Porque a Autenticação Multifatorial (MFA) já não é opcional
As palavras-passe continuam a ser necessárias, mas já não são suficientes. A utilização de frases-passe longas, únicas e difíceis de adivinhar mantém-se como boa prática. O problema surge quando uma dessas palavras-passe cai nas mãos erradas: o sistema não deteta uma intrusão — limita-se a reconhecer um acesso legítimo. A partir daí, o atacante movimenta-se no ambiente como qualquer outro utilizador.
Este não é um cenário teórico. A campanha dirigida a clientes da Snowflake em 2024 deixou isso claro: os atacantes utilizaram credenciais roubadas através de malware do tipo infostealer para aceder a contas sem MFA ativado. Sem explorar vulnerabilidades. Sem recorrer a técnicas sofisticadas. Apenas um nome de utilizador, uma palavra-passe e uma porta aberta. O resultado: mais de 165 organizações comprometidas, incluindo empresas como a Ticketmaster, o Santander e a AT&T, segundo investigação publicada pela Mandiant.
E não se tratou de um caso isolado. No início de 2026, a Dark Reading reportou uma campanha semelhante em que um único atacante comprometeu cerca de 50 empresas ao aceder a plataformas de colaboração como ShareFile e Nextcloud. O padrão repete-se: credenciais roubadas através de infostealers e contas sem MFA ativado. O denominador comum não é a sofisticação do ataque, mas a ausência de um controlo de segurança básico.
Um problema de adoção, não de tecnologia
A autenticação multifatorial não é nova. A tecnologia existe, é acessível e a sua eficácia está comprovada. De acordo com dados da Microsoft, a utilização de MFA reduz o risco de comprometimento de contas em 99,2%. Porque razão, então, não foi amplamente adotada?
O estudo global sobre MFA do Cyber Readiness Institute (2024), que abrangeu cerca de 2.300 PME, revela que quase dois terços não utilizam MFA. A taxa global de adoção situa-se nos 35%. As principais barreiras apontadas são o custo, a falta de recursos e, sobretudo, a perceção de que não se trata de uma prioridade.
Este não é um problema exclusivo das PME. As grandes organizações comprometidas nos incidentes da Snowflake não eram empresas sem recursos de segurança. Eram organizações com equipas, orçamentos e programas de cibersegurança maduros que simplesmente não tinham ativado MFA em todos os seus serviços.
O que a MFA oferece na prática
A MFA acrescenta um segundo fator de verificação que impede que uma palavra-passe roubada seja suficiente para aceder a uma conta. Esse é o principal benefício. Na prática, contudo, o impacto vai mais longe.
Quando aplicada de forma consistente, a MFA limita a capacidade de um atacante se movimentar lateralmente na rede. Cada tentativa de acesso a um novo serviço ou recurso exige verificação adicional, reduzindo significativamente o impacto de uma violação de segurança.
As soluções atuais de MFA não se limitam a solicitar um código. Muitas avaliam o contexto do pedido de acesso — como o dispositivo utilizado, a localização do utilizador e a rede a partir da qual se liga — ajustando o nível de verificação em função do risco real. Isto permite proteger o acesso remoto sem depender exclusivamente de VPNs ou do perímetro de rede.
Do ponto de vista empresarial, a MFA também apoia a conformidade com regulamentos como a Diretiva NIS2, o DORA e o PCI DSS, que exigem controlos verificáveis sobre quem pode aceder a sistemas e dados sensíveis. Além disso, demonstra a clientes, parceiros e auditores que a organização leva a sério a proteção da identidade.
MFA e Zero Trust: proteger todos os pontos de acesso
Num modelo Zero Trust, nenhum utilizador é considerado fiável por defeito. Não importa se está dentro da rede corporativa ou ligado via VPN — cada pedido de acesso é avaliado com base na identidade e nas condições de acesso.
A MFA é um dos pilares desta abordagem, pois desloca a verificação da rede para a identidade. É aqui que muitas organizações falham: aplicam controlos rigorosos nos sistemas críticos, mas negligenciam ferramentas do dia a dia. Plataformas de colaboração, repositórios de código, ferramentas de gestão de projetos — serviços que lidam com informação sensível e que, em muitos casos, continuam protegidos apenas por nome de utilizador e palavra-passe.
Os incidentes envolvendo a Snowflake e a campanha documentada pela Dark Reading ilustram bem esta realidade: basta um único serviço sem MFA para fragilizar toda a estratégia de segurança. Um atacante não irá visar o ponto de acesso mais protegido; irá procurar o que ficou exposto.
Como o AuthPoint ajuda a colmatar esta lacuna
A implementação de MFA não deve ser um projeto complexo nem limitar-se apenas aos sistemas mais críticos. Para ser verdadeiramente eficaz, tem de ser amplamente adotada, fácil de gerir e adaptável ao nível de risco de cada tentativa de acesso.
O WatchGuard AuthPoint disponibiliza autenticação multifatorial baseada na cloud, com gestão centralizada através do WatchGuard Cloud. A funcionalidade Mobile DNA associa a autenticação ao telemóvel do utilizador, acrescentando uma camada adicional de proteção contra tentativas de usurpação de identidade — mesmo que o segundo fator seja intercetado. Permite ainda aplicar políticas baseadas na localização e no contexto de acesso, alinhando-se com os princípios de Zero Trust.
Para aprofundar a proteção das identidades na sua organização, recomenda-se a leitura dos seguintes artigos no blog: