Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Autenticação forte e redução de risco: MFA, chaves FIDO e políticas de acesso

Capítulo 13

Tempo estimado de leitura: 14 minutos

+ Exercício

Autenticação forte é o conjunto de práticas e tecnologias que aumentam a confiança de que quem está tentando acessar um sistema é realmente quem diz ser. Em fraudes digitais, muitas invasões começam com credenciais expostas (senha vazada, reutilizada, adivinhada ou capturada). A redução de risco, neste contexto, significa diminuir a probabilidade de acesso indevido mesmo quando uma senha é comprometida, e limitar o impacto caso um acesso indevido aconteça.

Este capítulo foca em três pilares complementares: MFA (autenticação multifator), chaves FIDO (passkeys e chaves de segurança físicas) e políticas de acesso (regras de quem pode acessar o quê, quando e de onde). O objetivo é sair de um modelo frágil baseado apenas em senha e evoluir para um modelo com barreiras adicionais e controles de contexto.

Conceitos essenciais: fatores, força e risco

O que é MFA e por que ele reduz risco

MFA (Multi-Factor Authentication) exige dois ou mais fatores de autenticação. Os fatores se agrupam em categorias: algo que você sabe (senha, PIN), algo que você tem (celular, token, chave física), algo que você é (biometria), e às vezes fatores de contexto (localização, dispositivo, horário) usados como sinais de risco.

Na prática, MFA reduz risco porque um atacante que obteve a senha ainda precisa superar pelo menos mais uma barreira. Porém, nem todo MFA é igualmente resistente: alguns métodos podem ser enganados, interceptados ou aprovados por engano. Por isso, é importante entender os tipos de MFA e escolher os mais adequados para cada perfil de usuário e criticidade do sistema.

Autenticação forte versus “MFA fraco”

Algumas implementações de MFA são consideradas mais fracas por dependerem de canais facilmente redirecionáveis ou por serem suscetíveis a engenharia social. Exemplos comuns: códigos por SMS (sujeitos a troca de chip e redirecionamento), códigos por voz, e até mesmo notificações push que podem ser aprovadas por hábito (“fadiga de MFA”).

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Autenticação forte, no sentido prático, tende a privilegiar métodos resistentes a phishing e a interceptação, como FIDO2/WebAuthn (passkeys e chaves de segurança) e, quando não for possível, aplicativos autenticadores com TOTP bem configurados e com proteção adicional (bloqueio do app, backup seguro, verificação de dispositivo).

Chaves FIDO, passkeys e o que muda em relação a senhas

FIDO2/WebAuthn é um padrão de autenticação que usa criptografia de chave pública. Em vez de enviar uma senha (ou um código) que pode ser capturado, o dispositivo do usuário assina um desafio criptográfico. O servidor valida a assinatura com a chave pública registrada. Isso reduz drasticamente o risco de phishing, porque a autenticação é vinculada ao domínio legítimo e não “funciona” em páginas falsas.

Existem duas formas comuns de uso: passkeys (credenciais FIDO armazenadas em dispositivos, muitas vezes sincronizadas com a conta do usuário no ecossistema do sistema operacional) e chaves de segurança físicas (tokens USB/NFC/Bluetooth). Ambas podem ser usadas como MFA ou até como substitutas de senha (passwordless), dependendo do sistema.

Tipos de MFA: vantagens, limitações e quando usar

SMS/voz (OTP por telecom)

Vantagens: fácil adoção, baixo atrito inicial, não exige app. Limitações: vulnerável a troca de chip, redirecionamento, interceptação e falhas de cobertura. Uso recomendado: apenas como etapa transitória ou para cenários de baixo risco quando não há alternativa, sempre combinado com monitoramento e limites de acesso.

Aplicativo autenticador (TOTP)

Vantagens: funciona offline, não depende da operadora, é amplamente suportado. Limitações: ainda pode ser capturado por phishing em tempo real se o usuário digitar o código em um site falso; também exige cuidado com backup e troca de aparelho. Uso recomendado: bom padrão intermediário para a maioria dos usuários quando FIDO ainda não está disponível.

Notificação push (aprovação no app)

Vantagens: experiência simples (aprovar/recusar), pode incluir detalhes de contexto (local, app, IP). Limitações: suscetível a “aprovação automática” e a bombardeio de solicitações até o usuário aceitar. Uso recomendado: apenas com recursos anti-fadiga, como número de correspondência (number matching), exigência de biometria no app e bloqueio após tentativas suspeitas.

Biometria

Biometria geralmente autentica o usuário no dispositivo (por exemplo, para liberar uma chave criptográfica). Vantagens: conveniência e redução de compartilhamento de credenciais. Limitações: depende da segurança do dispositivo e do sensor; não deve ser tratada como “segredo” transferível. Uso recomendado: como parte de passkeys/FIDO ou para proteger o app autenticador.

FIDO2/WebAuthn (passkeys e chaves físicas)

Vantagens: resistente a phishing, não depende de códigos, reduz risco de reutilização e vazamento de senha. Limitações: exige compatibilidade do sistema, planejamento de recuperação e suporte ao usuário. Uso recomendado: método preferencial para contas administrativas, acessos a sistemas críticos e, progressivamente, para toda a organização.

Passo a passo prático: implementar MFA com qualidade

1) Classifique sistemas e perfis de risco

Antes de ativar MFA “para tudo”, defina prioridades. Classifique: (a) sistemas críticos (e-mail corporativo, ERP financeiro, VPN, console de nuvem, repositórios de código), (b) sistemas importantes (CRM, intranet, ferramentas de suporte), (c) sistemas de baixo impacto. Classifique também perfis: administradores, finanças, RH, suporte, executivos, terceiros.

  • Regra prática: comece por e-mail corporativo, acesso remoto e contas administrativas.
  • Exija métodos resistentes a phishing (FIDO) para administradores e áreas sensíveis.

2) Escolha métodos e defina política por grupo

Crie uma matriz simples: grupo de usuários x método permitido x método obrigatório. Exemplo: administradores obrigatoriamente FIDO; finanças FIDO preferencial e TOTP como contingência; demais usuários TOTP/push com number matching; SMS apenas em exceções aprovadas.

  • Evite permitir múltiplos métodos fracos “por conveniência” sem governança, pois o atacante tende a explorar o elo mais fraco.
  • Se push for usado, habilite number matching e exija desbloqueio biométrico no app.

3) Defina processo de cadastro (enrollment) seguro

O momento de cadastro do segundo fator é um ponto crítico. Se alguém conseguir registrar o próprio dispositivo como fator de outra pessoa, o controle perde valor. Estabeleça verificação de identidade no cadastro, especialmente para contas privilegiadas.

  • Para usuários internos: cadastro guiado com validação por canal corporativo já confiável e confirmação de identidade.
  • Para administradores: cadastro presencial ou com verificação reforçada, e exigência de dois fatores FIDO (principal e reserva).
  • Para terceiros: cadastro com prazo, escopo mínimo e revisão periódica.

4) Planeje recuperação de conta sem “furar” a segurança

Recuperação é onde muitas organizações enfraquecem a autenticação: se o usuário perde o celular e a recuperação volta a depender apenas de e-mail alternativo ou perguntas fracas, o risco retorna. Defina caminhos de recuperação com controles equivalentes.

  • Use códigos de recuperação (backup codes) armazenados offline e protegidos.
  • Mantenha fatores de reserva (segunda chave FIDO ou segundo dispositivo) para perfis críticos.
  • Implemente help desk com verificação forte de identidade e trilha de auditoria para resets.

5) Ative monitoramento e respostas automáticas

MFA não é só “ligar e esquecer”. Configure alertas para: múltiplas tentativas falhas, solicitações push repetidas, logins de países incomuns, novos dispositivos, e desativação de MFA. Defina respostas: bloquear temporariamente, exigir reautenticação forte, ou elevar o nível de verificação.

Exemplo de regra operacional (alto nível): se houver 5 falhas de MFA em 10 minutos, bloquear login por 15 minutos e notificar o usuário e o time de segurança.

Chaves FIDO na prática: implantação e operação

Modelos de adoção: passkeys sincronizadas vs chaves físicas

Passkeys sincronizadas tendem a ser mais fáceis para usuários finais porque ficam integradas ao dispositivo e podem ser usadas com biometria. Chaves físicas são excelentes para contas privilegiadas e para ambientes onde se quer separação clara entre dispositivo e credencial, além de facilitar inventário e controle corporativo.

  • Para administradores: chaves físicas com PIN, mais uma chave reserva guardada com segurança.
  • Para usuários gerais: passkeys sincronizadas quando o ecossistema suportar; caso contrário, TOTP como etapa intermediária.

Passo a passo: rollout de chaves FIDO para contas críticas

Um roteiro prático para começar por administradores e áreas sensíveis:

  • Liste todas as contas privilegiadas (incluindo contas de serviço interativas e contas “break glass”).
  • Exija FIDO como método obrigatório e desabilite métodos fracos para esse grupo.
  • Distribua duas chaves por pessoa (principal e reserva). Registre ambas no provedor de identidade.
  • Configure PIN na chave e política de bloqueio após tentativas erradas.
  • Teste login em cenários reais: navegador, VPN, console de nuvem, acesso a sistemas internos.
  • Documente o procedimento de perda/roubo: revogação imediata da chave, emissão de nova e revisão de logs.

Cuidados com compatibilidade e experiência do usuário

Alguns sistemas legados não suportam WebAuthn. Nesses casos, use MFA por TOTP/push como ponte, mas mantenha o objetivo de migração. Para reduzir atrito, prepare materiais de suporte: como usar a chave no USB/NFC, como configurar PIN, e como reconhecer prompts legítimos.

Evite criar dependência de um único dispositivo: se o usuário só consegue autenticar com um notebook específico e ele quebra, o suporte vira gargalo. Para perfis críticos, sempre tenha redundância planejada.

Políticas de acesso: reduzir risco além do login

Princípio do menor privilégio e segmentação

Mesmo com MFA forte, conceder permissões excessivas amplia o impacto de qualquer incidente. Aplique menor privilégio: cada usuário e serviço deve ter apenas as permissões necessárias. Combine com segmentação: separar ambientes (produção, homologação), separar funções (financeiro, TI), e limitar acessos administrativos.

  • Revise permissões por função (RBAC) e evite permissões individuais “ad hoc” sem justificativa.
  • Use grupos e papéis padronizados para facilitar auditoria.

Acesso condicional (contexto, dispositivo e localização)

Políticas de acesso condicional avaliam sinais de risco no momento do login: dispositivo gerenciado, postura de segurança (criptografia, antivírus, patch), localização, reputação de IP, horário e tipo de aplicativo. Isso permite exigir autenticação mais forte quando o risco é maior.

Exemplos práticos de políticas:

  • Se o login vier de um dispositivo não gerenciado, exigir FIDO e bloquear download de dados sensíveis.
  • Se o login vier de país não esperado, bloquear ou exigir etapa adicional e aprovação.
  • Se o usuário tentar acessar painel administrativo fora do horário padrão, exigir reautenticação e registrar alerta.

Políticas para contas privilegiadas (PAM e JIT)

Contas privilegiadas merecem controles adicionais: uso de PAM (Privileged Access Management), elevação de privilégio apenas quando necessário (JIT, just-in-time), sessões registradas e credenciais rotacionadas. Mesmo sem uma suíte completa de PAM, é possível aplicar princípios: separar conta comum de conta admin, exigir FIDO, e limitar onde a conta admin pode autenticar.

  • Proíba uso de contas admin para e-mail e navegação diária.
  • Restrinja login admin a dispositivos específicos e redes confiáveis.
  • Implemente aprovação para elevação de privilégio em tarefas sensíveis.

Políticas de sessão: tempo, reautenticação e tokens

Redução de risco também envolve controlar a sessão após o login. Defina tempo de expiração, reautenticação para ações críticas (por exemplo, alterar dados bancários, exportar relatórios financeiros, criar chaves de API), e revogação rápida em caso de suspeita.

  • Use sessões curtas para consoles administrativos.
  • Exija reautenticação forte para mudanças de segurança (troca de MFA, redefinição de senha, criação de usuários).
  • Revogue sessões ao detectar troca de dispositivo, mudança brusca de localização ou comportamento anômalo.

Passo a passo prático: desenhar uma política de acesso robusta

1) Defina recursos e ações de alto impacto

Liste ações que, se executadas por um invasor, gerariam prejuízo imediato: alterar dados de pagamento, criar usuários administradores, mudar configurações de segurança, gerar chaves de API, exportar bases de clientes, aprovar transações. Para cada ação, defina exigências: MFA resistente a phishing, reautenticação recente, dispositivo gerenciado, e registro de auditoria.

2) Crie regras simples e evolutivas

Políticas complexas demais geram exceções e “atalhos”. Comece com poucas regras de alto impacto e evolua com base em incidentes e métricas. Um conjunto inicial eficaz costuma incluir:

  • MFA obrigatório para todos os usuários.
  • FIDO obrigatório para administradores e finanças.
  • Bloqueio de autenticação em protocolos legados que não suportam MFA.
  • Acesso a sistemas críticos apenas de dispositivos gerenciados.
  • Reautenticação para ações sensíveis.

3) Estabeleça governança de exceções

Exceções sempre surgem (sistemas antigos, usuários sem smartphone, integrações). O risco aumenta quando exceções viram regra. Crie um processo: justificativa, prazo, controles compensatórios e aprovação. Controles compensatórios podem incluir: restrição por IP, acesso somente via VPN, monitoramento reforçado, e permissões reduzidas.

Modelo de registro de exceção (campos mínimos): sistema, usuário/grupo, motivo, método alternativo, controles compensatórios, data de expiração, aprovador, evidências de teste.

4) Treine o comportamento esperado no MFA

Mesmo com tecnologia forte, o usuário precisa saber como agir. Treine comportamentos objetivos: nunca aprovar uma solicitação de MFA que não foi iniciada pelo próprio usuário; verificar o nome do aplicativo e a origem; reportar imediatamente notificações repetidas; e entender que o suporte nunca deve pedir códigos temporários.

  • Inclua simulações internas de “fadiga de MFA” para medir risco de aprovação indevida.
  • Padronize o canal de reporte e o que o usuário deve informar (horário, print do prompt, local aproximado).

Erros comuns que enfraquecem autenticação forte

Permitir fallback inseguro

Um erro frequente é exigir FIDO, mas permitir que o usuário “caia” para SMS sem controle. O atacante vai buscar o caminho mais fácil. Se houver fallback, ele deve ter governança e controles equivalentes, especialmente para contas críticas.

Não proteger o processo de reset de MFA

Se o help desk consegue resetar MFA com base em informações fáceis de obter, a autenticação forte perde valor. Implemente verificação robusta e registre todas as ações de reset, com revisão periódica.

Contas compartilhadas e credenciais reutilizadas

Contas compartilhadas dificultam auditoria e facilitam abuso. Substitua por contas individuais e, quando necessário, use mecanismos de delegação e elevação temporária. Reforce políticas de senha (quando ainda existirem) para evitar reutilização e adote gerenciadores corporativos quando aplicável.

Ignorar logs e sinais de ataque

MFA e FIDO reduzem risco, mas não eliminam tentativas. Sem monitoramento, você perde a chance de detectar ataques em andamento, como tentativas repetidas de login, cadastro indevido de fator, ou uso de sessão roubada. Defina responsáveis, alertas e rotinas de revisão.

Exemplos de cenários e decisões de controle

Cenário 1: equipe financeira acessa sistema de pagamentos

Decisão de controle: exigir FIDO (chave física ou passkey) e dispositivo gerenciado. Reautenticação para cadastrar/alterar dados bancários e para aprovar pagamentos acima de um limite. Sessões curtas e logs com trilha de auditoria. Exceções apenas com prazo e aprovação.

Cenário 2: suporte técnico com acesso a redefinição de contas

Decisão de controle: separar conta comum da conta de suporte privilegiado; exigir FIDO; restringir acesso a partir de rede corporativa ou VPN; registrar ações sensíveis; exigir aprovação para resets de MFA de executivos e administradores.

Cenário 3: usuários remotos e BYOD

Decisão de controle: permitir acesso a aplicações menos críticas com MFA forte, mas restringir dados sensíveis a dispositivos gerenciados. Para BYOD, usar acesso via navegador com controles (sem download, sem cópia) quando possível. Incentivar passkeys sincronizadas e manter TOTP como alternativa temporária.

Agora responda o exercício sobre o conteúdo:

Qual medida melhor reduz o risco de phishing quando uma senha é comprometida?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

FIDO2/WebAuthn usa criptografia de chave pública e assina desafios vinculados ao domínio legítimo, reduzindo drasticamente o phishing. SMS e push podem ser explorados por redirecionamento, interceptação ou fadiga de aprovação.

Próximo capitúlo

Higiene de credenciais e estações de trabalho: senhas, gestores e atualização

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store