Adotar o MFA exige cuidados

Conforme o preocupante crescimento de ciberataques e invasões a dispositivos de acesso remoto pelo mundo faz as empresas passarem a prestar mais atenção na necessidade de se investir em cibersegurança, um conceito que tem se mostrado chave: MFA. Sigla de Autenticação Multifatorial (do inglês Multi-Factor Authentication), consiste em um modelo onde é necessário mais do que uma credencial para que a rede possa ser acessada.

Os números já nos mostram como estamos olhando para o que muito provavelmente é uma nova tendência na segurança. Dados do Gartner nos revelam que empresas que não adotarem o MFA vão sofrer até cinco vezes mais com invasões de contas e servidores. Ainda que ele siga a tendência de Zero-Trust que especialistas entendem como a ideal para mitigar danos e ataques, o MFA infelizmente não é nenhuma bala de prata, e assim como todas as outras abordagens à cibersegurança, está sujeito a falhas.

Números do gerenciador de senhas LastPass nos mostram que, dentre as empresas que usam o MFA, 95% usam os celulares dos empregados como um dos fatores adicionais de credenciamento (Para efeito de comparação, a biometria, a mais segura das opções, só era utilizada por 1% das empresas analisadas). Porém, infelizmente, o formato mais recorrente é também o menos seguro. Mensagens de texto ou senhas temporárias, alguns dos conteúdos que os funcionários recebem em seus telefones para conseguirem acesso, podem facilmente ser enviados por um cibercriminoso que busca invadir o aparelho e conseguir as credenciais.

Isso já mostra logo de cara a necessidade de não implementar o MFA com pressa. O funcionário deve receber treinamento e sessões teste para saber reconhecer uma estratégia de engenharia social ou phishing que um hacker pode estar tentando enviá-lo. Além disso, no caso das senhas temporárias, o mais recomendado é que elas tenham a menor validade possível, para que sejam inutilizadas logo após seu primeiro uso.

De forma mais técnica ainda, um dos golpes que atingem o MFA envolve os cookies (dados do uso do usuário que ficam armazenados no navegador). Geralmente, após ser autenticado com os dois ou mais fatores, o navegador pode deixar salvo esse “ok” dado pelo sistema e não requisitar a reautenticação por um tempo. Utilizando diversas técnicas de invasão, o cibercriminoso pode roubar esses cookies, e ter acesso à rede exatamente no momento em que ela está “com a porteira aberta”.

No fim das contas, o MFA, ou qualquer solução de cibersegurança que seja, só é tão válido quanto o contexto e a forma no qual é aplicado. Se a ferramenta está no radar da empresa que visa aumentar a proteção, ela precisa ser testada o quanto possível, e deve ser a mais acessível e clara possível para os funcionários (por meio de videoaulas e períodos de teste, dentre outras possibilidades). Mais do que priorizar solução X ou Y, a análise de cibersegurança deve ser estratégica, inteligente e colocando todos os pesos na balança. O MFA pode ser a melhor opção que temos hoje, mas também pode não fazer diferença se não for bem aplicado.