuários para que revelem informações de acesso. As implementações de MFA comumente usadas com senhas, SMS e outras senhas descartáveis (OTP), perguntas de segurança e até mesmo notificações push para dispositivos móveis não são resistentes a phishing, pois são suscetíveis a um ou vários dos tipos de ataques mencionados acima. Além disso, o processo sempre exige que cada parte forneça evidências de sua validade e intenção de iniciar. De acordo com um memorando recente divulgado pelo Escritório de Administração e Orçamento dos Estados Unidos (página 7), o MFA resistente a phishing é definida como duas tecnologias de autenticação: Verificação de identidade pessoal (PIV)/Smart Card do governo federal e FIDO/WebAuthn moderno.

Quais são os termos mais comuns usados no mundo da autenticação e MFA?

  • Aplicativo autenticador (Authenticator App)
    • Um app autenticador adiciona uma camada de segurança para contas on-line ao gerar uma senha única baseada em tempo (TOTP) em um dispositivo móvel ou desktop. A abordagem TOTP é adotada por um grande número de aplicativos autenticadores, projetados para adicionar uma segunda camada de segurança. Um exemplo inclui o Yubico Authenticator, a experiência de aplicativo autenticador mais segura em dispositivos móveis e computadores. Embora os aplicativos autenticadores sejam um sólido segundo nível de segurança, eles também não podem atingir o mesmo nível de segurança que o MFA resistente a phishing.
  • Biometria
    • A biometria é uma característica humana física ou comportamental que podem ser usadas para identificar digitalmente uma pessoa para conceder acesso a sistemas, dispositivos ou dados. Exemplos desses identificadores biométricos são impressões digitais, padrões faciais, voz ou cadência de digitação. Depois que os dados biométricos são obtidos, como em uma chave de segurança, por exemplo, um modelo é salvo para que possa ser usado no futuro para autenticação em um dispositivo ou aplicativo. Embora a biometria seja considerada uma forma segura de 2FA, ela ainda é suscetível a ataques cibernéticos – vimos grandes bancos de dados biométricos roubados em ciberataques recentes como Lapsus$.
  • FIDO CTAP1
    • FIDO refere-se à FIDO Alliance, uma associação aberta do setor lançada em 2013 com a missão de desenvolver e promover padrões de autenticação que vão além de senhas simples. Yubico é membro do conselho da FIDO Alliance e autor e desenvolvedor dos padrões FIDO. O CTAP 1 refere-se ao Client to Authenticator Protocol, que permite que um autenticador externo e portátil (como uma chave de segurança de hardware) funcione com uma plataforma de cliente (por exemplo, um computador). U2F (ver definição acima) faz parte dos protocolos CTAP 1 e CTAP 2 da FIDO.
  • FIDO CTAP2
    • Um autenticador que usa CTAP2 é chamado de autenticador FIDO2 (também chamado de autenticador WebAuthn). Se esse autenticador também implementa CTAP1/U2F, ele é compatível com versões anteriores do U2F. Uma chave de segurança YubiKey 5 Series pode suportar CTAP 1 e CTAP 2, o que significa que pode suportar U2F e FIDO2 e fornecer autenticação forte de fator único (sem senha), forte de dois fatores e multifator forte.
  • OTP
    • O One-Time Password (ou senha de um uso) é válido apenas para uma sessão de login ou transação. Um OTP normalmente é enviado via SMS para um telefone celular e é frequentemente usado como parte de um processo 2FA. O NIST, uma agência federal de padrões, recentemente classificou o SMS como uma forma fraca de 2FA e incentiva outras abordagens para o MFA moderno.
  • Passkeys
    • Como as credenciais WebAuthn/FIDO podem substituir as senhas, o setor introduziu o termo “Passkeys” para se referir facilmente a qualquer credencial WebAuthn/FIDO, não importa se elas estão em uma chave de segurança, vinculadas ao hardware do seu dispositivo ou até mesmo armazenadas em arquivos em seu dispositivo que são copiados por um provedor de nuvem. Essas opções adicionais ajudarão mais sites a adotar o WebAuthn/FIDO – beneficiando a todos, independentemente de estarem usando senhas copiáveis de vários dispositivos ou soluções mais fortes, como YubiKeys, onde as senhas estão vinculadas ao hardware YubiKey. Para referência, recentemente detalhamos as chaves de acesso e o que elas significam para o setor em uma postagem de blog aqui.
  • Senhas
    • Você sabe o que são e não é uma sigla… mas vale ressaltar que o que pensávamos sobre senhas 10 ou 15 ou até 30 anos atrás não se aplica hoje. Embora o consenso costumava ser que, se apenas tornássemos as senhas mais complexas ou alternadas regularmente, elas poderiam ser mais seguras. Hoje entendemos que uma senha fornece o nível mais baixo de segurança e é extremamente vulnerável a ataques de phishing ou outras formas de roubar credenciais.
  • Passwordless
    • Passwordless (sem senha) refere-se à autenticação ou login sem senha, que representa uma grande mudança na forma como bilhões de usuários, empresas e consumidores, poderão fazer login com segurança em seus recursos e sistemas críticos. O usuário pode simplesmente autenticar usando um dispositivo sem senha, como uma chave de segurança de hardware baseada em FIDO2 ou verificação de identidade pessoal de cartão inteligente (PIV), para verificar suas credenciais com o aplicativo ou sistema.
  • PIV Smart Card
    • Uma credencial de verificação de identidade pessoal é uma credencial do governo federal dos EUA usada para acessar instalações e sistemas de informação controlados pelo governo federal no nível de segurança apropriado. Você ouvirá frequentemente esses chamados “smart card” porque são cartões físicos que possuem um chip integrado integrado que atua como um token de segurança que os funcionários usam para fazer login em estações de trabalho ou outros pontos de acesso. As chaves de segurança de hardware também podem atuar como um cartão inteligente com implantação simplificada. CAC é outro ingrediente da sopa de letrinhas que se refere a um cartão de acesso comum. Este é realmente o mesmo conceito do PIV, mas é usado por funcionários e contratados do Departamento de Defesa. Conforme mencionado, o memorando do OMB se refere ao PIV e ao CAC como “abordagens resistentes a phishing para MFA que podem se defender contra ataques cada vez mais sofisticados”.
  • Autenticação push
    • A autenticação push é um método de autenticação móvel, em que um provedor envia uma notificação ao usuário para o telefone. O destinatário então aprova ou nega a solicitação.
  • Security Key
    • A Yubico reinventou a autenticação de hardware com os fatores de forma YubiKey e Security Key, que suporta vários protocolos de autenticação e é um dispositivo de hardware de propósito único para autenticação que é controlado por um usuário final. A chave de segurança permite a autenticação FIDO em plataformas, navegadores e aplicativos. Eles são a autenticação mais forte para qualquer serviço compatível com U2F e WebAuthn/FIDO2 e oferecem a opção de fator único forte (sem senha), 2FA ou MFA. As YubiKeys são compatíveis com opções de autenticação ainda mais amplas, incluindo FIDO, PIV, TOTP, OpenPGP e muito mais.
  • U2F
    • O Universal 2nd Factor foi co-criado por Yubico, Google e NXP em 2012 e contribuiu para a FIDO Alliance após sua implantação com sucesso para os funcionários do Google. O protocolo foi projetado para atuar como um segundo fator para fortalecer os fluxos de login baseados em nome de usuário/senha existentes. Ele se baseia na invenção de Yubico de um modelo de chave pública escalável no qual um novo par de chaves é gerado para cada serviço e um número ilimitado de serviços pode ser suportado, mantendo a separação total entre eles para preservar a privacidade.
  • WebAuthn
    • Este é um novo padrão global do W3C para autenticação segura na Web compatível com todos os principais navegadores e plataformas. O WebAuthn facilita oferecer aos usuários uma opção de autenticadores para proteger suas contas, incluindo autenticadores externos/portáteis, como chaves de segurança de hardware, e autenticadores de plataforma integrados, como sensores biométricos.

Quais são as melhores opções de autenticação?

Nos parágrafos anteriores, mencionamos vários métodos 2FA e MFA. Infelizmente, eles não são todos iguais. A maioria dos métodos básicos de autenticação são inseguros – SMS, senhas de uso único e até autenticadores push móveis são suscetíveis a invasões de contas por phishing, engenharia social e ataques de intermediários.

Aja hoje: implemente MFA moderna resistente a phishing

Embora, é claro, qualquer forma de autenticação ou MFA seja melhor do que nenhuma, o vencedor claro quando se trata de proteger sua vida digital é implantar MFA resistente a phishing – especificamente PIV/cartão inteligente e WebAuthn/FIDO, ambos suportados no YubiKey .

Fonte: yubico.com

Hardware Wallets

Vale Presente

R$100,00R$6.495,09
Selecionar quantidade
-28%
Lançamento

Hardware Wallets

Ledger Stax

R$2.799,00
Lista de Espera
-40%

Hardware Wallets

Ledger Nano X

R$1.499,00
Ver opções
-40%

Hardware Wallets

Trezor T

R$1.497,00
Comprar
-53%
Lançamento

Hardware Wallets

Ledger Nano S Plus

R$799,00
Ver opções
-54%
Lançamento

Hardware Wallets

Trezor Safe 3

R$777,00
Ver opções
-46%
Lançamento

Hardware Wallets

SecuX V20

R$699,00
Comprar
-70%
Lançamento

Cursos

Curso Bitcoin e Criptomoedas

R$599,00
Comprar
-70%
Lançamento

Cursos

Curso DeFi, do básico ao avançado

R$599,00
Comprar
-40%

Hardware Wallets

SecuX W20

R$599,00
Comprar
-54%

Segurança

YubiKey 5 Ci (iPhone/iPad/iPod) – Pronta Entrega

R$597,00
Comprar
-52%

Segurança

YubiKey 5 NFC 2FA FIDO/FIDO2 – Pronta Entrega

R$477,00
Comprar
Nicolas Maia